IT-Sicherheitskultur
Mit dieser Checkliste schützen Sie sich vor Cyber-Angriffen

Um sich vor Cyber-Angriffen zu schützen, benötigen Unternehmen eine IT-Sicherheitskultur, die jeden einzelnen Mitarbeiter miteinbezieht. Mit dieser Checkliste schützen Sie Ihr Unternehmen.

,

Unsichere Passwörter und dann noch an den Computer geheftet: Das größte Sicherheitsrisiko sind oft die Mitarbeiter.
Unsichere Passwörter und dann noch an den Computer geheftet: Das größte Sicherheitsrisiko sind oft die Mitarbeiter.
© Avosb / iStock / Getty Images Plus

Wer dachte, das Thema IT-Sicherheit sei vor allem für große, internationale Konzerne von Bedeutung, irrt sich. Der Lagebericht 2018 des Bundesamtes für Sicherheit in der Informationstechnik zeigt: Die Gefahr von Cyberangriffen, zum Beispiel durch Phishing-Mails, wächst und zwar für alle. In den vergangenen beiden Jahren wurden die IT-Systeme von knapp 70 Prozent aller Unternehmen attackiert. (Lesen Sie dazu auch: Diese Anzeichen verraten, ob Sie gehackt worden sind)

Jedes Unternehmen muss sich daher heute gegen Cyberangriffe schützen – und zwar nicht nur technisch. Es geht darum, eine Sicherheitskultur auch bei den Mitarbeitern zu etablieren. Da in den meisten Unternehmen mittlerweile viele verschiedene Arbeitsplatz-Tools genutzt werden, wird es für die Mitarbeiter immer schwieriger, Sicherheitsrisiken zu erkennen und richtig einzuschätzen. Strenge Sicherheitsrichtlinien helfen hier nur bedingt: Generell wird versucht, die Arbeitsabläufe möglichst einfach zu halten – werden diese durch Sicherheitshürden oder Kontrollen verkompliziert, wird es wahrscheinlicher, dass Mitarbeiter versuchen, diese zu umgehen. Damit die Sicherheitsstrategie des Unternehmens nicht fehlschlägt, müssen die Mitarbeiter ein Bewusstsein für Sicherheit am Arbeitsplatz entwickeln.

Checkliste für eine IT-Sicherheitskultur im Unternehmen

1. IT-Sicherheit fängt oben an

Wird IT-Sicherheit bei der Geschäftsleitung großgeschrieben und respektiert, werden sich die Mitarbeiter ebenfalls ernsthafter mit dem Thema auseinandersetzen und ihr eigenes Nutzerverhalten eher hinterfragen. Führungskräfte müssen mit ihrem eigenen Verhalten als gutes Beispiel vorangehen, um Mitarbeitern eine Orientierung zu geben und ihnen mögliche Sicherheitsrisiken bewusst zu machen.

2. Sicherheit liegt in der Verantwortung aller Mitarbeiter

Das Thema Sicherheit geht nicht nur einige wenige etwas an, es betrifft das gesamte Unternehmen. Deshalb sollten Sie jeden Mitarbeiter in die Thematik einführen. Setzen Sie sich mit jedem Mitarbeiter zusammen, um das Bewusstsein für die Rolle der IT-Sicherheit im Arbeitsalltag zu schärfen. Es ist wichtig über die Risiken zu informieren, welche die vielen verschiedenen Tools, Inhalte und das eigene Nutzerverhalten bergen können. Gewohnheiten, die sich über die Zeit eingeschlichen haben und problematisch für die Sicherheit des Unternehmens sind, können so erkannt und verändert werden.

3. Kontext ist der Schlüssel

Sicherheit scheint nicht unmittelbar für alle Mitarbeiter relevant zu sein. Doch nur wenn Sie alle Abteilungen miteinbeziehen, kann eine Sicherheitskultur für das gesamte Unternehmen geschaffen werden. Um Mitarbeitern aus unterschiedlichen Teams vor Augen zu führen, in welchen konkreten Situation das Thema Sicherheit relevant ist, können praktische Beispiele aus ihrem Arbeitsalltag hilfreich sein.

4. Bestimmen Sie in jeder Abteilung Sicherheitsverantwortliche

Das IT-Team kann nicht die Verantwortung für die gesamte Sicherheitsstrategie eines Unternehmens übernehmen. Daher sollten Sie Mitarbeiter aus den verschiedenen Abteilungen bestimmen, die als Sicherheitsverantwortliche als Bindeglied zwischen IT und den jeweiligen Teams fungieren. Sie sind näher an den täglichen Entscheidungen dran und haben ein detaillierteres Verständnis der Arbeitsabläufe, beziehungsweise sind direkt verantwortlich.

5. Sicherheitstraining ist ein ständiger Lernprozess

Einmal im Jahr eine einstündige Schulung für die Mitarbeiter abzuhalten, genügt zwar oft schon, um den gesetzlichen Compliance-Anforderungen gerecht zu werden – eine nachhaltige Sicherheitskultur kann man auf diese Weise aber nicht aufbauen. Um ein neues Sicherheitsverständnis und -bewusstsein bei den Mitarbeitern zu verankern, müssen Sie das Thema langfristig auch in regulären Meetings aufgreifen. Um das trockene Thema ein bisschen schmackhafter zu machen, kann man darüber nachdenken, spielerische Elemente einzubauen und zwischendurch zum Beispiel ein Quiz zu veranstalten.

Unser Gastautor
Morten Brøgger ist der CEO von Wire, einer Kommunikations- und Zusammenarbeitsplattform, auf der alle Inhalte durch Ende-zu-Ende-Verschlüsselung geschützt sind.

Technologie alleine hilft nicht

Auch wenn Entwickler immer neue Sicherheitsvorkehrungen für Geschäftsanwendungen und Tools bereitstellen, können auch diese ein durch falsches Nutzerverhalten erhöhtes Risiko nicht verhindern. Daher ist es zentral, ein Bewusstsein für IT-Sicherheit im Unternehmen zu schaffen, das von der Geschäftsleitung bis zu jedem einzelnen Mitarbeiter alle umfasst. Nur wenn alle gemeinsam an einem Strang ziehen, kann eine Sicherheitskultur entstehen, die das gesamte Unternehmen vor Cyber-Angriffen schützt.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Wer dachte, das Thema IT-Sicherheit sei vor allem für große, internationale Konzerne von Bedeutung, irrt sich. Der Lagebericht 2018 des Bundesamtes für Sicherheit in der Informationstechnik zeigt: Die Gefahr von Cyberangriffen, zum Beispiel durch Phishing-Mails, wächst und zwar für alle. In den vergangenen beiden Jahren wurden die IT-Systeme von knapp 70 Prozent aller Unternehmen attackiert. (Lesen Sie dazu auch: Diese Anzeichen verraten, ob Sie gehackt worden sind) Jedes Unternehmen muss sich daher heute gegen Cyberangriffe schützen - und zwar nicht nur technisch. Es geht darum, eine Sicherheitskultur auch bei den Mitarbeitern zu etablieren. Da in den meisten Unternehmen mittlerweile viele verschiedene Arbeitsplatz-Tools genutzt werden, wird es für die Mitarbeiter immer schwieriger, Sicherheitsrisiken zu erkennen und richtig einzuschätzen. Strenge Sicherheitsrichtlinien helfen hier nur bedingt: Generell wird versucht, die Arbeitsabläufe möglichst einfach zu halten – werden diese durch Sicherheitshürden oder Kontrollen verkompliziert, wird es wahrscheinlicher, dass Mitarbeiter versuchen, diese zu umgehen. Damit die Sicherheitsstrategie des Unternehmens nicht fehlschlägt, müssen die Mitarbeiter ein Bewusstsein für Sicherheit am Arbeitsplatz entwickeln. Checkliste für eine IT-Sicherheitskultur im Unternehmen 1. IT-Sicherheit fängt oben an Wird IT-Sicherheit bei der Geschäftsleitung großgeschrieben und respektiert, werden sich die Mitarbeiter ebenfalls ernsthafter mit dem Thema auseinandersetzen und ihr eigenes Nutzerverhalten eher hinterfragen. Führungskräfte müssen mit ihrem eigenen Verhalten als gutes Beispiel vorangehen, um Mitarbeitern eine Orientierung zu geben und ihnen mögliche Sicherheitsrisiken bewusst zu machen. 2. Sicherheit liegt in der Verantwortung aller Mitarbeiter Das Thema Sicherheit geht nicht nur einige wenige etwas an, es betrifft das gesamte Unternehmen. Deshalb sollten Sie jeden Mitarbeiter in die Thematik einführen. Setzen Sie sich mit jedem Mitarbeiter zusammen, um das Bewusstsein für die Rolle der IT-Sicherheit im Arbeitsalltag zu schärfen. Es ist wichtig über die Risiken zu informieren, welche die vielen verschiedenen Tools, Inhalte und das eigene Nutzerverhalten bergen können. Gewohnheiten, die sich über die Zeit eingeschlichen haben und problematisch für die Sicherheit des Unternehmens sind, können so erkannt und verändert werden. 3. Kontext ist der Schlüssel Sicherheit scheint nicht unmittelbar für alle Mitarbeiter relevant zu sein. Doch nur wenn Sie alle Abteilungen miteinbeziehen, kann eine Sicherheitskultur für das gesamte Unternehmen geschaffen werden. Um Mitarbeitern aus unterschiedlichen Teams vor Augen zu führen, in welchen konkreten Situation das Thema Sicherheit relevant ist, können praktische Beispiele aus ihrem Arbeitsalltag hilfreich sein. 4. Bestimmen Sie in jeder Abteilung Sicherheitsverantwortliche Das IT-Team kann nicht die Verantwortung für die gesamte Sicherheitsstrategie eines Unternehmens übernehmen. Daher sollten Sie Mitarbeiter aus den verschiedenen Abteilungen bestimmen, die als Sicherheitsverantwortliche als Bindeglied zwischen IT und den jeweiligen Teams fungieren. Sie sind näher an den täglichen Entscheidungen dran und haben ein detaillierteres Verständnis der Arbeitsabläufe, beziehungsweise sind direkt verantwortlich. 5. Sicherheitstraining ist ein ständiger Lernprozess Einmal im Jahr eine einstündige Schulung für die Mitarbeiter abzuhalten, genügt zwar oft schon, um den gesetzlichen Compliance-Anforderungen gerecht zu werden – eine nachhaltige Sicherheitskultur kann man auf diese Weise aber nicht aufbauen. Um ein neues Sicherheitsverständnis und -bewusstsein bei den Mitarbeitern zu verankern, müssen Sie das Thema langfristig auch in regulären Meetings aufgreifen. Um das trockene Thema ein bisschen schmackhafter zu machen, kann man darüber nachdenken, spielerische Elemente einzubauen und zwischendurch zum Beispiel ein Quiz zu veranstalten. Technologie alleine hilft nicht Auch wenn Entwickler immer neue Sicherheitsvorkehrungen für Geschäftsanwendungen und Tools bereitstellen, können auch diese ein durch falsches Nutzerverhalten erhöhtes Risiko nicht verhindern. Daher ist es zentral, ein Bewusstsein für IT-Sicherheit im Unternehmen zu schaffen, das von der Geschäftsleitung bis zu jedem einzelnen Mitarbeiter alle umfasst. Nur wenn alle gemeinsam an einem Strang ziehen, kann eine Sicherheitskultur entstehen, die das gesamte Unternehmen vor Cyber-Angriffen schützt.