Cyber-Risiko und die Unterstützung durch den Vorstand fördern Cyber-Sensibilisierungsschulungen

Cyber-Risiken waren ein wichtiger Aspekt, als ein großer globaler Telekommunikationsanbieter Pläne für ein Cloud-natives 5G-Netzangebot entwickelte, weshalb das Unternehmen von Anfang an Sicherheit in die Projektarchitektur integrierte. Aber das hochkarätige Geschäftsvorhaben, das eine ständige Zusammenarbeit mit externen Partnern über virtuelle private Netzwerke erforderte, brachte eine zusätzliche Risikoebene mit sich. 

"Wir wussten, dass die Bösewichte uns beobachten würden und dass wir ein großes Ziel für sie sein würden", sagte der leitende Ingenieur für Informationssicherheit des Unternehmens. Wie das Sicherheitsteam erwartet hatte, kam es in der Folge zu einer Häufung von Social-Engineering-Angriffen auf Mitarbeiter und leitende Angestellte.

Bislang hat sich das Unternehmen jedoch aus den Schlagzeilen über Cyberverletzungen herausgehalten, vor allem dank der Zusage des Vorstandsvorsitzenden und des Verwaltungsrats, Schulungen zum Thema Cybersicherheit zu unterstützen. "Wenn wir eine solche Situation haben, stellen wir sicher, dass der CEO und der Vorstand die Architekturlandschaft und die Risiken, mit denen wir umgehen müssen, verstehen, so dass sie zu 100 % an Bord sind", sagte der Sicherheitsingenieur, der für die Sensibilisierung und Schulung von 30.000 Mitarbeitern in den verschiedenen Geschäftsbereichen des Telekommunikationsunternehmens verantwortlich ist.

Trotz begrenzter Sachkenntnis hat die Unterstützung der Behörde für Sicherheitsschulungen einen Unterschied gemacht

Der Vorstand des Unternehmens verfügt nur über begrenzte Kenntnisse im Bereich der Cybersicherheit. Die monatlichen Aktualisierungen des CISO, die gelegentlichen Überprüfungen der Kompetenzen der Mitarbeiter im Bereich der Informationssicherheit und die proaktiven Erklärungen, wie sich das Unternehmen vor Sicherheitsverletzungen schützt, die in anderen Unternehmen veröffentlicht wurden, dienen sowohl der Aufklärung der Vorstandsmitglieder als auch der Förderung des Vertrauens in die Einschätzung des Sicherheitsteams hinsichtlich der erforderlichen Investitionen. Als der CISO vorschlug, das Bewusstsein für Cybersicherheit zu schärfen, um den Schutz vor Phishing-Angriffen zu verbessern, stimmte der Vorstand zu. "Sie unterstützen uns nachdrücklich, vom Vorstandsvorsitzenden bis hin zu unserem CEO, der einer unserer größten Botschafter für Sicherheitsschulungen ist", sagt der Sicherheitsingenieur, der Hand in Hand mit dem CISO arbeitet und die Führungskräfte mit Informationen versorgt. "Er ist der erste, der sich einmischt, wenn es um die Bedeutung von Sicherheitsschulungen geht und diese Botschaft weitergibt.

Dieser Enthusiasmus für Schulungen zum Thema Cybersicherheit deckt sich mit den Ergebnissen einer in Kürze erscheinenden Mimecast-Umfrage, Behind the Screens; The Board's Evolving Perceptions of Cyber Risk, die ergab, dass mit der Zunahme von Phishing- und anderen E-Mail-Angriffen in den letzten Jahren auch die Unterstützung von Schulungen zum Thema Cybersicherheit durch die Unternehmensleitung zugenommen hat. Ausführliche Interviews mit 78 Führungskräften aus Wirtschaft und Sicherheit in 13 Ländern über die Wahrnehmung von Cyberrisiken auf Vorstands- und Aufsichtsratsebene haben gezeigt, dass die Führungskräfte in den Unternehmen zunehmend die Notwendigkeit erkennen, eine Kultur des Cyberbewusstseins zu schaffen, um ihre Sicherheitsvorkehrungen zu stärken. Die Umfrage unterstreicht auch die Bedeutung des Engagements der Vorstandsebene für die Aufrechterhaltung dieser Ausrichtung.

Die Sprache des Vorstands sprechen: Daten und Risiko

Eine starke Unterstützung der Geschäftsleitung und des Vorstandes für Schulungen zum Cyber-Bewusstsein im Besonderen - und für Prioritäten im Bereich der Cybersicherheit im Allgemeinen - entsteht selten in einem Vakuum. CISOs und ihre Teams bauen diese Beziehungen im Laufe der Zeit auf und leisten Aufklärungs-, Informations- und Überzeugungsarbeit bei regelmäßigen Vorstands- und Geschäftsführersitzungen, in Unterausschüssen für Cyber- und Geschäftsrisiken und durch informelle Interaktionen mit Entscheidungsträgern.

Bei dem Telekommunikationsunternehmen werden regelmäßige Updates zur Cybersicherheit in Management- und Vorstandssitzungen eingebettet, um alle über Bedrohungen, Trends und die allgemeine Cybersicherheitsleistung auf dem Laufenden zu halten. Der CISO und sein Team konzentrieren sich bei ihrer Kommunikation auf die beiden Dinge, die dem Vorstand wichtig sind: Risiko und Kennzahlen. "Das sind die Dinge, mit denen sie sich identifizieren können, und so erhält man ihre Zustimmung", sagt der Sicherheitsingenieur. "Das schafft Vertrauen in das Team und die von uns bereitgestellten Informationen, so dass die Bereitschaft besteht, zu investieren.

Schwachstellen des Cyber-Bewusstseins gezielt angehen

Jeden Monat informiert der CISO des Unternehmens den Vorstand über die Leistung der Phishing-Sensibilisierungsprogramme und Schulungskampagnen sowie über Details zu jüngsten Angriffen, Richtlinienverstößen oder menschlichen Fehlern. Einmal im Quartal berichtet der CISO in Meetings, an denen die Leiter aller Geschäftseinheiten teilnehmen, über spezifische Ergebnisse, einschließlich der Phishing-Klickraten auf Unternehmens- und Geschäftseinheitsebene. Die leistungsstärksten Geschäftsbereiche haben vielleicht eine bessere Klickrate von etwa 1 % oder 2 %, während 15 % oder mehr der Mitarbeiter in einem anderen Bereich auf bösartige Links klicken.

Aufgrund dieser regelmäßigen Aktualisierungen gibt es wenig Widerstand gegen die Umsetzung von Sanierungsplänen. Jede Geschäftseinheit, die den Zielwert für die Klickrate des Unternehmens überschreitet, nimmt an einem 12-wöchigen Schulungsprogramm zum Thema Cybersicherheit teil, um das Bewusstsein für Themen wie Ransomware, Phishing und Betrug durch Identitätswechsel zu stärken. Wenn bei der Risikobewertung der Benutzer häufige Verstöße festgestellt werden, müssen diese Mitarbeiter an einem intensiveren Einzelcoaching teilnehmen.

Die Mitarbeiter des Telekommunikationsunternehmens nehmen die Schulungen an und setzen das Gelernte in größerer Zahl in ihr digitales Verhalten um als die Unternehmen, in denen der Sicherheitsingenieur zuvor gearbeitet hat. "Die Benutzerakzeptanz ist maximal, vor allem wegen der Cybersicherheitskultur, die durch die Bemühungen unserer Führungskräfte geschaffen wurde", sagt er. "Sie werden diese Fragen in ihren Sitzungen zur Sprache bringen. Sie verstehen, dass jeder für die Sicherheit verantwortlich ist, und das ist die Botschaft von ganz oben".

Den Wert des Cyber-Bewusstseins kommunizieren

Dennoch ist es nicht einfach, das menschliche Verhalten zu ändern. Schulungen zur Sensibilisierung für den Umgang mit Computern und Abhilfemaßnahmen brauchen Zeit, um Ergebnisse zu erzielen, verglichen mit der Implementierung eines E-Mail-Gateways oder eines Datenverschlüsselungsprogramms. "Es gibt einige Fälle, in denen wir länger gebraucht haben, um die versprochenen Verbesserungen zu erreichen, weil es sich eher um eine Verhaltensänderung als um eine betriebliche oder verfahrenstechnische Änderung handelt", sagt der Sicherheitsingenieur. "Diese Gespräche [mit dem Vorstand und den leitenden Angestellten] sind nie einfach.

Schulungen zum Thema Cybersicherheit sind immer ein bewegliches Ziel. Es gibt Fluktuation und Neueinstellungen zu berücksichtigen. Seit der Sicherheitsingenieur vor zwei Jahren das Awareness-Schulungsprogramm übernommen hat, ist das Unternehmen um 6.000 Mitarbeiter gewachsen. 

Der ROI einer Verhaltensänderung - im Wesentlichen die Vermeidung eines negativen Ergebnisses - lässt sich ebenfalls nur schwer ermitteln. Echtzeit-Demonstrationen, die zeigen, was im Falle eines Angriffs passieren würde, oder die Kompetenz der Mitarbeiter bei der Erkennung bösartiger Links tragen dazu bei, den Wert der Investitionen in Cyber-Sensibilisierungsmaßnahmen zu verdeutlichen. 

Der CISO macht sich auch das Interesse des Vorstands an den jüngsten veröffentlichten Sicherheitsverletzungen zunutze und nimmt sich Zeit, um die Vorfälle in den Nachrichten und die Faktoren, die dazu beigetragen haben, zu diskutieren, um den Wert der Sicherheitsfunktion zu verdeutlichen. "Es ist eine großartige Gelegenheit, sich ihre Zustimmung zu sichern und zu sagen, dass wir dies tun müssen, um an der Spitze der Dinge zu bleiben und nicht aus dem falschen Grund in den Nachrichten zu sein", sagt der Sicherheitsingenieur.

Der Vorstand hat die Budgets für die Sensibilisierungsschulungen des Sicherheitsteams jedes Jahr genehmigt, um dem Wachstum der Mitarbeiterzahl und der Zunahme der Bedrohungsvektoren Rechnung zu tragen. "Bösewichte sind weit über die traditionellen E-Mail-Angriffe hinausgegangen und haben sich auf Smishing und Vishing verlegt, was uns hilft, Mittel für neue Dienste zu erhalten", sagt er. "Aber alles hängt davon ab, dass sich die Führungsspitze für die Sicherheit einsetzt. Wenn man das hat, ist man in einer ziemlich guten Position".

Die Quintessenz

Die Erfahrungen dieses globalen Telekommunikationsunternehmens zeigen, wie sich ein engagierter und aktiver Vorstand und die Unterstützung durch die Führungsebene auf das Bewusstsein für Cybersicherheit und die allgemeine Sicherheitslage eines Unternehmens auswirken können. Eine häufige und gezielte Kommunikation über die sich entwickelnde Bedrohungslandschaft mit dem Schwerpunkt auf den menschlichen Schwachstellen, die böswillige Akteure ausfindig machen, trägt dazu bei, die Unterstützung und Finanzierung von für Schulungsprogramme zur Cybersicherheit aufrechtzuerhalten.