Da Cyberkriminelle immer besser organisiert sind, müssen Unternehmen das Bewusstsein für Cybersicherheit in ihrer Unternehmenskultur verankern.

Wesentliche Punkte:

  • Cybersecurity-Bereitschaft und ein weit verbreitetes Cybersecurity-Bewusstsein im Unternehmen gehen Hand in Hand.
  • Die Integration von Cybersicherheit in die Unternehmenskultur bedeutet, dass sie in jede geschäftsbezogene Aktivität einfließt - vom Betrieb über das Marketing bis hin zum Produktdesign.
  • Um das Verhalten der Mitarbeiter zu ändern und ihre Herzen und Köpfe zu beeinflussen, kann ein einfaches Belohnungssystem sehr effektiv sein.

"Cyberangriffe nehmen an Häufigkeit, Raffinesse und Auswirkungen zu. Die Verteidigung gegen sie erfordert eine neue Sichtweise auf die Angriffe und die Angreifer." So erklären Keri Pearlson und ihre Co-Autoren in Casting the Dark Web in a New Light , einer Veröffentlichung der MIT Sloan School of Management.

Angesichts der zunehmenden Bedrohung von Unternehmen durch Cyberattacken brauchen CISOs und Cybersecurity-Experten neue Ansätze, um ihre Unternehmen zu schützen, sagt Pearlson, Executive Director of Cybersecurity am MIT Sloan. Von zentraler Bedeutung ist es, das Bewusstsein für Cybersicherheit in die Unternehmenskultur einzubringen, und das, so Pearlson, ist ein unternehmensweites Projekt. "Die Mitarbeiter müssen sich auf mehreren Ebenen engagieren", sagt sie. "Es ist nicht nur der Job des CISO."

Im folgenden Interview mit Mimecast-Mitarbeiterin Mercedes Cardona erklärt Pearlson, wie sich Cyberkriminelle zunehmend organisieren und welche Best Practices Unternehmen befolgen müssen, um sich zu wehren.

Anmerkung der Redaktion: Dies ist das zweite in einer Reihe von Interviews mit führenden Cybersecurity-Experten aus dem akademischen Bereich, Forschungseinrichtungen und dem privaten Sektor.

Mimecast: Wie also schafft ein Unternehmen eine Kultur der Cybersicherheit? Hilft ein Cybersecurity Awareness Training?

Keri Pearlson: Viele Unternehmen haben Compliance-Schulungsprogramme, und sie sind für eine Reihe von Dingen nützlich. Zum einen können sie das Kästchen "Compliance" ankreuzen, dass sie es haben. Ein weiterer Grund ist, dass sie eine Basis für ihre Mitarbeiter schaffen.

Das effektivste Training ist etwas, das im Moment passiert, wenn ich es brauche, nicht etwas, das ich zu Beginn der Arbeit gemacht habe. Wir wollen, dass der allgemeine Mitarbeiter - nicht das Cyber-Team, sondern Sie und ich - bestimmte Dinge tut. Wir wollen, dass sie nicht auf eine Phishing-E-Mail klicken; wir wollen, dass sie, wenn sie eine seltsame Website oder etwas anderes sehen, es melden. Wir wollen, dass sie, wenn sie - zufällig oder absichtlich - auf etwas klicken, das etwas auslöst, was sie nicht erwartet haben, uns das mitteilen, damit wir es untersuchen können. Wir wollen, dass sie keine USB-Sticks einstecken, die sie draußen finden und nicht wissen, was darauf ist.

Wir wollen, dass die Teams zusammenarbeiten. Wenn Sie etwas sehen, das seltsam aussieht, möchten wir, dass Sie sich an Ihren Kollegen wenden und sagen: "Ich habe das gerade bekommen, hast du auch so etwas bekommen oder hast du es gesehen?"

Dies sind Verhaltensweisen, die wir steuern wollen. Aber Verhaltensweisen werden von Werten, Einstellungen und Überzeugungen angetrieben. Wenn Sie es für wichtig halten, werden Sie wahrscheinlich auch etwas dafür tun.

Mimecast: In Ihren Artikeln sprechen Sie über Sicherheit im Zusammenhang mit Betriebstechnik und nicht mit Informationstechnik. Können Sie erklären, was das bedeutet?

Pearlson: Wir sprechen über Technologien, die zum Betrieb eines Unternehmens eingesetzt werden. Das kann die Fertigung sein oder industrielle Steuerungen, Versorgungsunternehmen, Heizkessel und Kühlanlagen oder große Offshore-Ölplattformen. Es gibt alle Arten von Technologien, die unsere Unternehmen heutzutage betreiben, und die Leute, die sie betreiben, sind OT - operational technologists. Informationstechnologen sind in der Regel Leute, die mit Informationen arbeiten, und der Kern ihrer Arbeit ist digital - wie Bankwesen oder Kreditkartenverarbeitung oder irgendeine Art von Organisationsdaten.

Die OT-Leute haben bereits eine sehr starke Kultur der Sicherheit. Sie sind auf einer Bohrinsel, Sie sind in einer Kessel-Kühlanlage, Sie sind in einer Produktionsanlage, in der Maschinen laufen. Sie sind bereits sicherheitsbewusst; Sie werden nicht Ihren Finger auf ein Gerät stecken, weil Sie sehen wollen, ob es heiß ist.

Wir wollen sicherstellen, dass sich diese Sicherheitskultur auch auf die Informationssicherheit erstreckt. Sie wollen zum Beispiel nicht, dass sich jemand einhackt und die Einstellungen ändert - den Heizkessel so hochdreht, dass er explodiert. Diese operativen Systeme sind zwar digital, aber nicht so, wie wir traditionell über Informationssysteme denken. IT-Abteilungen verwalten nicht unbedingt die OT. Die OT wird von einer separaten Gruppe verwaltet, normalerweise von den Leuten, die den Betrieb leiten.

Wir wollen die gleichen Sicherheitsanforderungen, die in diesen OT-Umgebungen bereits bestehen, auf die Informations- oder digitale Seite ihrer Abläufe anwenden. Und sie denken vielleicht nicht auf diese Weise darüber nach.

Mimecast: Wie schafft man diese Art von Bewusstsein für Cybersicherheit in einer rezessiven Wirtschaft, wenn Unternehmen mit so vielen anderen konkurrierenden Prioritäten konfrontiert sind?

Pearlson: Das ist die Kunst des Managements. Manager müssen herausfinden, was die Prioritäten sind und worauf sie ihre Aufmerksamkeit richten wollen. Was ich Ihnen sagen kann, ist dies: Wenn Sie Ihre Aufmerksamkeit nicht auf den Cyber-Schutz Ihres Unternehmens richten, setzen Sie sich großen Risiken aus. Das ist die Entscheidung, die Manager treffen müssen.

Es gibt bestimmte Werte, Einstellungen und Überzeugungen zum Thema Sicherheit, die Sie nicht kontrollieren können. Sie können nicht kontrollieren, in welchem Land Sie sich befinden, und einige Länder legen mehr Wert auf Sicherheit und Privatsphäre als andere. Sie können die Vorschriften, denen Sie unterliegen, nicht wirklich direkt kontrollieren.

Aber es gibt viele Dinge, die ein Manager tun kann, und wir nennen diese Managementmechanismen. Das sind Dinge, die Manager tun können, um die Herzen und Köpfe der Menschen zu verändern.

Ein Unternehmen, mit dem wir zusammenarbeiten, eine Versicherungsgesellschaft, stellte eine Führungskraft ein, um eine Cybersicherheitskultur aufzubauen. Das war eine Entscheidung der Geschäftsleitung; sie haben Ressourcen dafür bereitgestellt. Sie haben jemanden eingestellt, dessen Aufgabe es ist, dafür zu sorgen, dass die Werte, Einstellungen und Überzeugungen in Bezug auf Cyber-Sicherheit mit den Vorstellungen des Unternehmens übereinstimmen.

Ich persönlich halte das für eine brillante Entscheidung, denn ein Marketingmensch weiß, wie man Herzen und Köpfe verändert. Das ist es, worum es im Marketing geht. Es geht darum, dass man versteht, was wichtig ist.

Mimecast: Die Zustimmung des Managements zu erhalten ist eine gängige Weisheit, aber wie arbeitet man sich die Leiter hinunter zu den Endbenutzern des Unternehmens?

Pearlson: Menschen lieben Belohnungen. Ein anderes Unternehmen erzählte uns, dass sie eine Kampagne durchführten, bei der sie den Leuten einen Keks gaben, wenn sie etwas demonstrierten. Es war ein Schokoladenkeks, und sie hatten so viele Leute, die taten, was von ihnen verlangt wurde, weil sie einen Keks wollten. Es ist sehr einfach, aber dieses Belohnungssystem hat die Werte der Menschen verändert; es hat ihre Überzeugungen verändert.

Ein anderes Beispiel: Der Cybersecurity-Evangelist derselben Bank ging herum und klebte kleine Post-it-Zettel an unkonventionellen Orten: ""Haben Sie in letzter Zeit Ihr Passwort geändert?" "Haben Sie Ihren Computer gesperrt, bevor Sie zu dieser Kaffeemaschine kamen?" Um das Thema anzusprechen, führte er seine Kampagne dort durch, wo sich die Leute versammelten.

Während des All-Hands-Meetings eines anderen Unternehmens - alle Hände, also alle Mitarbeiter - begann der CEO mit einem Cybersecurity-Moment. Ich würde gerne ein Buch schreiben: mit dem Titel Cybersecurity Can be Free, weil es so viele kleine Dinge gibt, die man tun kann, die wenig bis gar nichts kosten, wie ein Keks oder wie das Beginnen von Mitarbeiterversammlungen mit einer fünfminütigen Diskussion über das neueste Cybersecurity-Problem.

Diese Art von Dingen funktioniert, um die Herzen und Köpfe aller in der Organisation zu gewinnen. Wenn Sie denken, dass es für Ihren Chef wichtig ist, werden Sie eher denken, dass es auch für Sie wichtig sein sollte. Und umgekehrt, wenn Ihr Chef es nie erwähnt, wissen Sie vielleicht nicht, dass es für ihn wichtig ist.

[Zum Beispiel] haben wir ein weiteres Projekt im Bereich der Produktentwicklung. Wir erforschen, wie man die Herzen und Köpfe der Produktentwickler verändern kann, so dass sie für die Cybersicherheit bauen, genauso wie sie für die Herstellbarkeit und Benutzerfreundlichkeit und Wartung bauen. Und in einem Unternehmen, das wir untersucht haben, haben die Manager ihren Entwicklern nie gesagt: "Wir wollen, dass Sie für die Cybersicherheit bauen." Sie gingen einfach davon aus, dass sie es wüssten.

Mimecast: Wenn immer mehr IoT-Geräte online gehen, vom Auto bis zum Kühlschrank, werden diese dann nicht auch Teil der Gleichung?

Pearlson: Natürlich, und eine unserer anderen Erkenntnisse ist, dass bei großen Markenprodukten die Kunden davon ausgehen, dass die Cybersicherheit bereits eingebaut ist.

Aber wenn das wahr ist, wie kommt es dann zustande? Nicht, weil der Designer daran gedacht hat, es einzubauen. Wenn es sicher ist, dann deshalb, weil der Entwicklungsprozess dafür gesorgt hat, dass das Produkt sicher ist. Das ist eine ganz andere Sache. Es ist viel teurer, etwas mit Sicherheitsfunktionen nachzurüsten, als etwas von Anfang an mit Blick auf die Cybersicherheit zu entwickeln.

Mimecast: Sie haben einen Bericht über das Dark Web mitverfasst, der das neue Geschäftsmodell der Cyberkriminalität diskutiert. Wie verändert sich das Wesen der Cyberkriminalität?

Pearlson: Hollywood möchte uns glauben machen, dass die Hacker alle vermummte, tätowierte, gepiercte Leute sind, die in dunklen Räumen mit mehreren Bildschirmen vor sich sitzen. Und diese Leute gibt es tatsächlich. Aber heute ist es ein größeres Geschäft als das. Und das war der "Aha!"-Moment dieser Arbeit. Als wir recherchierten, fanden wir eine Reihe von Cybercrime-as-a-Service-Angeboten im Dark Web.

Möchtegern-Hacker können alle Komponenten, die sie benötigen, als Service kaufen und sie dann zu ihrem Angriffsvektor zusammenbasteln. Und das Dark Web ist so gut organisiert, dass es Support-Desks gibt. Es gibt jemanden, den man anrufen oder mit dem man im Dark Web verhandeln kann, der einem hilft, alles zusammenzusetzen.

Das sind ganz normale Geschäftsleute mit schlechter Moral. Sie tauschen untereinander Informationen aus, damit sie wissen, wie sie den Wert aus ihrem Geschäft maximieren können.

Umgekehrt können wir nicht voneinander lernen, wenn wir nicht gut darin sind, Informationen darüber auszutauschen, wie wir angegriffen werden, und wir richten uns darauf ein, ständig angegriffen zu werden.

Mimecast: Konzentrieren sich Unternehmen immer noch auf den Hacker im Keller? Müssen sie anerkennen, dass Cyberkriminalität mittlerweile organisiertes Verbrechen ist?

Pearlson: Ich glaube, viele Unternehmen haben das inzwischen begriffen. Aber ich bin mir nicht sicher, ob sie überhaupt darüber nachdenken, wer es ist, außer dass es ein Nationalstaat oder eine Art von Hacker ist, oder ist es einfach jemand, der Geld will? Diese Leute sind organisiert - aber sie sind nicht unbedingt organisiertes Verbrechen. Sie sind einfach nur wirklich kluge, technologisch versierte Leute, die Geschäftsleute sind.

Mimecast: Welche Schritte müssen Unternehmen in Anbetracht all dessen unternehmen, um sich besser zu verteidigen?

Pearlson: Die Behörden sind sehr gut darin - die Agenturen mit den drei Buchstaben: Homeland Security, FBI, was auch immer Ihre lokalen Behörden sind. Sogar viele größere Polizeidienststellen haben jetzt Cyber-Abteilungen. Sie haben Newsletter, die sie verschicken. Sie sind sehr gut darin, weiterzugeben, was sie haben, was sie wissen und was sie weitergeben können. Das ist eine Möglichkeit, sich zu schützen: sich mit der für Ihr Unternehmen zuständigen Behörde in Verbindung zu setzen.

In Chatrooms, im Dark Web, können Sie Anzeichen dafür sehen, dass sich ein Angriff formiert. Dann können Sie sich proaktiv schützen.

Wenn Sie zum Beispiel wüssten, dass sich jemand darauf vorbereitet, Versicherungsunternehmen anzugreifen, indem er [bestimmte] Prozesse stört, dann könnten Sie Schritte unternehmen, um sich zu schützen. Sie könnten z. B. Ihre Verteidigungsmaßnahmen auf diesen bestimmten Bereich ausrichten.

Mimecast: Was sollten die obersten Prioritäten für CISOs und Sicherheitsexperten sein?

Pearlson: Ich bin ein wenig voreingenommen; ich denke, dass die menschliche Seite eine Priorität sein sollte. Ich denke, Ihre Mitarbeiter sind sowohl Ihr schwächstes Glied als auch Ihre beste Verteidigung. Wenn ich nach neuen Initiativen für mein Unternehmen suchen würde, würde ich mir das ernsthaft ansehen. Wo sind die Löcher? Wo sind die Schwachstellen? Wie können wir sie stopfen?

Ich denke, es ist selbstverständlich, dass alle Ihre Technologien auf dem neuesten Stand sind. Alle Patches, die für Ihre Systeme herausgegeben wurden, wurden installiert und behoben. Es gibt einige grundlegende Hygienemaßnahmen, die durchgeführt werden müssen.

Bei den kleineren Unternehmen müssen Sie dort anfangen: Stellen Sie sicher, dass Sie sich um die Hygiene kümmern. Und dann für die größeren Unternehmen oder Unternehmen, bei denen die Tischeinsätze abgedeckt sind, dann denke ich, der nächste Punkt ist, sich um Ihre Mitarbeiter zu kümmern.

Deshalb ist unsere Forschung im Bereich Kultur so wichtig: Wie verändern Sie die Herzen und Köpfe Ihrer Mitarbeiter? Wie bauen Sie eine Kultur der Cybersicherheit auf?

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Q&A: Cybersecurity Awareness und die Lehren aus 2020

COVID-19, Remote Work und Datenschutz l...

COVID-19, Remote Work und Datenschutzgesetzgebung sind kompe... Mehr lesen >

Mercedes Cardona

von Mercedes Cardona

Mitwirkender Verfasser

Veröffentlicht am 23. Dezember 2020

Angst macht Mitarbeiter nicht cybersicher, Kreativität und Vertrauen schon

Scaring employees is an ineffective way …

Scaring employees is an ineffective way to make them cyber-v… Read More >

Miranda Nolan

von Miranda Nolan

Sicherheitsschriftsteller

Posted Jan 05, 2021

9 Wege zum Aufbau einer robusten Cyber-Sicherheitskultur

Effektive Cybersicherheit erfordert eine ...

Effektive Cybersicherheit erfordert eine durchgängige organisatorische ... Mehr lesen >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Verfasst am 1. Dezember, 2020