Aktuelles, Branche, Studien - geschrieben von am Samstag, Juli 11, 2020 12:45 - noch keine Kommentare

Home-Office: Bewusstsein für IT-Sicherheit dauerhaft stärken

Gerald Beuchelt plädiert für zielgruppenorientierte regelmäßige Vermittlung von Grundlagen der IT-Sicherheit

[datensicherheit.de, 11.07.2020] IT-Sicherheit im sogenannten Home-Office ist ein aktuelles Thema – und wird es wohl auch nach „Corona“ bleiben, denn viele Unternehmen und Mitarbeiter haben offensichtlich die Vorteile dieser Arbeitsweise entdeckt. Grundsätzlich benötigt wird „neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Sicherheitskultur für digitales Arbeiten“, betont Gerald Beuchelt, „Chief Security Officer“ von LogMeIn, und gibt hierzu nachfolgend Tipps aus der Praxis, wie Unternehmen ein IT-Sicherheitsbewusstsein entwickeln und erfolgreich halten können. Fernarbeit sei bei LogMeIn nicht erst seit „Corona“ an der Tagesordnung – die Hinweise ließen sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern, übertragen.

logmein-gerald-beuchelt

Foto: LogMeIn

Gerald Beuchelt: Neben sicherer IT-Infrastruktur und Zugriffsrechten auch passende IT-Sicherheitskultur für digitales Arbeiten!

Digitalisierung bringt nicht nur Vorteile, sondern ermöglicht Lücken in der IT-Sicherheit

Die Digitalisierung bringe nicht nur Vorteile, sie ermögliche auch Sicherheitslücken – „der menschliche Faktor ist dabei zum höchsten Risiko geworden“. Obwohl Mitarbeiter sich Cyber-Risiken durchaus bewusst seien und Cyber-Sicherheit verstünden, „unternehmen sie nicht die notwendigen Schritte, um ihre persönlichen oder Arbeitsdaten zu sichern“. Das habe kürzlich der dritte globale Report „Psychologie der Passwörter“ von LastPass offenbart. Tatsächlich wüssten 94 Prozent der Befragten aus Deutschland, „dass die Wiederverwendung eines Kennworts unsicher ist, aber überwältigende 66 Prozent verwenden immer noch dasselbe Kennwort“.
Durch diese Denkweise und die Freiheit, wo und wie der Mitarbeiter arbeitet, in Kombination mit der Vermischung privat wie beruflich genutzter Devices und Apps, blieben Unternehmen angreifbar. Die Schaffung einer IT-Sicherheitskultur sei also unerlässlich für den erfolgreichen Fortbestand jedes Unternehmens.

Kultur der IT-Sicherheit ohne Hierarchie-Ebenen

IT-Sicherheit könne nicht erfolgreich umgesetzt werden, „wenn nicht alle Beteiligten an Bord sind“. Das müsse jedem Unternehmen und der Geschäftsleitung bewusst sein. Es brauche eine gemeinsame Anstrengung, die alle Hierarchieebenen gleichermaßen einbeziehe. Jeder einzelne im Unternehmen müsse sich an die IT-Sicherheitsziele und -richtlinien halten und sie verstehen.
Beuchelt: „Das Top-Management geht dabei mit gutem Beispiel voran, damit Sicherheit nachhaltig Erfolg hat. Das Security- oder IT-Team ist dabei für die multidirektionale Kommunikation des Sicherheitsprogramms zuständig. Das heißt, es arbeitet hierarchisch gesehen von oben nach unten, von unten nach oben und von einer Abteilung zur anderen, um die Leitlinien zu vermitteln.“

Höheres Bewusstsein für IT-Sicherheit schenkt Freiheit

Mitarbeiter müssten IT-Sicherheit als „Enabler“ oder gar Produktmerkmal betrachten – sie bei neuen IT-Sicherheitssystemen, -konzepten und -richtlinien vor vollendete Tatsachen zu stellen, fördere dagegen nur Argwohn und Unverständnis.
Aufklärung und Transparenz seien die Lösung für einen nachhaltigen „Change-Prozess“. Es gelte, die Mitarbeiter in Verantwortung zu nehmen, ihnen auf Augenhöhe zu begegnen – und ihnen klar zu machen, „dass sie durch ein höheres Sicherheitsbewusstsein Freiheit gewinnen, nicht verlieren“.

Generationsgerechte Schulungen und Materialien für IT-Sicherheit

Jeder Mensch lerne dabei anders: Einige seien empfänglicher für visuelle oder auditive Inhalte, andere präferierten praxisorientierte Ansätze, lustige oder ernsthafte Lerninhalte. Trotz dieser Differenzen sei die Bereitstellung einer konsistenten Kommunikation der Schlüssel zu einem starken Bewusstsein.
Unternehmen sollten sich dabei darauf fokussieren, IT-Sicherheitsschulungen und -materialien generationsgerecht auf verschiedenen Kanälen bereitzustellen, um jeden Lerntypus unter den Mitarbeitern zu erreichen. „Zudem hilft es, Mitarbeiter beispielsweise bei Videoproduktionen und Wettbewerben frühzeitig einzubeziehen“, betont Beuchelt.

IT-Sicherheit spielerisch vermitteln

Richtlinien ließen sich durch Schulungen und regelmäßige Trainings in den Köpfen der Mitarbeiter verankern und auffrischen. Am besten geschehe dies spielerisch durch sogenanntes Storytelling in Form kleiner Filme, welche Bedrohungsszenarien wiedergäben – „mit einem kurzen abschließenden Test, der den Lerninhalt bei den Mitarbeitern abfragt“.
Auch „Escape-Rooms“ seien eine moderne spielerische Form, um IT-Sicherheitswissen zu testen. „Darin werden Mitarbeiter mit Sicherheitslücken konfrontiert, die nur durch richtiges Handeln gestopft werden können. Erst dann öffnete sich wieder die Tür. Diese lassen sich nicht nur im Büro, sondern auch virtuell umsetzen. Hinter der letzten ,Tür‘ wartet dann nicht die ,Freiheit‘, sondern ein digitales Feuerwerk mit Urkunde“, erläutert Beuchelt.

IT-Sicherheit: Kein Einmal-Projekt, sondern fortlaufender Prozess!

„Eine einmalige Sicherheitsschulung – wenn diese auch flächendeckend durchgeführt wird – bleibt nicht im Gedächtnis haften. Die Erschaffung und Aufrechterhaltung einer Sicherheitskultur ist eine sich ständig weiterentwickelnde Mission“, betont Beuchelt.
Aufklärung und Schulungen zu aktuellen Bedrohungen und Sicherheitsrichtlinien sollten nicht die Ausnahme, sondern die Regel werden, fordert der „Chief Information Security Officer“ bei LogMeIn, nach eigenen Angaben verantwortlich für das gesamte Sicherheits-, Compliance- und technische Datenschutzprogramm des Unternehmens. Mit mehr als 20 Jahren Erfahrung im Bereich Informationssicherheit sei er Mitglied des „Board of Directors“ und „IT-Sector Chief“ für den Bostoner Ortsverband von InfraGard.

Weitere Informationen zum Thema:

LastPass… by LogMeIn
Psychologie der Passwörter / Riskante Verhaltensmuster im Internet

datensicherheit.de, 15.04.2020
Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home-Offices



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung