Freitag, 22. März 2019
Cybersicherheit ist kein Buzzwort
Keine Cybersicherheit ohne Betrachtung der Cybersicherheitskultur

Da die Digitalisierung branchenübergreifend zunimmt, erfordert Cybersicherheit weiterhin eine hohe Aufmerksamkeit. Immer mehr elektronische Geräte werden mit dem Internet verbunden (IoT). Dies erhöht die Angriffsfläche für Cyberkriminelle und Hacker und macht Cybersicherheit zu einem kritischen Teil von Digitalisierungsstrategien.

Cybersicherheit konzentriert sich nicht mehr ausschließlich auf Cybertechnologien. Auf Vorstandsebene gibt es mittlerweile einen klaren Trend zur Akzeptanz, dass Cybersicherheit, neben der Technologie, auch aus einem Prozess und aus Menschen besteht. Der dramatische Anstieg von Sicherheitsvorfällen der vergangenen Dekade wurde weitgehend anderen Gründen zugeschrieben, als der Technologie und deutet auf schwache organisatorische Maßnahmen hin, wie Prozesse, die nicht aktualisiert werden und Mitarbeiter die durch Social-Engineering dazu gebracht werden, vertrauliche Informationen und Anmeldedaten herauszugeben.

Die wachsende Akzeptanz der holistischen Sicht auf die Cybersicherheit in der auch Menschen und Prozesse eine entscheidende Rolle spielen, führt zu steigendem Interesse an Cybersicherheitskultur. In ihrem Bericht aus 2017 - Cybersecurity Culture in Organizations - empfiehlt die Europäische Agentur für Netz- und Informationssicherheit (ENISA) einen strukturierten Ansatz für die Einrichtung und Verwaltung des Sicherheitskulturprogramms einer Organisation. Als Teil des Konzepts legt ENISA nahe, dass die Messung der Sicherheitskultur ein wichtiger Schritt ist und dass möglichst, durch Anwendung eines Instruments wie dem CLTRe Toolkit, eine laufende Überwachung erfolgen sollte.

Rechtsvorschriften, wie die Europäische Datenschutz-Grundverordnung (DSGVO), verpflichten Organisationen, die Effektivität ihrer Sicherheitsprogramme laufend zu messen, einschließlich der Bestandteile, die nicht technischer Natur sind. Ähnliche Anforderungen sind auch in der jüngsten Revision der ISO 27*-Reihe der Normen zu sehen.

Der Security Culture Report 2018 der norwegischen Firma CTLe beinhaltet in der aktuellen Ausfertigung zwei neuen Branchen: Groß- und Einzelhandel sowie Informations- und Kommunikationstechnologie. Das Finanzwesen sowie die Immobilienwirtschaft wurden ja schon in dem Bericht von 2017 betrachtet. Vergleicht man die verschiedenen Branchen gibt es große Unterschiede!

Nicht unerwartet ist die Sicherheitskultur in der Finanzbranche in der Regel besser als in anderen Branchen. In der Immobilienbranche liegt die schlechteste Sicherheitskultur aller Branchen vor.

Im Report über die Sicherheitskultur von 2018 werden auch unterschiedliche Länder betrachtet. Auch hier ist das Ergebnis über die Sicherheitskultur in den einzelnen Ländern sehr unterschiedlich. Dies war zu erwarten, da Sprache und Mentalität ein wichtiger Aspekt der Kultur sind. Diese formt und prägt unsere Vorstellung von Risiko. Die Sicherheitskultur verändert sich ständig und entwickelt sich, wie im zeit-basierten Vergleich zu sehen ist.

Um Veränderungen in der Sicherheitskultur zu messen, ist es entscheidend, die Wirksamkeit der Cybersicherheitsmaßnahmen zum Schutz der Organisation und ihrer Daten gegen Cyber-Bedrohungen und Sicherheitsvorfälle zu dokumentieren. Eine ganzheitliche Cybersicherheitsstrategie, d.h. Implementierung von Kontrollen für Menschen, Prozesse und Technologien, ist der Schlüssel zum erfolgreichen Risikomanagement. Sicherheitskultur ist das fehlende Stück im Puzzle, sie überbrückt die Kluft zwischen Technologie auf der einen und Menschen sowie Prozesse auf der anderen Seite.

Weitere Infos zu dem Security Culture Report der Firma CLTRe bekommen Sie über die nevento. Bitte sprechen Sie uns an.