Cybersicherheit: Die Human Firewall – vom CEO über den Admin bis in die Produktion.
von Stefan Maurer
Moderne Cybersicherheit ist viel mehr als Technologie. Sie verbindet Technik, Organisation, Prozesse und Menschen zu einem großen Ganzen. Mitarbeitende haben in Unternehmen beim Schutz von Daten und Zugängen eine wichtige Rolle. Das sagt Mathias Schick, Business Manager Security bei Bechtle, und das sagen die Zahlen. Je nach Quelle zielen 70 bis 90 Prozent der Cyberangriffe auf Menschen ab – zum Beispiel durch Social Engineering vorbereitetes Phishing, Spear Fishing oder CEO Fraud.
Verfasst von
E-Mail: stefan.maurer@bechtle.com
Herr Schick, sind Mitarbeitende das größte Sicherheitsrisiko?
So würde ich das nicht formulieren, denn geschulte und sensibilisierte Menschen sind ein entscheidender Faktor für wirksame Cyberresilienz. Dennoch zeigt sich: Cyberkriminelle greifen bevorzugt das schwächste Glied in der Kette an – und das ist häufig der einzelne Mitarbeitende. Hier entsteht ein Dilemma moderner Cybersicherheit: Wenn technische Schutzmaßnahmen so effektiv sind, dass nur noch wenige schädliche Nachrichten durchdringen, fehlt den Menschen oft die Routine, um diese zu erkennen. Die Angriffe sind deshalb erfolgreich, weil psychologische Triggerpunkte im Cyberumfeld dieselben bleiben wie in der realen Welt: Neugier, Druck, Angst, Narzissmus.
Wie helfen wir den Mitarbeitenden?
Indem sie regelmäßig geschult und für die Gefahren von Cyberangriffen sensibilisiert werden. Künstliche Intelligenz eröffnet beispielweise eine völlig neue Dimension, die vielen noch gar nicht bewusst ist – etwa bei CEO-Fraud-Angriffen mit simulierten Deepfake-Videos oder gefälschten Telefonanrufen. Wichtig ist, dass Schulungen am Wissensstand der Kolleg:innen ausgerichtet werden, denn nicht alle sind auf demselben Level. Noch entscheidender ist jedoch, dass wir uns von der Vorstellung verabschieden, IT-Sicherheit sei allein Sache der Technik und der IT-Abteilung. Wir müssen Cybersicherheit ganzheitlich denken und umsetzen.
Sprechen wir dennoch noch einmal über Awareness-Schulungen. Was gilt es konkret zu beachten?
Drei Punkte aus meiner Sicht. Kontinuität ist entscheidend, denn Awareness schaffen ist ein dauerhafter Prozess und kein Projekt. Zielgruppen-Orientierung hebt das Angebot auf ein neues Level, weil ein Administrator mit anderen Risikofaktoren befasst ist als Kolleg:innen in der Produktion. Und dann geht es um Praxisnähe und Relevanz. Das heißt, die Inhalte müssen an reale Bedrohungen und den Arbeitsalltag geknüpft sein.
Die Inhalte von Awareness-Schulungen müssen an reale Bedrohungen und den Arbeitsalltag geknüpft sein.
Mathias Schick, Business Manager Security
Wie bindet man Schulungen in ein gesamtheitliches Konzept ein?
Indem man sie als Teil einer unternehmensweiten Sicherheitskultur begreift. Das heißt, wir brauchen eine positive Fehlerkultur und keine Angst. Im Grund genommen müssen wir Mitarbeitende animieren, Fehler und Vorfälle schnell und ohne Angst zu melden. Für sie dürfen daraus keine Konsequenzen entstehen. Im Gegenteil: Es sollte eine positive Erwähnung finden, wenn Probleme mutig aufgedeckt und ansgesprochen werden.
Psychologische Faktoren spielen also auch eine Rolle.
Absolut, sie sind enorm wichtig. Alle, die mit Cybersecurity zu tun haben, sollten diese Aspekte immer im Kopf haben. Denn eines ist klar, Unternehmen brauchen ihre Mitarbeitenden, um resilienter zu werden – ohne sie geht es nicht.
Sie haben über eine Sicherheitskultur gesprochen. Wer muss diese tragen?
Natürlich das Management. Nicht nur, aber auch aufgrund der vielfältigen Regulatorik, mit der sich Unternehmen heute im Security-Bereich beschäftigen müssen, muss Cybersicherheit auf die Agenda der Führung. Sicherheit ist ein kulturelles Thema, ein Pflichtthema aus regulatorischerSicht und ein Business-Thema, um Wettbewerbsvorteile zu erlangen. Die digitale Transformation und neue digitale Geschäftsmodelle können nur sicher erfolgreich sein. Dafür benötigt es die ungeteilte Aufmerksamkeit von ganz oben.