Sicherheitskultur wird vor allem im Energiesektor vernachlässigt

Jelle_Wieringa_neu_klein

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Im aktuellen Security Culture Report 2020 von KnowBe4 lassen sich deutliche Unterschiede zwischen einzelnen Branchen aufzeigen, wie dort das Thema „Sicherheitskultur“ behandelt wird. Für den vorliegenden Bericht, der mit der aktuellen Fassung in seine vierte Auflage seit 2017 geht, wurden per Online-Umfrage mehr als 120.050 Mitarbeiter aus 1.107 Organisationen in 24 Ländern analysiert. Insgesamt wurden 17 Branchen miteinander verglichen. Untersucht wurde die Sicherheitskultur eines Unternehmens anhand von sieben Kriterien, darunter Einstellung, Verhalten, Wissen, Kommunikation, Compliance, ungeschriebene Verhaltensregeln und Verantwortungsgefühl. Am besten schnitten Banken, Versicherungen und andere Finanzdienstleister ab. Am schlechtesten waren der Bildungs-. Transport- und Energiesektor.

Der Bildungssektor ist breit gefächert. Die Beschäftigten in dieser Branche beginnen erst seit kurzem, sich mit Cyberbedrohungen auseinanderzusetzen. Die Mitarbeiter sind oft gut ausgebildet, arbeiten jedoch noch wenig digital und kennen daher die neuen Bedrohungen wenig. Die jüngste COVID-19-Pandemie zwang viele technikresistente Sektoren zur Transformation und Neuorganisation. Der Bildungssektor wurde von dieser Pandemie stark in Mitleidenschaft gezogen, daher bleibt es spannend, wie Digitalisierungsfortschritte eine Sicherheitskultur fördern können. Angesichts des zunehmenden Einsatzes von Computern, Tablets und anderen digitalen Geräten ist es für diese Branche wichtig, sich über die Risiken und die notwendigen Schritte zum eigenen Schutz bewusst zu werden.

Besonders schlecht abgeschnitten haben Unternehmen aus dem Energiesektor, dass ist sehr bedenklich, weil diese Unternehmen in der Regel auch KRITIS-Betreiber sind und als enorm stark reguliert gelten. Wenn also eine starke Regulierung nicht für eine starke Sicherheitskultur sorgt, dann müssen andere Maßnahmen getroffen werden, um Abhilfe zu schaffen. Vor allem beim Thema Wissen ergab die Befragung, dass die Energieunternehmen Nachholbedarf haben und die Mitarbeiter vor allem für Social Engineering-Techniken anfällig sind.

Darüber hinaus führt eine schlechte Einstellung zu Negativität und Vernachlässigung der Sicherheit. Verärgerte Mitarbeiter werden zu Insider-Bedrohungen. Mangelnde Schulung und Ausbildung führt dazu, dass Mitarbeiter die Bedeutung von Sicherheit nicht verstehen und sich daher nicht darum kümmern. Die Förderung einer starken Sicherheitskultur liegt in der Verantwortung des Managements und sollte zu einer Priorität gemacht werden. Eine angemessene Prioritätensetzung lässt sich leicht erkennen, wenn man die Finanzierung überprüft, die Beschaffung von Sicherheitsprodukten und -dienstleistungen und die Eigeninitiative einer Organisation bei der Verwaltung der Sicherheitskultur, einschließlich der Aus- und Weiterbildung der Mitarbeiter.

Besonders aktuell, wo viele Universitäten keinen Präsenzunterricht mehr anbieten können, wird die Abhängigkeit von IT-Systemen deutlich und wie viel Nachholbedarf an den einzelnen Institutionen besteht. Ein aus Sicht der IT-Sicherheit wichtigeres Problem ist jedoch, dass sich eine Sicherheitskultur nur schwer im Home Office etablieren lässt. Sicherlich gibt es Regeln und Compliance und Unternehmen können verschiedene Anreize einsetzen, um diese durchzusetzen. Eine wirkliche aus sich selbst erwachsene Sicherheitskultur, in der sich Mitarbeiter ähnlich eines Verhaltenskodexes in einer Unternehmenskultur gegenseitig an die Einhaltung erinnern und vor allem positiv anspornen, ist sehr schwierig. Es ist so komplex, weil es hier unter anderem um Emotionen geht, zu stark beachtete Regeln gelten als Kontrolle und führen zu einer schlechten Stimmung unter den Mitarbeitern und Führungskräften. Stattdessen ist es wichtig, alle ins Boot zu holen und sich auf Werte und Verhaltensweisen zu einigen, die von allen gemeinschaftlich eingehalten werden. Bei einer Feuerwehrübung machen auch alle mit und wissen, was zu tun ist. Genauso sollte es bei der IT-Sicherheit letztlich ebenso sein, auch wenn es sich um einen komplexeren Sachverhalt handelt. Kontinuierliche Weiterbildung bei der Security Awareness hilft die Komplexität zu überwinden.