Die Zahl der Cyberangriffe wächst seit Jahren kontinuierlich. Besonders dramatisch ist seit Ausbruch der Corona-Pandemie der weltweite Anstieg der Social-Engineering-Attacken, bei denen Cyberkriminelle Mitarbeitende manipulieren, um Zugang zu IT-Systemen und Daten von Unternehmen zu erhalten. Es ist davon auszugehen, dass dieser Trend sich noch verstärken wird. Informationssicherheits-Strategien von Unternehmen berücksichtigen den Hauptrisikofaktor Mensch jedoch nur ungenügend. Insbesondere ist vielen Unternehmen nicht klar, dass ein erfolgreiches Sicherheitskonzept auch die Etablierung einer Informationssicherheits-Kultur beinhalten muss. Angesichts des technischen Fokus eines Großteils der Informationen zu Cybersecurity und Informationssicherheit in Fachmedien und im Internet wollen wir hier einen Ausblick darauf geben, wie die Organisationsentwicklung in die Informationssicherheits-Strategie einfließen kann und wie eine Informationssicherheits-Kultur mit Hilfe agiler Vorgehensweisen im Unternehmen entwickelt werden kann.

1) Die Bedrohung durch Cyberkriminalität wächst rasant

Im Juli 2021 hat die Bitkom eine alarmierende Studie zum Thema Vertrauen und IT-Sicherheit veröffentlicht.[i] Den Ergebnissen zufolge hat sich der Schaden durch Cyberangriffe binnen eines Jahres auf 223 Milliarden Euro verdoppelt. Waren früher vor allem Großkonzerne und staatliche Institutionen betroffen, ziehen sich Cyberangriffe heute durch die gesamte deutsche Industrie: insgesamt gaben 9 von 10 Firmen an, im vergangenen Jahr Opfer von Cyberangriffen geworden zu sein. 10 % der Unternehmen waren durch Cyberangriffe sogar in ihrer geschäftlichen Existenz bedroht. Den größten Beitrag zu dieser besorgniserregenden Entwicklung leisten Ransomware-Attacken, bei denen der Zugang der Nutzer*innen zu den infizierten Systemen durch Verschlüsselung blockiert und nur gegen Zahlung von Lösegeldern in teilweise erheblicher Höhe wieder entsperrt wird.

Der Anstieg dieser Art von Attacken stieg binnen eines Jahres um gigantische 350%. Neben finanziellen Schäden kann es bei Attacken auf kritische Infrastrukturen sogar um Leben und Tod gehen: im Herbst 2020 ging durch die Medien, dass eine Frau im Krankenwagen gestorben ist, weil die Notaufnahme der Uniklinik Düsseldorf durch Ransomware lahmgelegt war und die Patientin nicht aufnehmen konnte. Auch wenn sich dieser Begründung für den Tod der Frau im Nachhinein als unwahrscheinlich herausgestellt hat[ii], gehen Experten davon aus, dass es nur eine Frage der Zeit ist, bis es die ersten Toten durch Cyberangriffe gibt.[iii]

Die Ausweitung der Tätigkeit im Homeoffice im Rahmen der Corona-Pandemie leistet einen substanziellen Beitrag zum Anstieg der Cyberkriminalität. Bedenklich ist dabei vor allem, dass die Erfolgsquote der Attacken, die mit dem Homeoffice in Verbindung stehen bei über 50 % liegt. Einen Hauptgrund dafür sieht die Bitkom in der gemischten Nutzung von Privat- und Firmengeräten. Auch die unbefugte Nutzung von Firmengeräten – z.B. durch Familienmitglieder – und sonstige Verletzungen von Compliance-Regeln begünstigen Attacken. Auch der ungenügende Schutz der Kommunikationskanälen, die für die virtuelle Zusammenarbeit genutzt werden, stellt ein erhebliches Risiko dar. Manchmal ist es jedoch auch schlicht der mangelnde Digitalisierungsgrad von Arbeitsabläufen und Prozessen, der die Mitarbeitenden zu unsicheren Workarounds zwingt. Angesichts der hybriden Zukunft der Arbeitswelt ist davon auszugehen, dass die Anzahl der Cyberangriffe weiterhin rasant steigen wird. Oft wird in diesem Zusammenhang verkürzt von Cybersecurity gesprochen, die jedoch nur ein Teilgebiet der Informationssicherheit ist. Während sich Cybersecurity auf die Absicherung des Cyberraums beschränkt, umfasst die Informationssicherheit den Schutz von Informationen und Informationssystemen zur Sicherstellung von deren Integrität, Vertraulichkeit und Verfügbarkeit. Im Folgenden zeigen wir auf, welche Rolle der Faktor Mensch dabei spielt.

2) Social Engineering: Attacken zielen auf den Menschen als schwächstes Glied der Kette

Die Zunahme der Cyberkriminalität im Homeoffice verdeutlicht, was bereits vor der Pandemie zu erahnen war: der Mensch ist das größte Sicherheitsrisiko und damit das schwächste Glied der Informationssicherheitskette!

Dies haben auch Cyberkriminelle erkannt und zielen bei Ihren Attacken vermehrt auf Menschen, ein Vorgehen das auch als Social Engineering bezeichnet wird. Im Kern geht es dabei laut BSI um die geschickte Täuschung über die Identität und die Absicht des Täters. Es wäre zu leicht, dabei einfach nur auf Gutgläubigkeit als Grund für erfolgreiche Angriffe zu verweisen. Laut der Agentur der EU für Cybersicherheit ENISA ist alleine die Anzahl der Phishing-Mails im letzten Jahr um 600% gestiegen![iv] Verizon hebt Phishing auf den ersten Platz unter allen Aktionen, die in 2020 zu einer Datenpanne in Unternehmen geführt haben.[v] Konnte man sich früher halbwegs in Sicherheit wiegen, wenn man unbekannte *.exe-Dateien in E-Mails nicht geöffnet hat, ist das Vorgehen der Cyberkriminellen heute deutlich perfider und lässt selbst Menschen mit hoher digitaler Affinität in die Falle tappen: Die Attacken werden durch das Sammeln von Informationen und Ausspionieren von Mitarbeitenden minutiös vorbereitet. Websites und Mail-Designs werden perfekt nachgebaut. Die Angreifer können sich so glaubhaft als Mitarbeiter des IT-Service einer Firma ausgeben, da sie Interna kennen und Informationen über ihre Opfer und deren berufliches Umfeld haben. Das betrifft auch Führungskräfte: Ein McAfee-Report aus dem Jahr 2020 verweist explizit auf eine gestiegene Anzahl an sogenannten CEO Frauds, deren Kosten schnell im Millionen-Bereich liegen, da es neben Datenverlusten und Ausfallzeiten auch zu Marken- und Reputationsschäden kommt.[vi] Doch was können Unternehmen tun?

3) Der Faktor Mensch als Kern der Informationssicherheits-Strategie

Angesichts der wachsenden Bedrohungen investieren immer mehr Unternehmen in eine Informationssicherheits-Strategie. Laut dem Digital Trust Report 2021 von PwC ist die Corona-Pandemie für 98% der Unternehmen ein Auslöser gewesen, ihre Sicherheitsmaßnahmen zu überdenken und neu auszurichten.[vii] Mehr als die Hälfte davon hat ihr Budget für 2021 erhöht. Allerdings beobachten wir im Kontext dieser Entwicklung, dass die meisten Informationssicherheits-Strategien auf technologische Vorkehrungen fokussieren und den Faktor Mensch außer Acht lassen. Natürlich sind technologische Abwehrmaßnahmen das Fundament jeder Strategie. Fatalerweise kann jedoch bereits ein einziger Fehler einer einzelnen Person die technologischen Sicherheitsvorkehrungen eines Unternehmens aushebeln: Wird ein unsicheres Passwort gewählt, ein Passwort verraten, eine Datei angeklickt oder ein Remote-Zugriff gewährt, ist es zu spät. Der Mensch muss also auch in einer Informationssicherheits-Strategie im Mittelpunkt stehen. Ein Mindeststandard jeder Strategie sollte sein, dass die Informationssicherheits-Awareness durch individuelle Trainings- und Weiterbildungsmaßnahmen etabliert und kontinuierlich ausgebaut und an neue Bedrohungen angepasst wird. Die trockenen Datenschutz-Schulungen im Frontalunterricht, die in vielen Unternehmen noch zum Standard gehören, reichen dazu aber nicht mehr aus. Stattdessen muss der Faktor Mensch nicht nur sicherheitstechnisch, sondern auch lernpsychologisch berücksichtigt werden: z.B. durch interaktive E-Learning-Elemente, Malware- und Phishing-Simulationen und Angebote für Peer-to-Peer-Lernformate. Gerade der soziale Austausch scheint von großer Bedeutung zu sein: In dezentralen Unternehmen und Unternehmen mit hoher Homeoffice Quote ist die Erfolgsrate von Social-Engineering-Attacken deutlich höher als in zentralisiert organisierten Unternehmen: der Flurfunk spielt demnach eine Rolle für die gemeinsame Sensibilisierung für das Thema. Welche Rolle spielt also die Organisation?

4) Die Organisation in der Strategie mitdenken!

Nicht das Individuum, sondern der Mensch als Teil der Organisation mit ihrer gelebten Kultur, spielt die eigentliche Hauptrolle in der Informationssicherheit. Während sich in anderen Bereich der IT die Erkenntnis durchgesetzt hat, dass Digitalisierung ebenso sehr ein Organisations- wie ein Technologiethema ist, wird die Organisation in der Informationssicherheit noch sträflich vernachlässigt. Dies ist insofern überraschend, da der Erfolg einer Informationssicherheits-Strategie davon abhängt, dass Menschen sich korrekt verhalten. Bis zu einem gewissen Grad kann dies durch individuelle Trainings beeinflusst werden. Das Verhalten von Menschen im Job wird jedoch maßgeblich von der vorherrschenden Organisationskultur beeinflusst. Die Kultur führt dazu, dass bestimmte Dinge auf eine bestimmte Art und Weise getan werden, ohne dass dies irgendwo geschrieben steht: Teams kommunizieren zu sensiblen Themen über WhatsApp, große Dateien werden auf Grund limitierter E-Mail-Quotas über unautorisierte Filetransfer-Dienste versendet, in der Schublade der Sekretärin liegt eine Passwortliste, falls der Chef mal dringend an einen Rechner muss… Der Einfluss der Organisationskultur kann sich auf vielen Ebenen zeigen und zu Sicherheitsrisiken führen, in manchen Fällen entwickelt sich über Jahre hinweg eine Schatten-IT, die komplett unter dem Radar der Sicherheitsbeauftragten genutzt wird. Weder Technologien noch individuelle Vorkehrungen können dies letztlich zu 100% verhindern. Unternehmen wird dies zunehmend bewusst. Nur 5% bewerten ihre Informationssicherheits-Kultur laut einer Studie der Information System Audit and Control Association ISACA als zufriedenstellend.[viii] Gleichzeitig zeigt die Studie, dass die wenigsten Unternehmen wissen, wie sie vorgehen sollen, um die Kultur zu entwickeln. Als wesentliche Ursachen werden in erster Linie kulturell-organisationale Gründe genannt, u.a. die fehlende Akzeptanz der Mitarbeitenden (41%), mangelhaftes Alignement der Geschäftsbereiche (39%) und fehlendes Engagement des Top-Managements (27%) genannt. Was also tun?

5) Merkmale einer Informationssicherheits-Kultur

Die Informationssicherheits-Kultur wurde schon vor 15 Jahren wissenschaftlich aufgegriffen[ix] – Praktikern war ihre Bedeutung wohl schon deutlich länger bewusst. Da akademische Perspektiven auf das Thema leicht als wirklichkeitsfern wahrgenommen werden, ist seitdem jedoch wenig passiert. In einem spannenden Artikel haben die beiden MIT-Forscher*innen Keman Huang und Keri Pearlson 2019 ein Modell zur Entwicklung einer Cybersecurity-Kultur in Unternehmen vorgestellt.[x] Das Modell basiert auf dem Kulturebenen-Modell von Ed Schein[xi], das drei Ebenen von Kulturphänomenen beschreibt und ist allgemein für Informationssicherheits-Kulturen anwendbar: 1) Artefakte: auf der obersten Ebene sind die sichtbaren Auswüchse einer Kultur, wie beispielsweise das gelebte Verhalten, der Umgang miteinander, die Kleiderordnung etc., 2) Werte und Normen: die zweite Ebene bilden Leitbilder, Führungsprinzipien und Strategien, in denen bekundet wird, wie die Organisation sein soll, 3) Grundannahmen: die dritte Ebene befindet sich unter der sichtbaren Oberfläche. Hier befinden sich für selbstverständlich gehaltene Bewertungen, Lösungen und Grundgedanken, die die Organisation prägen. Eine Informationssicherheits-Kultur entsteht, wenn auf allen drei Ebenen sicherheitsrelevantes Verhalten gefördert wird. Dazu ist es laut Huang und Pearlson notwendig, dass unterschiedliche Gruppen im Unternehmen unterschiedliche Verhaltensweisen entwickeln:

• Management: Führungskräfte spielen eine Schlüsselrolle in der Informationssicherheit. Einerseits können sie durch die richtigen Entscheidungen externe Bedrohungen reduzieren, andererseits propagieren sie durch konsequentes Vorleben die Kultur. Damit dies gelingt, müssen Führungskräfte zunächst das notwendige Wissen und Skill-Set erwerben, um Informationssicherheit zu verstehen und Risiken im eigenen Unternehmen zu erkennen. Auf der Basis dieses Wissens müssen Führungskräfte Informationssicherheit als strategisches Thema priorisieren. Schließlich müssen sie sichtbar an sicherheitsrelevanten Aktivitäten teilnehmen.
• Teams: Gemeinsame Überzeugungen und die damit einhergehenden Verhaltensweise entstehen in erster Linie durch die Zusammenarbeit im Unternehmen. In der Zusammenarbeit im Team muss daher offen über Informationssicherheit gesprochen und diese priorisiert werden. Zudem muss sie in die tägliche Kollaboration integriert Dabei helfen Checklisten und die konsequente Einbindung des Themas in Prozesse und Regeltermine. Darüber hinaus muss die bereichsübergreifende Zusammenarbeit zwischen IT/Informationssicherheit und Business intensiviert werden. Sitzt die IT oder gar ein Informationssicherheitsbeauftragter (ISB/CISO) immer mit am Tisch, um für sicherheitsrelevante Themen zu sensibilisieren, erleben auch neue Teammitgliedern den Stellenwert der Informationssicherheit ganz direkt.
• Individuen: Jede*r Einzelne kann zur Informationssicherheits-Kultur beitragen, wenn bestimmte Bedingungen erfüllt sind. Vor allem müssen die Mitarbeitenden Selbstwirksamkeit wahrnehmen, d.h. wissen und erleben, dass ihre individuellen Handlungen einen Impact auf die Sicherheit haben. Dazu ist es notwendig, dass sie die -Vorgaben und Prozesse zur Informationssicherheit des Unternehmens kennen (Was ist zu tun? Was ist falsch/richtig? Wie ist es zu tun?) und verstehen (Warum ist das wichtig?). Dazu müssen Mitarbeitende eine generelle Awareness für Informationssicherheit entwickeln, um Bedrohungen zu erkennen. Die individuellen Komponenten einer Informationssicherheits-Kultur lassen sich z.B. durch Simulationen und interaktive Übungen schulen.

Spricht man über Unternehmenskultur im Zusammenhang mit Informationssicherheit, kommt schnell ein Eindruck von ausschließlichem „müssen“ und „sollen“ auf. Auch wenn regelhaftes Verhalten ein wichtiges Element einer Informationssicherheits-Kultur ist, lässt sich mit erhobenem Zeigefinger nur selten etwas erreichen. Im Strategieprozess sollte man stattdessen betonen, wie eine solche Kultur Mitarbeitende, Teams und Führungskräfte ermutigt, die richtigen Entscheidungen zu treffen und ihren Arbeitsalltag im Einklang mit den Sicherheitsrichtlinien zu gestalten.[xii]  Ähnlich verhält es sich mit wissenschaftlichen Empfehlungen. Huang und Pearlman empfehlen verschiedene Maßnahmen zur Kulturentwicklung. Während einige davon generisch und damit in allen Unternehmen sinnvoll sind (z.B. dezidierte Informationskanäle, Cybersecurity-Trainings etc.), kann nicht jede Maßnahme in jeder Unternehmenskultur umgesetzt werden – die Informationssicherheits-Kultur ist letztlich eine Untermenge der allgemeinen Unternehmenskultur. Wir plädieren deshalb dafür, dass Unternehmen ihre individuelle Strategie unter breiter Partizipation aller Ebenen entwickeln.

6) Die Strategie partizipativ entwickeln und iterativ umsetzen

Die Organisation in der Strategie mitdenken – hinter dieser Aufforderung verbergen sich gleich zwei Aussagen: Zum einen muss die Strategie die Organisationsentwicklung hin zu einer Informationssicherheits-Kultur beinhalten, wie beschrieben. Zum anderen muss die Organisation bei der Entwicklung und Umsetzung eingebunden werden. Geschieht dies nicht, so scheitern laut Studien von McKinsey ca. 70% aller Strategieprojekte. Das liegt selten am Konzept oder an Technologien, sondern an ungünstigen kulturellen und organisatorischen Rahmenbedingungen.[xiii] Es ist daher wichtig, die Mitarbeitenden schon früh in den Prozess einzubinden. Wir meinen hier nicht das klassische Change-Management, wo Veränderungsprozesse von oben angeordnet und dann mit Hochglanz-Newslettern begleitet werden, sondern echte Partizipation: Wenn der Mensch in der Organisation der kritische Faktor ist, dann ist er zugleich auch eine wesentliche Informationsquelle für Sicherheitsrisiken und potenzieller Ideengeber für Lösungen. Strategische Leitlinien können dabei selbstverständlich vom CIO oder ISB/CISO kommen – bewährt hat sich in Strategieprozessen jedoch die Entwicklung von Zielen und Maßnahmen im Zusammenspiel von strategischen Erwägungen des Managements (top-down) und konkreten Prozesskenntnissen sowie Ideen aus dem gesamten Unternehmen (bottom-up). Eine Strategie, die auf diese Weise entwickelt wurde, wird automatisch von einer breiten Mehrheit im Unternehmen getragen.

Um nachhaltigen Erfolg zu erreichen, sollte die Informationssicherheits-Strategie schrittweise und flexibel umgesetzt werden. Dazu eignen sich Vorgehensmodelle aus der agilen Welt. Diese finden im Bereich der Informationssicherheit, wo entsprechende Managementsysteme (ISMS) im top-down Verfahren eingeführt werden, häufig keine umfassende Anwendung – wohl weil Agilität (fälschlicherweise!) mit vollkommener Autonomie assoziiert wird. Dabei haben agile Methoden einen entscheidenden Vorteil: sie bieten einen geregelten Rahmen für die iterative und kontrollierte Umsetzung von Vorhaben und erlauben die kontinuierliche Anpassung an neue Entwicklungen. Für die nachhaltige Umsetzung einer Informationssicherheits-Strategie empfehlen sich insbesondere Objectives and Key Results (OKR) – ein agiles Strategie-Framework das v.a. durch seine Anwendung bei Google berühmt wurde.[xiv] Dabei werden die mittelfristigen Ziele einer Strategie in einem vierteljährlichen Review auf qualitative Objectives heruntergebrochen („Unsere Mitarbeitenden werden besser im Erkennen von Gefahren“), die durch quantitative Key Results („Der Anteil der erfolgreichen Phishing-Attacken ist um 10% gesunken“) messbar gemacht werden. Die OKR können dann auf Business Units oder Teams heruntergebrochen werden, wo dann zentrale Maßnahmen zum Erreichen der Ziele (z.B. Schulungen) um dezentrale Maßnahmen (z.B. Einführung von Informationssicherheits-Weeklys) ergänzt werden können. Im Review wird das Erreichte evaluiert und die Priorisierung angepasst, z.B. wenn neue Bedrohungen auftauchen, die in der Strategie nicht berücksichtigt wurden. Ganz nebenbei unterstützen OKR so übrigens auch die Kulturentwicklung: das Thema ist ständig präsent, wird offen diskutiert wird und alle sind ihren Aufgaben und Rollen entsprechend involviert. Abbildung 3 skizziert die wesentlichen Schritte der Strategieentwicklung von der Analyse, über die Strategieentwicklung hin zur agilen Umsetzung der Strategie.

OKR sind nur eine von mehreren möglichen Methoden, um eine Informationssicherheits-Strategie im Unternehmen auszurollen und alle transparent an der Umsetzung zu beteiligen. Auch mit Elementen aus der agilen Projektmanagement-Methodik SCRUM oder mittels Portfolio-Kanban lässt sich erreichen, dass die Organisation Informationssicherheit wirklich lebt. Die konkrete Methode ist aber eigentlich zweitrangig. Es geht angesichts der wachsenden Bedrohungen und der Komplexität des Themas Informationssicherheit in erster Linie darum, dass die gesamte Organisation neue, sicherheitsrelevante Verhaltensweisen verinnerlicht. Agile Methoden dienen hier als Unterstützung auf dem Weg zum Ziel, da ihr Regelwerk erfordert, dass sich Menschen auf eine bestimmte Art und Weise verhalten, etwa indem sie die transparente Zielerreichung in kleinen Schritten, den regelmäßigen Austausch, und den offenen Umgang mit Fehlern fördern. Diese Art von Kulturentwicklung ist notwendig, um auf die Bedrohungen der Zukunft schnell reagieren zu können.

Fazit

Menschen sind der Hauptangriffspunkt von Cyberkriminellen. Die zunehmende Tätigkeit im Homeoffice und die damit verbundene Dezentralisierung werden diesen Trend weiter unterstützen. Um dieser Entwicklung strategisch zu begegnen reichen technologische Schutzmechanismen und individuelle Schulungen nicht aus, da das Verhalten von Menschen im Job maßgeblich durch die Kultur beeinflusst wird. Die Entwicklung einer Informationssicherheits-Kultur ist ein langfristiges Unterfangen. Das Investment lohnt sich jedoch, da nachhaltige Cyberresilienz nur erreicht werden kann, wenn die notwendigen technologischen Vorkehrungen auf eine Organisation treffen, die sicherheitsrelevantes Verhalten auf allen Ebenen verinnerlicht hat. Denn eines sollten Unternehmen im Kopf behalten: Eine Informationssicherheits-Strategie ist nie „fertig“, der Job ist nicht erledigt, sobald sie umgesetzt ist. Wer gewappnet sein will, investiert in eine agile Sicherheitskultur, in der das Thema kontinuierlich präsent ist.

Quellen und Referenzen:

[i] Vertrauen & IT-Sicherheit 2021 | Bitkom Research (bitkom-research.de)

[ii] https://www.heise.de/hintergrund/Staatsanwalt-macht-Rueckzieher-Krankenhaus-Hacker-nicht-fuer-Tote-verantwortlich-4961183.html

[iii] Gartner Predicts By 2025 Cyber Attackers Will Have Weaponized Operational Technology Environments to Successfully Harm or Kill Humans

[iv] Phishing most common Cyber Incident faced by SMEs — ENISA (europa.eu)

[v] Verizon 2020 Data Breach Report

[vi] New McAfee Report Estimates Global Cybercrime Losses to Exceed $1 Trillion | McAfee, Inc.

[vii] Digital Trust Insights 2021 – PwC

[viii] https://www.isaca.org/-/media/info/cybersecurity-culture-report/index.html

[ix] Organisational security culture: Extending the end-user perspective – ScienceDirect

[x] http://web.mit.edu/smadnick/www/wp/2019-02.pdf

[xi] Organizational Culture and Leadership (vnbrims.org)

[xii] Tipps für eine echte Cyber-Security-Kultur im Unternehmen (computerweekly.com)

[xiii] How to beat the transformation odds | McKinsey

[xiv] re:Work – Guide: Set goals with OKRs (rework.withgoogle.com)