Abteilungsdenken – nein danke! IT-Sicherheit geht alle Mitarbeitenden an.
Heute ist fast jedes Unternehmen auch ein digitales Unternehmen. Dies bedeutet, dass alle Kollegen nicht nur im Umgang mit ihrer betrieblichen Software, sondern auch bezüglich der Sicherheitsaspekte geschult sein müssen. Die IT-Abteilung und ausgewiesene Cybersicherheitsexperten können eine ganze Organisation nicht allein gegen die Vielfalt der modernen Angriffsvektoren schützen – die ganze Belegschaft muss wachsam sein. Abteilungsdenken hat ausgedient.
Verlassen sich Mitarbeitende mit Abteilungsdenken nur auf die eigene IT-Abteilung als Schutzinstanz, ohne die Notwendigkeit der eigenen Mitwirkung als Abwehrmaßnahmen zu erkennen, kann dies gefährlich werden. Beispielweise kann dies zum Ausbleiben von Investitionen in dringend notwendige moderne Security Tools führen. Tatsächlich kommt eine aktuelle Studie zu dem Schluss, dass 80 Prozent der Mitarbeitenden überzeugt sind, ihre IT-Abteilung sei den aktuellen Herausforderungen gewachsen. Doch IT-Sicherheit ist ein so komplexes Feld, dass Kollegen aus dem IT-Support dieses nicht einfach neben ihren eigentlichen Kernaufgaben abdecken können.
Was können Unternehmen also tun, angesichts eines Arbeitsmarktes, auf dem Security-Experten rar sind? In Technologie investieren ist nur eine Seite der Medaille, gleichzeitig sollten Mitarbeitende für aktuelle Bedrohungen sensibilisiert und regelmäßig geschult werden.
Abteilungsdenken: Die juristische Seite verstehen
Immer mehr Unternehmen sind von Rechts wegen verpflichtet, bestimmte Standards einzuhalten – beispielsweise den Digital Operational Resilience Act (DORA) im Finanzsektor. Der EU AI Act gilt sogar prinzipiell für alle Unternehmen, die in der EU KI-Systeme auf den Markt bringen oder verwenden. Bestimmte Spielarten der KI wie Social Scoring sind sogar gänzlich verboten und bei Hochrisikoanwendungen, etwa zur medizinischen Diagnostik, gelten strenge Einschränkungen.
Unternehmen müssen sich also mit diesen Vorschriften genau befassen – ansonsten drohen neben dem eigentlichen Schaden aus einer möglichen Cyber-Attacke hohe Bußgelder. Firmen sollten Verantwortliche benennen, die sich mit den geltenden Regularien des jeweiligen Marktes vertraut machen und sich ständig über Neuerungen informieren.
Wissenslücken schließen – kritisch hinterfragen
Laut BSI handelt es sich bei etwa jeder dritten unerwünschten E-Mail um einen Phishing-Versuch. Damit dürfte es sich dabei um den häufigsten Angriffsvektor handeln. Waren derartige Mails vor einigen Jahren oft noch an schlechtem Deutsch erkennbar, sorgt mittlerweile KI dafür, dass sie auch sprachlich immer authentischer wirken. Klicken Mitarbeitende auf einen gefälschten Link, kann das für Unternehmen schwere Konsequenzen haben – sie sollten also durch regelmäßige Trainings und Tests sicherstellen, dass die Belegschaft aller Abteilungen gefälschte Mails und Links erkennen kann.
Noch perfider wird es, wenn Kriminelle Social Engineering einsetzen – beispielsweise beim sogenannten CEO-Fraud. Bei dieser Form des Betrugs geben sich die Täter als Vorgesetzte aus und versuchen etwa Überweisungen zu veranlassen. Der beliebteste Vektor für derartige Angriffe bleibt nach wie vor E-Mail und die Fälschungen der Absenderadressen werden immer ausgefeilter. Daneben nutzen Kriminelle vermehrt aber auch andere Kanäle wie Messenger-Dienste.
Angestellte sollten also besonders alarmiert sein, wenn sie beispielsweise per WhatsApp von vermeintlichen Vorgesetzten kontaktiert werden, und Unternehmen sollten klare Richtlinien aufstellen und kommunizieren, sodass alle Mitarbeitenden wissen, dass sie nicht über private Kanäle von ihren Vorgesetzten kontaktiert werden.
Technologie gegen Betrug einsetzen
Trotz Schulung und Sensibilisierung haben Betrüger wegen Abteilungsdenken immer wieder Erfolg mit Phishing und gefälschter Kommunikation über diverse Kanäle. Unternehmen sollten daher auch auf technische Lösungen jenseits klassischer IT-Sicherheitsstrategien setzen. Beispielsweise können sie E-Mails mit einer qualifizierten elektronischen Signatur (QES) versehen, um die Authentizität sicherzustellen.
Durch E-Signaturen lassen sich auch elektronische Rechnungen gegen Manipulationen (beispielsweise durch Man-in-the-Middle-Angriffe) schützen. Wird ein signiertes Dokument nachträglich manipuliert, führt dies automatisch dazu, dass die Signatur ungültig wird und Mitarbeitende erkennen sofort, dass etwas nicht stimmt.
Bis Ende 2026 sollen zudem alle EU-Mitgliedsstaaten ein EUDI-Wallet, kurz für European Digital Identity Wallet, einführen. Diese digitale Brieftasche kann dann ebenfalls zur sicheren Identifizierung im Netz benutzt werden und potenziellen Cyber-Angriffen vorbeugen.
In der digitalisierten Welt dürfen Unternehmen nicht mehr in Abteilungen denken, wenn es um ein so existenzielles Thema wie IT-Sicherheit geht. Dieses Thema betrifft jeden – von CEOs bis zu allen Angestellten und so sollte es auch gehandhabt werden.
