Ohne Ausbildung in Cybersecurity kein Zugriff auf IT-Systeme
Cyberrisiken sind eine ernstzunehmende Bedrohung für unsere Unternehmen, aber auch eine zu akzeptierende Begleiterscheinung der Digitalisierung, der Nutzung der Cloud-Technologie und der grenzenlosen Mobilität, wenn es um das standortunabhängige Arbeiten geht. Der Umgang damit muss gelernt sein.
Das grösste Cybersecurity-Risiko für Unternehmen sind ihre eigenen ungeschulten und auf die Gefahren unvorbereiteten Mitarbeitenden. Darum sollten auch möglichst alle Mitarbeitenden und insbesondere die oberste Geschäftsführung in ein Security-Awareness-Programm eingebunden werden. Sicherheit muss zur Chefsache erklärt werden. Cybersecurity-Schulungen sind, ganz ohne Zweifel, für den Erfolg eines jeden modernen Arbeitsplatzes unerlässlich.
Oftmals schliessen jedoch die IT-Mitarbeitenden selbst diese Art von Ausbildung für sich aus, weil so ein Training für einen IT-Fachspezialisten in der IT dann doch als zu trivial betrachtet wird. Eine vertiefte Ausbildung, in der die notwendigen Massnahmen zum Schutz von Daten und Systemen vermittelt wird, bleibt den Security-Officers vorbehalten. Es genügt aber nicht, wenn der CISO der einzige ausgebildete Security-Fachspezialist in der IT-Organisation ist. Heute ist es unerlässlich, dass alle IT-Mitarbeitenden, die an der Planung, Entwicklung, Umsetzung und beim Betrieb von IT-Systemen und Cloud-Services beteiligt sind, eine fundierte Informationssicherheitsausbildung durchlaufen. Wie beim Autofahren eine Fahrprüfung und ein Nothelferkurs vorausgesetzt wird, müssten heute alle Mitarbeitenden eine solche Grundausbildung vorweisen, bevor ihnen der Zugriff auf Konfigurationen von Infrastrukturen und Applikationen gewährt werden dürfte.
In der DNA verankern
Eine Information-Security-Grundausbildung geht jedoch weit über ein allgemeines Awareness-Programm hinaus. Die Basis einer solchen Ausbildung bildet der international anerkannte Standard für Informationssicherheit ISO/IEC 27001. Es geht darum, ein Verständnis über die Klassifizierung von Daten und IT-Assets zu haben, sowie die Identifikation von Risiken und deren Auswirkungen auf das Unternehmen einschätzen zu lernen. Des Weiteren geht es darum, die notwendigen Konzepte für Zugriffsschutz, Verschlüsselung und Sicherheit in der Entwicklung von IT-Lösungen sowie in der Zusammenarbeit mit Partnern zu entwerfen und bei der Umsetzung zu gewährleisten. Es muss in der DNA eines jeden IT-Mitarbeitenden verankert sein, wie Sicherheitskontrollen eingerichtet und auch geprüft werden können und ob diese wirksam sind. Davon sind wir heute aber noch weit entfernt – entsprechend hoch sind Risiken bei Lösungen mit erhöhtem Bedrohungspotenzial.
Es gibt heute genügend Ausbildungsprogramme im Bereich Informationssicherheit. Insbesondere im Netzwerk- und Systembereich gibt es viele Produktanbieter für die vielfältigen Lösungen. Als Grundausbildung genügen diese in aller Regel nicht, weil sie zu fokussiert auf die Lösung selbst sind. Demgegenüber sind Ausbildungen auf den international anerkannten Standards und Frameworks wie ISO/IEC 27001, NIST oder COBIT geradezu ideal, um ein vertieftes Verständnis zu erlangen. Bei qualifizierten und offiziell akkreditierten Trainingsunternehmen wird zudem sichergestellt, dass die Methodik und der Inhalt qualitativ mit den notwendigen Normen abgestimmt sind. Hier ist es auch möglich, dass Absolventen solcher Sicherheitsausbildungen eine Prüfung ablegen und ein international anerkanntes Zertifikat erlangen.
Für viele Betreiber von kritischen Infrastrukturen sowie viele Zulieferer ist eine Zertifizierung nach dem Standard ISO/IEC27001 heute eine zwingende Voraussetzung. Aber auch ohne erzwungene Zertifizierung ist es für Unternehmen wichtig, dass sie Vertrauen für ihre Kunden und sich selbst gewinnen können. IT-Mitarbeitende mit dem heute notwendigen Security-Skillset sind eine zwingende Grundlage dazu.
----------
Jeder Mitarbeiter muss sich seiner Verantwortung bewusst sein
Mehr und mehr Unternehmen erklären IT-Sicherheit zur Chefsache. Das klingt vernünftig, reicht aber nicht aus. Wie man alle Mitarbeitenden in die Sensibilisierung für Cyberrisiken mit einbeziehen kann, erklärt Martin Andenmatten, Gründer und CEO von Glenfis. Interview: Joël Orizet
Wie verändert sich die Cyberbedrohungslage durch die Verbreitung von Cloud-Technologien?
Martin Andenmatten: Der Einsatz von Cloud-Technologie ist nicht grundsätzlich unsicherer als traditionelle On-Premise-Umgebungen. Die vielleicht grösste Bedrohung durch den Einsatz von Cloud Computing sind gestohlene Benutzerkonten und Passwörter. Wenn sich ein Cyberkrimineller Zugang zu einem Mitarbeiter-Konto verschafft, dann kann er potenziell auf alle Informationen zugreifen. Phishing-Attacken sind nach wie vor die beliebtesten Methoden, um das Vertrauen der Mitarbeitenden auszunutzen. Eine weitere Bedrohung sind unsichere Applikationen, die entweder nicht ordentlich entwickelt wurden oder aus nicht geprüften Umgebungen heruntergeladen werden. So kann man sich leicht und unbemerkt Trojaner ins eigene Netz einschleusen. Schlecht entwickelte Anwendungen erlauben es, Sicherheitslücken in Webapplikationen auszunutzen.
Wie kann ein Unternehmen dafür sorgen, dass die Mitarbeitenden im Homeoffice auf der Hut bleiben – zum Beispiel bezüglich Phishing-Kampagnen?
Im Prinzip gelten die gleichen Vorsichtsmassnahmen, die auch in den Büroräumlichkeiten des Unternehmens empfohlen werden: kein Mail-Anhang oder Link öffnen von Absendern, die man nicht kennt. Im Homeoffice ist es zusätzlich wichtig, dass private und geschäftliche Arbeiten strikt getrennt werden und dass auch getrennte Geräte genutzt werden. Die Mitarbeitenden müssen ein Sicherheits- und Risikobewusstsein entwickeln, das mit gezielten und regelmässigen Schulungen aufgebaut wird. Es muss sich jeder Mitarbeiter seiner Verantwortung bewusst sein. Geschäftlich sollte sichergestellt werden, dass mittels eines gesicherten VPN-Netzwerks auf die Unternehmensressourcen zugegriffen wird. Wenn wir auch im letzten Frühjahr teils überhastet ins Homeoffice geflüchtet sind, gilt es für Unternehmen, das Sicherheitskonzept an diese neue Situation anzupassen.
Was raten Sie einem IT-Entscheider, der sich im Alleingang um die IT-Sicherheit seines Unternehmens kümmern will?
Ich rate solchen IT-Entscheidern sehr dringend, das Thema Informationssicherheit auf Unternehmensebene zu betrachten und die Verantwortlichkeiten mit der obersten Geschäftsführung zu klären. Es muss im Unternehmen ein Risikobewusstsein geschaffen werden, das nicht allein von der IT bewältigt werden kann, sondern von allen Businesseinheiten mitgetragen wird. Die IT wird wohl immer noch eine wichtige Rolle beim Schutz der informationstechnischen Infrastrukturen und Daten innehaben – jedoch müssen die Verantwortlichkeiten der Daten- und Asset-Owner im Unternehmen ebenfalls definiert sein. Der Schutzbedarf hängt wesentlich von der Risikoakzeptanz im Unternehmen ab.
Wie sieht das ideale Security-Awareness-Programm aus?
Das Security-Awareness-Programm muss zielgerichtet auf die Benutzergruppe ausgerichtet sein, die so ein Awareness-Programm durchlaufen soll. Security kann manchmal recht komplex und technisch wirken, womit ein Grossteil der Mitarbeitenden im Unternehmen schlicht nichts anfangen kann. Damit so ein Training seine volle Wirkung entfalten kann, muss es einerseits offen und aufklärend hinsichtlich der Gefahren sein, denen jeder Einzelne sowohl privat wie auch im Geschäft ausgesetzt ist. Es ist wichtig, dass das Verhalten mit diesen neuen Technologien nicht nur im beruflichen Umfeld, sondern auch im Privatbereich Anwendung findet. Es muss auch praktisch und anschaulich mit konkreten Tipps aufgezeigt werden, was jeder in seinem Alltag beitragen kann, um den Schutz für sich, seine Familie und das Unternehmen zu erhöhen.
Welchen Mehrwert bringt ein IT-Security-Zertifikat gegenüber einem Studium plus Praxiserfahrung?
Nichts kann Praxiserfahrung ersetzen – kein Studium und auch kein Zertifikat. Ein Studium ist in aller Regel eine einmalige Ausbildung, mit der man sich bezüglich Informationssicherheit sehr ausführlich beschäftigt. Die Technologien und auch die Bedrohungslage ändern sich oft sehr schnell und damit auch die Anpassungen an die Sicherheitsstandards und -Frameworks. Eine Ausbildung mit Abschluss eines Security-Zertifikats ist in aller Regel viel kürzer, dafür jedoch ausgerichtet an den aktuellen Entwicklungen. Es ist also nicht das eine gegen das andere aufzuwiegen. Vielmehr gilt es auch hier, mit laufender Ausbildung sich aktuell und auf dem neuesten Stand hinsichtlich Informationssicherheit zu halten.