Ohne die Unterstützung von Führungskräften sind vielen IT-Sicherheitsexperten oftmals die Hände gebunden. Glücklicherweise haben sich CEOs insbesondere im letzten Jahr mehr Gedanken über die IT-Sicherheit im Unternehmen gemacht. Dennoch verstehen einige von ihnen immer noch nicht ganz, warum IT-Sicherheitsexperten mehr finanzielle Ressourcen benötigen. Was können Sie also tun, um mehr Verständnis in der Managementebene zu schaffen?
Erfahrungen und Studien zum Thema Home-Office zeigen deutlich, dass das häufig in Unternehmen vorurteilsbehaftete Arbeitsmodell seit Ausbruch der Corona-Pandemie auch in Politik und Gesellschaft für Gesprächsstoff sorgt.
- Was hat sich bereits de facto wirklich verändert?
- Welche Auswirkung hat die Corona-Pandemie auf die Investitionsbereitschaft der Unternehmen?
- Wie wird die Produktivität eingeschätzt?
- Welche wirtschaftlichen Bereiche und IT-Segmente werden vom Digitalisierungs- und Home-Office-Schub profitieren?
- Und wie sieht es in puncto Datensicherheit aus?
Mehr dazu finden Sie in unserer Studie: QUO VADIS, UNTERNEHMEN?
Als die Pandemie Unternehmen dazu zwang, die Belegschaft von zu Hause arbeiten zu lassen, stand in den meisten Fällen nicht genügend Hardware, wie etwa Laptops, zur Verfügung. Also wurden notgedrungen private Geräte, wie Laptops und Smartphones, aber auch Router, Teil der Unternehmens-IT. Die Vermischung der privaten und geschäftlichen Nutzung solcher Geräte stellt daher gegenwärtig eine der größten Sicherheitsherausforderungen für KMU dar. Daher erfordern BYOD-Richtlinien einen umfassenden Cybersicherheitsprozess zur Identifizierung und Sicherung eines privaten Geräts, ohne dabei auf persönliche Daten (wie den GPS-Standort oder Fotos) zuzugreifen. Ein Prozess, dessen Aufbau eigentlich Monate oder sogar Jahre dauern müsste.
In einer Umfrage vom Portal Statista im Oktober 2020 gaben mehr als 55% an,
zumindest teilweise private Geräte im Home Office zu verwenden.
Obwohl die Ausgaben für Cybersicherheit steigen, ist der Mangel an BYOD-Sicherheitsmaßnahmen nur ein Beispiel dafür, dass bestehende Prozesse und Programme erheblichen Raum für Optimierungen bieten. Denn neben den technischen Maßnahmen gehören dazu insbesondere auch Schulungen zum Thema Cybersicherheit und der Aufbau einer cyberbewussten Unternehmenskultur. Diese Maßnahmen erfordern möglicherweise auch höhere Investitionen im Bereich IT-Sicherheit und eine stärkere Beteiligung der obersten Führungsebene. Wie können Sie also Ihren CEO mit ins Boot holen?
1) Verschaffen Sie sich einen umfassenden Überblick
Die Gründe für Investitionen in die IT-Sicherheit sind vielfältig (von der Veränderung der Arbeitsplatzsituation über die Verbreitung von Ransomware bis hin zu mangelhaften Sicherheitspraktiken im Unternehmen). Als erfahrener IT-Experte müssen Sie sich daher zunächst genau darüber im Klaren sein, wen Sie überzeugen möchten. Es ist wichtig eine interne Beteiligung aller zu erreichen, möglicherweise müssen Sie dazu erklären welchen Risiken das Unternehmen und die Geschäftsabläufe ausgesetzt sind und aufzeigen, wie sie diese bewältigen können. Gleichzeitig müssen Sie verstehen, was für die Prozesse in Ihrem Unternehmen entscheidend ist. Um herauszufinden, wo die jeweiligen Prioritäten liegen kann es hilfreich sein, verschiedene Teams einzubeziehen.
2) Machen Sie IT-Sicherheitsrisiken verständlich
Ihre Vorgesetzten sollten über die aktuelle Sicherheitslage im Unternehmen Bescheid wissen – dazu müssen regelmäßige Gespräche stattfinden in denen sie umfassend aufgeklärt werden. Jeder im Unternehmen muss sich seiner Verantwortung bewusst sein, und dies fängt bei der Managementebene an, die eine entsprechende Kultur vorleben muss. Führungskräfte verfolgen die Nachrichten und informieren sich über Cyber-Risiken, sind aber möglicherweise nicht in der Lage, diese Informationen in Prioritäten für ihr Unternehmen umzuwandeln und konkrete Maßnahmen umzusetzen. Stattdessen stellen sie Ihnen vielleicht Ja-oder-Nein-Fragen wie "Sind wir auf einen Ransomware-Angriff vorbereitet?" Es liegt also vor allem an Ihnen, Sicherheitsprobleme besser zu formulieren und Ihrem CEO zu helfen, die Wahrscheinlichkeit der tatsächlichen Risiken für das Unternehmen einzuordnen und das weitere Vorgehen zu verstehen.
3) Vermitteln Sie Ihre Botschaften mit Fingerspitzengefühl
Wenn IT-Verantwortliche über Cybersicherheit sprechen, beschränken sie sich oftmals auf erschreckende Beispiele und Worst-Case-Szenarien. Wie Daniel Chromek, CISO von ESET, kürzlich in einem Interview erklärte, scheitert diese Taktik häufig, da sich die Menschen dann schlichtweg überfordert fühlen und eine resignierende Haltung einnehmen. Dies gilt nicht nur für den Fall, wenn Sie versuchen, Ihr Team für Cyber-Bedrohungen zu sensibilisieren, sondern auch dann, wenn Sie mit der Führungsebene über die notwendigen Vorsichtsmaßnahmen sprechen.
