Durchgängige Sicherheitskultur muss Top-Management

Donnerstag, 21. Juni 2018

Bei der Realisierung einer höchstmöglichen Sicherheit müssen Unternehmen IT-Lösungen und Prozesse, aber auch den Faktor Mensch berücksichtigen. Diesen Punkt adressieren sie verstärkt und ergreifen umfassende Initiativen, die nicht primär auf Compliance-Konformität abzielen, sondern auf die Sensibilisierung von Mitarbeitern. Ziel ist die Schaffung einer sicherheitsorientieren Unternehmenskultur. „Prinzipiell sind solche Sicherheitsinitiativen zu begrüssen, allerdings zeigt die Erfahrung, dass sie vielfach nur von der IT initiiert werden", erklärt Kai Grunwitz, Senior Vice President EMEA bei NTT Security. "Der richtige Ansatz wäre, sie zusätzlich im Management-Board zu verankern, das solche Initiativen sichtbar kommunizieren und vorantreiben sollte.“

Tatsächlich ist eine hohe IT-Sicherheit nur im Rahmen einer sicherheitsorientierten Kultur umsetzbar, die im gesamten Unternehmen verankert ist – auch und vor allem in der Führungsebene, denn gerade sie ist ein primäres Ziel von Hackerangriffen. Das Top-Management muss an vorderster Front von Sicherheitsinitiativen und dem Aufbau dieser Sicherheitskultur stehen. Welche Schritte dazu notwendig sind, erläutert NTT Security:

  1. Zu Beginn erfolgt eine umfassende Bestandsaufnahme von Sicherheit und Sicherheitsbewusstsein im Unternehmen, unter Berücksichtigung von Prozessen, der eingesetzten Technologien und dem Faktor Mensch.
  2. Darauf basierend entsteht eine Security-Awareness-Initiative, die sich nicht auf Compliance, sondern auf die Risiken für das Unternehmen und Vorteile für die Mitarbeiter fokussiert; Compliance entsteht dabei gewissermassen nebenbei.
  3. Im Rahmen dieser Initiative werden keine allgemeingültigen, sondern konkrete, sicherheitsrelevante Fälle aus dem Unternehmen vorgestellt. Damit können sich Mitarbeiter viel besser identifizieren.
  4. Die Botschaften der Initiative müssen möglichst einfach sein und ständig wiederholt werden.
  5. Die Initiative muss bei den Führungskräften verankert sein und von diesen vorangebracht und auch vorgelebt werden. Dafür müssen sie ganz besonders sensibilisiert werden, denn in der Praxis zeigt sich leider immer wieder, dass das Management sich von allgemeingültigen Regeln ausnimmt.
  6. Der Aufbau einer sicherheitsorientierten Unternehmenskultur ist kein kurzfristiges Projekt – der Veränderungsprozess muss kontinuierlich und nachhaltig sein. Daher sollten Security-Initiativen kontinuierlich erweitert werden; Teilschritte sind einem Big Bang vorzuziehen, weil ein solcher allzu oft nach kurzer Zeit versandet.
  7. Bewusstsein allein schafft noch keine Datensicherheit. Parallel dazu müssen Unternehmen natürlich auch entsprechende Budgets zur Implementierung der technischen IT-Sicherheit bereitstellen.
  8. Sicherheitsbewusstsein benötigt regelmässige Auffrischung. Positive Beispiele stärken zum Beispiel die Awareness der Mitarbeiter: so können etwa Angriffssimulationen anhand von konkreten Beispielen vorgestellt werden.
NTT Security unterstützt Unternehmen bei der Umsetzung einer Sicherheitskultur und gerade auch bei der Sensibilisierung der Führungsebene. Dafür hat der IT-Dienstleister ein spezielles Serviceangebot entwickelt, den sogenannten „Management Hack“. Unter Nutzung von Social-Engineering-Techniken wird dabei überprüft, inwieweit Führungskräfte ein Sicherheitsrisiko darstellen. Nach Abstimmung mit dem CISO oder IT-Leiter führt NTT Security simulierte, personalisierte Social-Engineering-Angriffe durch. Zum Einsatz kommen Techniken wie Phishing oder personalisiertes Spear-Phishing in Kombination mit Malware- oder Brute-Force-Angriffen auf Passwörter.  

„Mit unserem neuen Serviceangebot kann die IT auch die Führungsebene schnell ins Boot holen und für das Thema Sicherheit sensibilisieren und gewinnen“, so Grunwitz, „und zwar nicht nur verbal, sondern mit realitätsnaher Dokumentation des Gefahrenpotenzials.“

Weitere Informationen zum „Management Hack“ von NTT Security finden sich unter www.nttsecurity.com/de-ch/management-hack-service 

Über NTT Security

NTT Security ist das auf Sicherheit spezialisierte Unternehmen und „Security Center of Excellence“ der NTT Group. Mit „Embedded Security“ bietet NTT Security Kunden zuverlässige Lösungen für ihre Anforderungen in der digitalen Transformation. NTT Security verfügt über 10 SOCs, sieben Zentren für Forschung und Entwicklung sowie mehr als 1.500 Sicherheitsexperten und behandelt jährlich Hunderttausende Sicherheitsvorfälle auf sechs Kontinenten.

NTT Security sichert eine effiziente Ressourcennutzung, indem Kunden der richtige Mix an ganzheitlichen Managed Security Services, Security Consulting Services und Security-Technologie zur Verfügung gestellt wird – unter optimaler Kombination von lokalen und globalen Ressourcen. NTT Security ist Teil der NTT Group (Nippon Telegraph and Telephone Corporation), einem der grössten IKT-Unternehmen weltweit. Weitere Informationen über NTT Security finden sich unter www.nttsecurity.com/ch. Informationen zur globalen NTT Group finden sich unter www.ntt.global.com. 

Bei Rückfragen wenden Sie sich bitte an:

NTT Security
NTT Security (Switzerland) AG
Romy Däweritz
Marketing Manager
T +41 43 477 70 10
[email protected]

PR-COM GmbH
Hanna Greve
Account Director
Tel.: +49 (0) 89 59997 756
[email protected]