Zentrale Grundlage für die Umsetzung der Risikokultur-Anforderungen nach den neuen MaRisk
Andreas Hessel, Informationssicherheitsbeauftragter und Referent, SaarLB
Ohne die Unterstützung der Mitarbeiter kann sich heutzutage kein Unternehmen wirksam vor Cyberangriffen schützen. Als IT-Revisor kennen Sie die täglichen Meldungen über großflächige Angriffe auf Unternehmen. Immer neue Trojaner oder Ransomware kommt zum Einsatz, ganze Netzwerke kommen zum Erliegen, weil Kriminelle die Server mit millionenfachen Anfragen zum Stillstand bringen. Millionen Nutzerdaten werden bei Facebook gestohlen.
SEMINARTIPP
Hackerangriffe & Cyber-Attacken: Reaktion und Prävention, 25.09.2019, Frankfurt/M.
Mangelnde Sensibilität führt dazu, dass ein Mitarbeiter eine Phishing-Mail öffnet oder Opfer eines Social Engineering-Angriffs wird. So öffnet der Mitarbeiter den Hackern die Tür in das Unternehmen.
Das sagt die BaFin
Die BaFin bezeichnet Risiken in der Informationssicherheit als wesentliche operationelle Risiken. Die § 44iger-IT-Prüfungen in den letzten Jahren haben gezeigt, dass die Informationssicherheit bei vielen Instituten eher nachrangig behandelt wurde. Die BaFin hat in der Informationsveranstaltung IT-Aufsicht bei Banken in 2018 erneut auf diese Risiken hingewiesen.
Quelle BaFin (Auszug aus einem Vortrtag der BaFin)
Security Awareness. Das müssen Sie jetzt wissen
Als IT-Revisor ist es Ihre Aufgabe die Ordnungsmäßigkeit des Geschäftsbetriebes risikoorientiert zu prüfen. Aktuelle Studien zeigen, dass Cyberangriffe in der Regel nur mit aktiver Unterstützung der Mitarbeiter erfolgreich sind. Wobei das bloße Anklicken eines Links in einer Mail bereits eine aktive Unterstützung darstellt.
Informationssicherheitsrisiken sind heutzutage ohne Sensibilisierung und Schulung der Mitarbeiter nicht zu reduzieren. Schulungen sind jedoch nur ein Baustein von vielen. Eine Security Awareness-Kampagne schafft Aufmerksamkeit für IT-Security und ist das Fundament, auf dem mit weiteren Bausteinen eine Sicherheitskultur in Ihrem Unternehmen aufgebaut werden kann. Ohne eine solche Sicherheitskultur können wesentliche Risiken nicht minimiert werden und bleiben technische Sicherheitsmaßnahmen unwirksam.
BUCHTIPPS
Janßen/Schiwietz (Hrsg.), Risikokultur in Kreditinstituten, 2018.
Weimer (Hrsg.), Bearbeitungs- und Prüfungsleitfaden: Datenschutz, IT-Sicherheit & Cyberrisiken, 4. Aufl. 2017.
Security Awareness wird seit vielen Jahren als Allheilmittel zur Verbesserung der Informationssicherheit propagiert. Unternehmen sollten sich jedoch, zunächst darüber im Klaren sein, welche Ziele sie verfolgen und mit welchen Methoden sie diese Ziele erreichen können. Awareness-Kampagnen sind meist sehr zeitintensiv und in der Regel nicht ohne die Unterstützung externer Berater umzusetzen. Das kann sehr schnell sehr teuer werden.
FILMTIPPS
Umsetzung und Überprüfung einer angemessenen Risikokultur
Risikokultur & Unternehmensethik
Erfolgreiche Awareness-Kampagnen haben gezeigt, dass sensibilisierte und motivierte Mitarbeiter nicht nur Informationen benötigen. Sicherheitsbewusstsein erfordert auch die Vermittlung von Lösungen. Mitarbeiter wollen klare Regelungen und klare Vorgaben für bestimmte sicherheitskritische Verfahren. So reicht es nicht aus, Mitarbeitern die Gefahren von Phishing-Angriffen aufzuzeigen. Mitarbeiter wollen wissen, wie Sie sich konkret verhalten müssen, wenn eine solche E-Mail in ihrem Postfach liegt. Es müssen also Richtlinien mit konkreten Vorgaben erstellt werden, die im gesamten Unternehmen verbindlich sind. Mitarbeiter fordern nämlich insbesondere, dass sich auch Führungskräfte an solche Richtlinien halten. Als Datenschutzbeauftragter wissen Sie, dass gerade Geschäftsleiter gerne Sicherheitsrichtlinien in Frage stellen oder gar umgehen.
Security Awareness. Das ist konkret zu tun
Eine Awareness-Kampagne kann nur erfolgreich sein, wenn die Ziele konkret definiert sind. Andernfalls wird bei den Mitarbeitern das Gefühl von Beliebigkeit erzeugt, aber die Mitarbeiter werden nicht begeistert sein. Ohne konkrete Ziele ist der Erfolg einer Awareness-Kampagne auch nicht messbar. Konkret können die Mitarbeiter für die folgenden Themen sensibilisiert werden:
- Social Engineering
- Trojaner und Ransomware
- E-Mailsicherheit
Als IT-Revisor sollten Sie den Erfolg der Awareness-Kampagne messen und nachhaltige Maßnahmen zur Etablierung einer Sicherheitskultur vorschlagen.
Sie sollten wissen, welche Faktoren die Wirksamkeit einer Awareness Kampagne beeinflussen. Denn nur so können Sie einschätzen, ob die ergriffenen Maßnahmen sachgerecht sind. Zudem müssen Sie wissen, wie der Erfolg einer Kampagne objektiv gemessen werden kann. Denn prüfen können Sie nur das, was Sie „messen und wiegen“ können.
Praxistipps
- Der Mitarbeiter ist der größte Risikofaktor für die Informationssicherheit.
- Sicherheitsrisiken können ohne wirksame Awareness-Maßnahmen nicht reduziert werden.
- Die Wirksamkeit von Awareness-Maßnahmen muss auf der Basis nachvollziehbarer Messungen überprüft werden.
Beitragsnummer: 1304