Welche Aufgaben hat ein Cybersecurity Culture Officer?

Wir haben schon in mehreren Artikeln erklärt, dass IT Sicherheit eben nicht nur aus entsprechender Infrastruktur und Sicherheitstechnologien besteht. Ein ganz wesentlicher Bestandteil der IT Sicherheit in einem Unternehmen sind nämlich die Mitarbeiter. Der Mensch spielt nämlich eine entscheidende Rolle, wenn man die IT Sicherheit eines Unternehmens betrachtet. Phishing-Mails beispielsweise zeigen, dass der Mensch immer auch direkter Angriffspunkt für Cyberkriminelle ist. Im folgenden Artikel wollen wir einen Blick darauf werfen, wie mit der „Schwachstelle Mensch“ umzugehen ist und vor allem wer diese Aufgabe übernimmt. Zukünftig vielleicht ein Cybersecurity Culture Officer (CSCO)?

Die Schwachstelle Mensch

Wenn wir hier über die Schwachstelle Mensch sprechen, ist das keinesfalls abwertend gemeint. Aber da der Mensch eben einen Angriffspunkt für Cyberkriminelle darstellt, muss dieser auch als potenzielle Schwachstelle betrachtet werden. Von der Schwachstelle Mensch spricht man oft, weil viele Sicherheitstechnologien schon ausgereift sind und ein schwer bis gar nicht zu überwindendes Hindernis für Cyberkriminelle darstellen. Daher ist der Angriff über die Schwachstelle Mensch oft einfacher.

Dazu kommt, dass bei Angriffen über die Mitarbeiter eines Unternehmens allzu natürliche Eigenschaften des Menschen wie z.B. Neugierde, Angst oder Scham gnadenlos ausgenutzt werden können.

Eine Phishing-Mail beispielsweise, die eine Rechnung eines Online-Shops nachahmt, kann aufgrund menschlicher Eigenschaften schnell gefährlich werden. Wenn nämlich in der Rechnung ein hoher Betrag gefordert wird, hat man natürlich direkt Panik, dass man ja vielleicht aus Versehen etwas bestellt haben könnte oder jemand anderes über das eigene Konto etwas bestellt. Man ist also neugierig oder vielleicht sogar eher etwas panisch, was hier passiert ist. In dieser Situation zieht dann die Vorsicht oft den Kürzeren und es wird arglos auf einen präparierten Link in der E-Mail geklickt, um der Sache auf den Grund zu gehen. Dieser Link könnte dann zum Beispiel auf ein täuschend echtes Anmeldeformular führen, wo der Angreifer dann die Anmeldedaten des Opfers abgreifen kann. Die Phishing-Mail hätte Ihren Zweck erfüllt.

Ein etwas ausführlicheres Beispiel einer solchen Phishing-Mail finden Sie hier.

Cybersecurity Culture Officer – in Zukunft notwendig?

Wie kann man die Schwachstelle Mensch schließen? Im Grunde gibt es zwei Aspekte zu beachten. Einerseits gezielte Einzelmaßnahmen in Form von Security Awareness Trainings, in denen Mitarbeiter korrektes Verhalten in Gefahrensituationen oder den Gebrauch von IT Sicherheitstechnologien lernen, andererseits die Unternehmenskultur im Hinblick auf IT Sicherheit.

Security Awareness Trainings sind wie der Name schon sagt dazu da, das Bewusstsein für IT Sicherheit zu stärken. Damit sind solche Schulungen essentieller Bestandteil einer guten IT Sicherheitsstrategie und stellen die Grundlage dar, auf der dann eine Art IT-Sicherheitskultur aufgebaut werden kann.

Lesen Sie hierzu auch: Das sind die Inhalte einer Security Awareness Schulung

Und genau hier kommt in Zukunft vielleicht sogar ein neuer Job als Cybersecurity Culture Officer ins Spiel. Denn wer kümmert sich um die Unternehmenskultur in Sachen IT Sicherheit? Wer fördert aktiv das Bewusstsein für IT Sicherheit und organisiert Security Awareness Trainings? Ein Cybersecurity Culture Officer könnte genau solche Aufgaben übernehmen. Er könnte sich zum Beispiel darum kümmern, dass eine offene Fehlerkultur etabliert wird, d.h. dass Fehler oder Cybervorfälle sofort freiwillig und sorgenfrei gemeldet werden. Denn Angst einen Fehler zuzugeben ist besonders im Bereich IT Sicherheit gefährlich, da es hier oft auf eine schnelle Reaktion ankommt. Insgesamt würde sich eine Cybersecurity Culture Officer also auf den Bereich Mensch in Sachen IT Sicherheit konzentrieren und sich damit wesentlich vom eher technisch orientierten Chief Information Security Officer unterscheiden.

Die Aufgaben des Cybersecurity Culture Officer auf einen Blick:

• IT-Sicherheit in der Unternehmenskultur verankern
• IT-Sicherheit zum Thema in der internen Kommunikation machen
• IT-Securtiy Awareness Trainings planen und organisieren
• Überwachen und Optimieren der Trainingsfortschritte
• Angstfreie Kultur beim Melden von Cyberangriffen etablieren
• Bewussten Umgang mit den Gefahren von Cyberangriffen trainieren
• Management und HR in Sachen IT-Sicherheit beraten
• Mitwirkung bei der Erfassung und Analyse von IT-Sicherheitsvorfällen

Fazit

IT Sicherheit besteht nicht nur aus Infrastruktur und Sicherheitstechnologien, sondern zu einem großen Teil auch aus den Menschen, die involviert sind. Während die Technologien schon recht zuverlässig geworden sind, wurde der Mensch somit immer mehr zur Schwachstelle. Denn Cyberkriminelle suchen sich in der Regel den einfachsten Weg, um an Daten zu gelangen oder in ein Netz einzudringen. Somit ist es schon heute essentiell den Faktor Mensch in die IT Sicherheitsstrategie einzubinden. Ein Cybersecurity Culture Officer (CSCO) könnte genau für diese Seite der IT Sicherheit verantwortlich sein und sich um die IT Sicherheitskultur in einem Unternehmen kümmern!