Jeder von uns trägt ein Bewusstsein darüber in sich, was „Sicherheit“ bedeutet. So gestalten wir auch unser tägliches Leben: Ein Dach über dem Kopf, ein fester Job oder „sicher“ eine Strasse überqueren, gehören dazu. Umso interessanter ist es, dass wir in der Cyberwelt und als Mitarbeiter es mit der „Sicherheit“ nicht mehr so genau nehmen. Ein Klick auf den falschen Link – zack, schon ist es passiert: Das Unternehmen ist Opfer einer Cyber Attacke geworden. Woran liegt das? Bei Cyber Security handelt es sich um ein Thema des kulturellen Wandels. Ab jetzt liegt es an Ihnen, dem CIO der Firma, diesen kulturellen Wandel zu vollziehen und auf diese Weise das Unternehmen vor Cyber Angreifern zu schützen.
Neulich waren wir zu Besuch bei EY Switzerland. In diesem Blog stellen wir Ihnen die spannenden Ergebnisse des Fachbeirats vor: 4 Faktoren, auf die Sie beim Cultural Change unbedingt achten müssen!
Im Rahmen des Confare Swiss #CIOSUMMIT ZÜRICH am 28. September 2023 treffen Sie die CISO-Profis der Schweiz! Tauschen Sie sich mit der IT-Elite des DACH-Raums aus auf dem Confare #CIOSUMMIT FRANKFURT am 14. September 2023.
1. “No” As a service war gestern!
In der Vergangenheit wurde Cyber Security gerne als der Show Stopper von Veränderungen gesehen. Um die Sicherheit des Unternehmens zu gewährleisten, hat die Security meistens Innovationen verhindert, anstatt sie möglich zu machen. – Genau da befindet sich das Game Change: Cyber Security ist jetzt der Enabler von Business und nicht der Stopper. Wichtig dabei, passen Sie die Cyber Security dem Unternehmen an. Achtung, one fits all gilt hier nicht. Jeder CISO braucht eine Cyber Security-Strategie, die an der Unternehmensstrategie angepasst ist. Dabei stellt sich die Frage: Darf es überhaupt eine eigene Cyber Security-Strategie geben, oder muss sie immer Teil der gelebten Firmenstrategie sein?
2. Im Mittelpunkt der Mensch!
Die meisten Leute nehmen an, dass die die gängigsten Cyber Angriffe nur mit hochtechnologischen Mitteln möglich sind. In der Realität ist dies nicht der Fall! Im Gegenteil, die Angreifer nutzen die Naivität der Mitarbeiter aus. Aus Sicht der CISOs ist der DAU (dümmste anzunehmende User) die Schwachstelle und zugleich Angriffsfläche des Unternehmens. Fakt ist, die Mitarbeiter sind ein Teil der Cyber Security! Für den Mitarbeiter bedeutet Cyber Security in erster Linie Unbequemlichkeit, was zum Teil verständlich ist. Die Angreifer werden immer gefinkelter und der User übersieht die Gefahren in der hektischen Routine des Arbeitsalltags. Hinzu kommt, dass die Leistung des Mitarbeiters nicht an der Sicherheit per se gemessen werden. Aus diesem Grund müssen alle im Unternehmen, getreu dem Confare-Motto gemeinsam.besser.machen, miteinbezogen werden. 
Ganz wichtig in diesem Zusammenhang: Usability! Die klassische IT ist noch weit davon entfernt die Usability so zu vereinfachen, dass Sicherheit gewährleistet ist. – Wie wär’s damit den Login-Vorgang bei einem Firmenlaptop einfach mal leichter zu gestalten?! Und zwar auf eine Art und Weise, dass der User beim Einloggen erst gar nicht „versucht“ die Cyber Security Massnahmen zu umgehen.
3. Awareness schaffen
Ein essenzielles Thema für Unternehmen: Awareness für Sicherheit schaffen, denn 70% wurden bereits angegriffen. Das neue Verständnis für Sicherheit zu vermitteln, ist ein langer und schwieriger Prozess. Für den CIO ist es eine besonders wichtige Aufgabe die Zusammenhänge transparent zu machen. Die Mitarbeiter brauchen eine Vorstellung davon, was ein schneller Klick auf den falschen Link für enorme Auswirkungen auf das Unternehmen haben könnte. Eine weitere Gefahr lauert in den Ecosystems, denn die Abhängigkeiten, die sich daraus ergeben, eröffnen weitere Tore für die Angreifer. Ein typisches Beispiel aus der Praxis: Ein CEO glaubt, nur weil sein Unternehmen nicht in der Öffentlichkeit steht, dass es quasi „unsichtbar“ für Angreifer sei. Dabei handelt es sich um einen Trugschluss.
4. Collaboration
Die Zeichen der Zeit stehen auf Zusammenarbeit! Heute kommt keiner alleine weiter und schon gar nicht im Kampf gegen Cyber Angriffe. Dies ist einer der Gründe beim SOC (Security Operation Center) auf Outsourcing zu setzen. Das SOC hat die Möglichkeiten unzählige Informationen als Ressourcen zu speichern, was für ein kleines Unternehmen nicht möglich ist. – Von diesem Know-how profitieren Sie!
Die Tatsache, dass Deep Fakes in ein paar Jahren so weit entwickelt sein werden, dass die AI sie nicht mehr aufspüren kann, zeigt die Unabdingbarkeit von Collaboration. Hinzu kommen noch Szenarien, in denen Deep Fakes überhaupt nicht mehr menschlich gesteuert, sondern von AI produziert werden.
Ein Blick in die Zukunft zeigt: Personalmangel im Cyber Security Bereich wird eine noch grössere Rolle spielen! Die Unternehmen haben das Problem Nachwuchs zu finden.