203 Milliarden Euro Schaden entstand der Wirtschaft in Deutschland 2022 durch Cyberangriffe – zu diesem Ergebnis kommt der aktuelle Report von Schwarz Digital. Wirtschaftsförderung muss daher auch eine Förderung der Cyber Resilienz einschließen. Das weiß auch die Wirtschaftsförderungsgemeinschaft Westerwaldkreis (wfg). Der wfg-Podcast “Schlaglichter” hatte daher unseren Co-Founder Immanuel Bär zu Gast, um KMU beim Thema Cyber Security zu unterstützen. Aus dem Gespräch ergaben sich 3 konkrete Tipps, die jedes Unternehmen umsetzen kann.
Zur echten Chefsache wird Cyber Security oft erst, wenn es schonmal geknallt hat.
“Eigentlich alles ganz einfach und eigentlich alles sehr naheliegend, aber doch noch nicht so präsent im Alltag” – so fasst Gesprächspartnerin Katharina Schlag ihre Wahrnehmung zu IT Sicherheit im beruflichen und privaten Umfeld zusammen. Das deckt sich auch mit Immanuel Bärs Erfahrungen: Zur echten Chefsache werde Cyber Security in vielen Unternehmen erst, “wenn es schonmal geknallt hat”. Das könne entweder direkt durch einen akuten Vorfall im Unternehmen selbst der Fall sein oder indirekt durch Vorfälle in der Lieferkette. In diesen Fällen müsse ein Krisenstab gebildet werden, ggf. könne nicht produziert oder wie gewohnt gearbeitet werden.
Eine echte intrinsische Motivation, sich um das Thema IT Security zu kümmern, erlebt Immanuel Bär leider eher selten. Häufig treibe erst ein Vorfall oder externe regulatorische Gegebenheiten die Verantwortlichen an, Experten-Teams wie ProSec hinzuzuziehen. Dabei sei die frühzeitige Arbeit an der eigenen Cyber Resilienz aus eigenem Antrieb “wirtschaftlich das schlaueste und günstigste”, macht Immanuel im Gespräch klar.
Damit Cyber Security funktioniert, muss sie in der Unternehmenskultur einen festen Stellenwert haben und nicht als notwendiges Übel ganz hinten eingereiht werden. Doch auch ein weiterer Aspekt ist von ganz entscheidender Bedeutung, wie Immanuel Bär im wfg Podcast betont: Wenn ein Team-Mitglied auf einen verdächtigen Link geklickt oder versehentlich Daten preisgegeben hat, müsse die Person das ohne Angst vor Strafe den Vorgesetzten melden können. Umgekehrt müssen Vorgesetzte sensibel auf solche Meldungen reagieren.
Was können Führungskräfte jetzt tun, um ihr Unternehmen in Sache Cyber Resilienz zu stärken? Darum geht es in einer Semianrreihe der wfg, in der auch Immanuel Bär Informationen und Best Practices aus seiner langjährigen Erfahrung mit ProSec teilt:
Wann? Freitag, 15.12.2023
Wo? Hotel Deynique (Hilserberg 20, Westerburg)
Details? Auf der Website der wfg
“User Awareness” ist ein Begriff, über den man im Zusammenhang mit IT Security zwangsläufig immer wieder stolpert. Immanuel bevorzugt allerdings den Begriff “Security Awareness”, weil das den Kern der Sache besser trifft und Nutzern nicht pauschal die Schuld zuschiebt. Denn das ist ihm ganz bewusst: Auch er selbst wäre im richtigen Moment mit der richtigen Social Engineering Attacke hackbar.
Wie können Unternehmen in ihren Teams also Security Awareness schaffen, die sich nicht abnutzt oder nur pro forma bearbeitet wird? Immanuel formuliert seine Lösung mit einem Lachen: “Security Awareness, die klatscht.” Was ist damit gemeint? Immanuel erklärt, dass er und sein Team bei Awareness weniger auf abstrakte Vorträge und mehr auf echte Erfahrungen setzen. Darum schließen unsere Penetration Tests häufig Social Engineering Kampagnen ein, bei denen unsere Pentester beispielsweise simulierte Phishing Mails an den Unternehmensverteiler schicken.
“Erst, wenn du vor dem Rechner sitzt und es wirklich passiert, bekommst du den Puls, den es braucht, um es WIRKLICH zu verstehen”, fasst Immanuel den Grundgedanken zusammen. Mit ihren Erfahrungen werden die Mitarbeiter anschließend nicht alleine gelassen, sondern beispielsweise im Rahmen eines hochindividuellen Vortrags mit konkreten Beispielen aus der Kampagne umfassend informiert und beraten, wie sie sich vor echten Angriffen dieser Art schützen können.
Eins ist klar: Hundertprozentige Sicherheit kann es im Netz nie geben. Trotzdem muss sich im Jahr 2023 niemand mehr durch einen Cyber Incident komplett lahmlegen lassen, betont Immanuel Bär im wfg Podcast. Die richtige Vorbereitung ist dabei alles: Neben Maßnahmen für mehr Cyber Resilienz sei es entscheidend, einen (erprobten) Notfallplan in der Tasche zu haben.
Für Unternehmen, die noch nicht über einen solchen Plan für den Fall der Fälle verfügen, haben Immanuel und die Moderatoren des Podcasts einige Tipps:
