Interne Kommunikation ist in der IT-Security entscheidend. Denn die «Security-Awareness» wird wichtiger als die Technologie. Das betonten am Tages-Anzeiger-Forum zu «Digital Security im Unternehmen» gleich mehrere Spezialisten.
Schadprogramme, gestohlene Identitäten und Erpresser-Software, die Daten verschlüsselt sind in Unternehmen Alltag. Noch schlimmer kommt es, wenn Angreifer mit gezielten Attacken ganze Produktionen lahmlegen, Firmengeheimnisse stehlen oder Konten plündern. Betroffen von Cyberattacken sind allen voran die Finanzindustrie und die Gesundheitsbranche. Davon ausgenommen ist keine Branche, das zeigt die Schadensstatistik des Versicherers AIG – er bietet Cyberversicherungen an.
Aufmerksame Mitarbeitende bringen Sicherheit
Um Attacken abzuwehren, reicht Technologie wie Firewalls oder Virenprogramme längst nicht mehr. Nur aufmerksame Mitarbeiter machen die IT – und damit das ganze Unternehmen – sicherer.
«Security Awareness» ist das Stichwort aus der IT dazu. Es bedeutet, dass Mitarbeitende wissen, welche Risiken es gibt, wie Hacker Angriffe durchführen und Nutzer täuschen. Und was sie tun müssen, wenn etwas schief geht. Entscheidend dafür ist die interne Kommunikation. Sie steht dabei vor mehreren Herausforderungen:
- Mitarbeitende für die IT motivieren: Sich mit der IT zu befassen ist für viele immer noch eine Mühseligkeit. Firmen wie die IWC beobachten aber, dass Mitarbeitende grundsätzlich motiviert sind, mehr über Cyberattacken zu erfahren. Livehacks sind dafür ein gutes und anschauliches Mittel.
- Fehlerkultur aufbauen: Wenn Mitarbeitende Fehler nicht melden, ist es schwer, sie zu entdecken und künftig zu vermeiden. Die Kommunikation muss also eine vertrauensvolle Kultur fördern.
- Wissensvorsprung und Sprachbarrieren überbrücken: Die IT spricht eine andere Sprache als die Mitarbeitenden. Sie muss sich ihres Wissensvorsprunges bewusst sein. Die Kommunikation soll also kontinuierlich und aufbauend gestaltet sein. IWC plante dafür langfristige Kampagnen mit Lern-Lunches, Intranet-Serien, Security-Newslettern und vielem mehr. Schönes Detail-Beispiel: Die Security-Firma ISPIN sensibilisierte ihre Mitarbeitenden mit «Passwort-Haltern» (und einem Augenzwinkern) für den Schreibtisch.
Zusammengefasst: Die Kommunikation hat in der IT-Security die schwierige Aufgabe, Menschen dazu zu bringen, über unangenehme Themen zu sprechen. Gelingt ihr dies, hat sie auch für das Issues Management und die Krisenkommunikation eine gute Basis geschaffen.