Warum es für IT und OT mehr Cyber Security Awareness braucht

Supply-Chain-Attacken, Spear Phishing, Social Engineering, Deep Fakes ­und vieles mehr – die Bedrohungslage bleibt angespannt. Gerade die durch die Coronakrise ausgelösten hektischen Digitalisierungsinitiativen haben zu einer vergrößerten Angriffsfläche geführt.

Laut der KPMG e-Crime Studie bleibt der Mensch dabei das Einfallstor Nr. 1:

Was ist Security Awareness?

Der Begriff „Security Awareness“ (engl. für „Sicherheitsbewusstsein“) beschreibt die Sensibilisierung der eigenen Mitarbeitenden zu Themen wie IT-Sicherheit, Cyber Security und Datenschutz. Und seit jeher gilt: Die technischen und organisatorischen Sicherheitsmaßnahmen können noch so hoch sein – wenn der Faktor Mensch nicht beachtet wird, können sie allein nicht vollständig greifen.

Sicherheitsbewusstsein und Prävention stärken

Aber wie kann man die Security Awareness effektiv erhöhen und die Mitarbeitenden zu starken Gliedern der Abwehrkette formen? Am besten, indem man für eine umfassende Aufklärung sorgt. Denn erst, wenn alle über mögliches Fehlverhalten wie auch aktuelle Bedrohungen in puncto Datenschutz, IT- und OT-Security informiert sind und entsprechend handeln können, weisen Unternehmen ein ausreichend hohes Sicherheitsbewusstsein auf.

Somit ist die Security Awareness zur erfolgreichen Prävention von Cyberattacken unverzichtbar: Jeder Mitarbeitende muss sich bewusst sein, dass die Sicherheit der IT-Infrastruktur und Unternehmens-Assets auch von seinem eigenen Verhalten abhängt.

Warum es für OT ein erweitertes Sicherheitsbewusstsein braucht

Das Sicherheitsbewusstsein ist im Bereich der OT (Operational Technology) allgegenwärtig und in Form von Schutzhelmen, -brillen und -schuhen auch in vielen Bereichen gut sichtbar. Diese funktionale Sicherheit (als Safety bezeichnet) genießt noch vor der Produktivität die höchste Priorität in der OT. Denn der Schutz von Mensch und Umwelt steht an erster Stelle.

Dieses Sicherheitsbewusstsein muss nun um die Belange der IT- und Netzwerksicherheit (Security) ergänzt werden. Denn durch Fernwartungszugriffe der Maschinenhersteller und die verbreitete Verwendung von IP basierten Netzwerkprotokollen nimmt die Vernetzung zu ­­– und damit auch die Möglichkeiten, in OT-Netzwerke einzudringen. Das Fatale dabei: Einmal eingedrungen, stehen in den meisten OT-Netzwerken keinerlei Schutzmechanismen zur Verfügung, um den Angriff zu erkennen, geschweige denn darauf zu reagieren.

Mehr Cyber Security Awareness für OT gefordert

Dabei ist das Gefahrenpotential ähnlich, aber spezieller gelagert. Im OT-Bereich geht es vielmehr um ein besseres Verständnis für:

• Das Erkennen und Vermeiden von Cyber-Sicherheitsrisiken in einer Betriebstechnologie-Umgebung
• Praktiken rund um die Cyber-Sicherheit und den Schutz in Umgebungen der Betriebstechnologie
• Die Gründe, warum in der Betriebstechnik ein erweitertes Sicherheitsdenken als in der Unternehmens-IT erforderlich ist

So muss Cyber Security Awareness besser an die Bedürfnisse des OT-Umfeldes adressiert werden. Ganz besonders dann, wenn es um den Schutz kritischer Infrastrukturen (KRITIS) wie z. B. Stromnetze oder die Wasserversorgung geht.

Die gute Nachricht lautet: Genau wie für die IT, gibt es auch OT Security Awareness Trainings, die sich den speziellen Anforderungen dieses Bereichs widmen.

Wie Security Awareness Training Menschen sensibilisiert

Die Sensibilisierung der Mitarbeitenden durch Security Awareness Trainings stellt einen wichtigen Baustein in der Cyber-Security-Strategie eines jeden Unternehmens dar. Auch im IT-Grundschutzkatalog des BSI und der ISMS-Zertifizierung nach ISO 27001 findet sich die Maßnahme als Vorgabe wieder. Genauso kommt es im Bereich der OT auf spezielle Trainings an. Aber wie können die möglichst erfolgreich sein?

Umfassende Einbindung: Alle notwendigen Interessenvertreter sollten umfassend in die Konzeption und Umsetzung eingebunden sein – was Führungskräfte und die IT-Sicherheitsabteilung mit einschließt.

Gezielte Förderung: Es gilt, die Mitarbeitenden gezielt zu fördern und zu fordern.

Hohe Kontinuität: Statt auf ein einfaches Training allein, sollte man auf einen Dreiklang aus wiederholenden Trainings-, Test- und Analyseeinheiten setzen.

Aktives Lernen: Das Training sollte Mitarbeiter aktiv in Lernprozesse einbinden, auf die Kultur der Organisation, die Funktionen, Sicherheitsfreigaben, Stärken, Schwächen und Lerntyppräferenzen der Mitarbeiter zugeschnitten sein.

Keine Überforderung: Gut portionierte Themenblöcke erleichtern das Lernen ­– die relevanten Inhalte sollten leicht verständlich in regelmäßigen Abständen und über längere Zeiträume vermittelt werden.

Durch Kontinuität die Cyber Security Awareness schärfen

Sie merken: Bei ausreichendem und kontinuierlichem Training festigt sich das Wissen um die Risiken im Bereich der IT wie auch OT im Bewusstsein der Mitarbeitenden. Im besten Fall ensteht ein natürlicher Reflex, der in verdächtigen Situationen automatisch und richtig reagiert.

Coachen Sie also Ihre Human Firewall und erreichen Sie mit Security Awareness Training mehr Sicherheits- und Risikobewusstsein im eigenen Unternehmen. Falls Sie mehr über das Thema erfahren möchten, können Sie mich gerne und jederzeit kontaktieren.