Cybersicherheit nimmt im Risikomanagement von Unternehmen eine immer wichtigere Rolle ein. Galt die Disziplin vor einigen Jahren vielerorts noch als Domäne der IT und gehörte damit primär auf die Agenda von Chief Information Officer (CIO) oder Chief Information Security Officer (CISO), ist das Thema inzwischen Chefsache. So zeigt der 27. PwC Global CEO Survey, dass Cyberattacken den deutschen Führungskräften das größte Kopfzerbrechen bereiten – noch vor geopolitischen Konflikten, dem Klimawandel oder makroökonomischer Volatilität.
Die Sorgen sind nicht unbegründet, denn nicht nur die Anzahl der Datendiebstähle, sondern auch die damit verbundenen Kosten und Verantwortlichkeiten steigen. Unserer globalen Cyber-Security-Studie Digital Trust Insights zufolge betrugen die Verluste infolge eines Datendiebstahls durchschnittlich 4,4 Millionen US-Dollar. Bei 70 Prozent der deutschen Unternehmen sind durch Cybervorfälle Kosten von 100.000 bis 20 Millionen US-Dollar entstanden. Die wachsenden Risiken zwingen Unternehmen zu handeln. Führungskräfte versuchen das Problem daher mit höheren Budgets für die Cybersicherheit zu lösen. Insbesondere die deutschen Befragten des Digital Trust Insights Surveys stocken die finanziellen Mittel dafür spürbar auf
und heben die Budgets um mindestens fünf Prozent an. Die Zahlen verdeutlichen, dass die mit Cyberattacken verbundenen Gefahren messbar zunehmen und in ihrer Tragweite sämtliche Unternehmensbereiche betreffen. Dementsprechend sind Strategien gefragt, die Funktionen wie
HR, Finance oder andere Fachbereiche aktiv in die Gefahrenabwehr einbeziehen.
Unternehmen stehen in der Verantwortung
Dem steigenden Gefahrenniveau entsprechend setzt die Politik aktuell auf strenge Rahmenbedingungen für Unternehmen – sowohl auf nationaler als auch auf europäischer Ebene. Richtlinien wie die sogenannte Network and Information Security Directive (NIS-2) zeigen, dass die Regulatorik zunehmend operativer wird und den Fokus auf die persönliche Verantwortung einzelner Führungskräfte legt. Spätestens ab Oktober 2024 soll NIS-2 in deutsches Recht umgesetzt sein und sieht beispielsweise vor, dass die Geschäftsführung bei fahrlässigen Verstößen gegen die neuen Pflichten persönlich haftet.
Die Botschaft ist klar: Cybersicherheit ist nichts, was Unternehmen einfach an den Staat delegieren können – sie stehen selbst in der Verantwortung. Zugleich schaffen die neuen Gesetze aber auch Transparenz und klare Verhältnisse. Obwohl die Regulierung von Cybersicherheit in der EU bereits auf einem hohen Niveau ist, gibt es immer noch Themen, die mehr Aufmerksamkeit erfordern. Insbesondere die Vereinheitlichung der Regulatorik über die EU hinaus sowie ein besserer Informationsaustausch, um staatliche Cyberattacken gemeinsam zu bekämpfen, sind überfällig.
Kriminelle täuschen Mitarbeitende mit KI
Mitarbeitende gelten im Kontext der Cybersicherheit bereits seit geraumer Zeit als größtes Risiko und Einfallstor für Kriminelle. An dieser Einschätzung hat sich bis heute nichts geändert. Sowohl die Praxis als auch zahlreiche Studien stützen diese Annahme. Und eigentlich leuchtet es auch schnell ein, wenn man sich vor Augen führt, dass Abbildung: Anton Payvin / Getty Images so gut wie jeder Kompromittierung ein menschlicher Fehler vorausgeht – ganz egal, ob ein schwaches Passwort, ein nicht ausgeführtes Update oder ein unachtsam geöffneter E-Mail-Anhang der Auslöser ist. Vor allem der Entwicklungssprung im Bereich der generativen KI macht es Kriminellen deutlich leichter, Mitarbeitende gezielt zu täuschen, um an sensible Daten zu gelangen oder Schadsoftware ins Unternehmen einzuschleusen. Manipulative E-Mails, mit denen sich Angriffsakteure beispielsweise als falsche Führungskräfte ausgeben, sind durch die Unterstützung von KI-Chatbots deutlich schwerer zu enttarnen.
Aus der Kombination von öffentlich zugänglichen Informationen wie Social-Media-Profilen und leistungsfähigen Sprachmodellen entstehen so bisweilen täuschend echte Phishing- und Social-Engineering Nachrichten. Treffen diese auf ungeschulte Mitarbeitende, ist das Risiko
für weitreichende Vorfälle enorm. Mit Blick auf die rasant wachsende Qualität von KI-generierten Inhalten müssen sich Unternehmen auch zunehmend auf neuartige Täuschungsversuche einstellen, bei denen sich die Angreifenden mittels Deep-Fake-Technologien in Videokonferenzen oder Telefonaten als Mitarbeitende ausgeben. Darüber hinaus nutzen Cyberkriminelle generative KI nicht mehr nur für einzelne Schritte ihrer Strategie, sondern automatisieren ganze Kampagnen mithilfe der Technologie – von der Schwachstellensuche über die Entwicklung der Schadsoftware bis zur Kompromittierung. Um diesem Trend etwas entgegenzusetzen, müssen Sicherheitsverantwortliche die Technologie ebenso zu ihrem Vorteil nutzen. Sie können mit KI beispielsweise besser Anomalien erkennen und somit schneller auf Angriffsversuche reagieren.
Sensibilisierungskampagnen und Sicherheitskultur
Gerade weil die Mitarbeitenden als schwächstes Glied in der Verteidigung ein beliebtes Ziel der Angreifenden bleiben, spielen Personalabteilungen eine wichtige Rolle, um Risiken zu senken und etwaigen Attacken vorzubeugen. Sie prägen die Sicherheitskultur im Unternehmen entscheidend mit, da sie die zentrale Instanz für Sensibilisierungskampagnen, Schulungsprogramme und die Kommunikation von Richtlinien sind. Sie sollten daher unbedingt ein grundlegendes Verständnis für Cybergefahren und -sicherheit mitbringen oder entwickeln. Weil Personalabteilungen an der Schnittstelle zu IT-Abteilungen in vielen Unternehmen daran beteiligt sind, im Rahmen des Joiner-Mover-Leaver-Managements Rollen und damit verbundene Zugriffsrechte zu verwalten, kommt ihnen bei der Cyberstrategie eine besondere Verantwortung zu. Denn ein fortgeschrittenes Identity & Access Management (IAM) ist ein fester Bestandteil des sogenannten Zero-Trust-Prinzips.
Dieser wirksame und weit verbreitete Ansatz für die Cybersicherheit basiert auf der Annahme, dass weder interne noch externe Netzwerkressourcen automatisch als vertrauenswürdig betrachtet werden sollten. Stattdessen wird jeder Zugriffsversuch auf Ressourcen streng überprüft– unabhängig davon, ob er von innen oder außen kommt. Benutzerinnen und Benutzer, Geräte und Anwendungen müssen dementsprechend fortlaufend überprüft und autorisiert werden, bevor sie auf Ressourcen zugreifen dürfen, wodurch das Risiko von Datenverlust oder unbefugtem Zugriff erheblich sinkt. In Deutschland haben laut dem PwC Digital Trust Insights Survey bereits 28 Prozent der Befragten eine Zero-Trust-Strategie implementiert und spürbare Vorteile dadurch erzielt.
Die Personalabteilung kann in einem solchen Modell Benutzerkonten aktualisieren und verwalten, Schulungen zur Sensibilisierung bereitstellen oder die Koordinierung mit anderen Abteilungen übernehmen, um sicherzustellen, dass Zugriffsrichtlinien und -verfahren eingehalten werden. Außerdem steuert sie in bestimmten Fällen auch Disziplinarverfahren bei Verstößen. Dabei ist es jedoch wichtig zu verstehen, dass Cyberstrategien grundlegend darauf ausgerichtet sein sollten, risikobasiert und unter Berücksichtigung der spezifischen Bedrohungslagen alle relevanten Cyberfähigkeiten in ihrem Reifegrad zu stärken. Die technisch-organisatorische Etablierung eines Zero-Trust-Ansatzes ist dafür ein naheliegender Weg, erfordert aber auch entsprechende Ressourcen und ist dementsprechend nicht für jedes Unternehmen die richtige Strategie.
Resilienz und Krisenmanagement stärken
Weil die Investitionen in neue Systeme und die Cloud-Transformation in den letzten Jahren stark zugenommen haben, hat sich auch das allgemeine IT-Sicherheitsniveau vielerorts verbessert. Die Strategie verlagert sich dementsprechend von der technologischen Aufrüstung auf das Krisenmanagement. Es geht nun darum, schnell zu reagieren, den Schaden im Falle eines Angriffs effektiv zu begrenzen und damit auch ganz grundsätzlich die Resilienz zu stärken.
Damit das gelingt, braucht es einerseits regelmäßige Schulungen und Krisenübungen, andererseits aber auch klare Strategien und Verantwortlichkeiten für Reaktionspläne und das Business Continuity Management (BCM) im Allgemeinen. Im Ernstfall muss jede Funktion und Abteilung ihre Rolle im Sinne des Krisenmanagements kennen und ausführen. In der HR-Abteilung gehört es zu dieser Rolle, bei angriffsbedingten IT-Ausfällen zusätzliches Personal zu organisieren, um den entstehenden Mehraufwand auch ohne die gewohnten IT-Infrastrukturen weiter erfolgreich zu bewältigen – etwa in der Rechnungsstellung. Denn wenn plötzlich wichtige Systeme wie die ERP- oder Buchhaltungssoftware nicht mehr zur Verfügung stehen, leidet die Effizienz erwartungsgemäß enorm. Ein resilienterer Personalkörper ist für die Cyberstrategie dementsprechend ein genauso wichtiges Ziel wie die Sensibilisierung der Mitarbeitenden. Denn nur so können sie aktiv dazu beitragen, Krisensituationen wie die Folgen einer Cyberattacke zu bewältigen.
Weitere Beiträge zum Thema:
- Personalrisiken in der digitalen Transformation (humanresourcesmanager.de)
- Vom Risiko zur erfolgreichen Digitalstrategie (humanresourcesmanager.de)
- Künstliche Intelligenz im Job: Mehr Theorie als Praxis (humanresourcesmanager.de)
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Tech. Das Heft können Sie hier bestellen.
