Helmut Leopold vom Center for Digital Safety & Security über die Cybersicherheit in Unternehmen und die ausgehende Gefahr durch den leichtfertigen Umgang mit Daten durch die MitarbeiterInnen.
Helmut Leopold
Head of Center for Digital Safety & Security, AIT Austrian Institute of Technology © Foto: AIT / PicturePeople
Wie wichtig ist die Thematik rund um „Cybersecurity“ für den Erfolg eines Unternehmens?
Durch
die umfassende Digitalisierung all unserer Systeme im Kontext der
globalen Vernetzung werden unsere Produktionsanlagen, IT-Services sowie
Produktions- und Kundendaten zunehmend einem potenziellen unerlaubten
Zugriff ausgesetzt. Vor diesem Hintergrund stellen kriminelle
Aktivitäten in Form von Erpressung, Datendiebstahl über Industrie- und
Wirtschaftsspionage bis hin zu Sabotage eine grundsätzliche Bedrohung
für jeden Unternehmenserfolg dar. Security muss daher in der heutigen
digitalen Welt als inhärenter Teil einer modernen Unternehmensstrategie
gesehen werden.
Welchen Stellenwert nimmt hierbei der „Faktor Mensch“ ein?
Eine hohe Cybersicherheit kann nur erreicht werden, wenn technische Lösungen mit Prozessen und dem Verhalten von Menschen in Einklang gebracht werden. Dabei spielt der Mensch als Benutzer der technischen Systeme eine ganz zentrale Rolle für die Sicherheit dieser Systeme. Es ist daher grundlegend wichtig, dass einerseits die MitarbeiterInnen eines Unternehmens ein hohes Sicherheitsbewusstsein haben sowie andererseits auch eine entsprechende Ausbildung besitzen. Gleichzeitig müssen auch die Hersteller von technischen Schutzlösungen eine entsprechend einfache Handhabung sicherstellen – Stichwort Usability von Sicherheitslösungen. Denn, wenn Technik nicht vernünftig bedienbar ist oder unnötige Hindernisse mit sich bringen, wird keine Akzeptanz der Technik erreicht, was wiederum entsprechende Sicherheitslücken zur Folge hat.
Empfehlen Sie unseren Unternehmen externe Betreuungen oder Zusatzausbildungen?
Es ist grundlegend wichtig, dass MitarbeiterInnen eines Unternehmens Sicherheitsbewusstsein haben.
Angriffsszenarien werden immer ausgeklügelter und Angreifer werden immer professioneller. Es wird immer aufwendiger, Wissen über neue Bedrohungen und vorhandene Sicherheitslücken in IT-Systemen aktuell zu halten. Daher ist es unbedingt notwendig, Cybersecurity-SpezialistInnen heranzuziehen, um sich beraten und moderne Schutzlösungen konzipieren zu lassen. Zusätzlich ist es essenziell, dass nicht nur Sicherheitsbeauftragte in Unternehmen, sondern auch SystemarchitektInnen, IngenieurInnen und auch die Geschäftsführung durch entsprechende Weiterbildungsmaßnahmen grundlegende Kenntnisse erlangen und auch danach im Zuge ihrer Tätigkeit agieren.
Wie hoch schätzen Sie die „interne Gefahr“ beispielsweise durch leichtfertigen Datenumgang der MitarbeiterInnen oder die Nutzung privater Apps oder Endgeräte für berufliche Belange?
Menschliches Fehlverhalten, etwa durch fehlendes Bewusstsein und mangelnde Ausbildung von MitarbeiterInnen, aber auch begründet durch schlecht konzipierte technische Systeme, stellen in unserer immer komplizierter werdenden vernetzten Welt ein sehr großes Gefahrenpotenzial dar. Es ist wichtig, zwischen hoch sensiblen und weniger wichtigen Bereichen zu unterscheiden. Harte umfassende Verbote von Apps schränken Innovationsprozesse ein bzw. verteuern oft den Arbeitsprozess. Hier gilt es, intelligent zwischen Offenheit, Innovation und Schutzbedürfnis entsprechend abzuwägen und verschiedene Zonen mit unterschiedlichem Schutzniveau zu realisieren. Hierfür sind innovative IT-Services und gut ausgebildete MitarbeiterInnen im Unternehmen gefragt.
