Bei DTU Biosustain gehört eine starke Cybersicherheit zu den Prioritäten. Sie treiben Forschung, welche möglicherweise die Welt verändern kann. Aufgrund dessen sind sie ein großes Ziel für Hacking-Angriffe. Mads trägt hierbei die Last auf seinen Schultern. Er muss sicherstellen, dass sein Unternehmen geschützt ist. Wir haben mit ihm gesprochen, um mehr über seine Gedanken zu Cybersicherheit, Awareness zu erfahren und wie er ein Stop-Motion-Video des tanzenden Donald Trumps zur Aufklärung gegen Phishing kreiert hat. Wenn Sie mehr daran interessiert sind, wie Herr Gleerup Christensen und DTU Biosustain unser Awareness-Training nutzen, klicken Sie hier.
Wer ist DTU Biosustain? |
|
Wer ist Mads?
Mads ist verantwortlich für IT bei DTU Biosustain.
- Mads Gleerup Christensen
- Abteilungsleiter IT
- BScvon der Universität Roskilde
Inhaltsverzeichnis
- Wer ist DTU Biosustain?
- Warum ist Cybersicherheit wichtig?
- Technische Lösungen und Awareness-Training gehen Hand in Hand
- Wie nutzt DTU Biosustain Awareness-Training
- Awareness-Training führt zu sichtbaren Veränderungen
- Was ist mit Pishing-Training
- Physisches Bewusstsein zur Steigerung der Trainingsteilnahme
- Sehen Sie sich DTU Biosustains Awareness-Video an
- 3 Hinweise für andere Unternehmen
- Sicherheitsarbeit in 5 Jahren
- Schaffen Sie Bewusstsein in Ihrem Unternehmen
Wer ist DTU Biosustain?
DTU ist die Technische Universität Dänemarks, zu Englisch ‘The Danisch Technological University’. Sie haben mehr als 6000 Mitarbeiter*innen in verschiedenen Forschungszentren und Instituten verteilt. Wir haben mit Mads gesprochen, welcher für die IT bei DTU Biosustain, einem solchen Forschungszentrum, verantwortlich ist. DTU Biosustain hat ein Team bestehend aus 300 Mitarbeiter*innen. Sie werden von Novo Nordisk finanziert und forschen an der Herstellung von nachhaltigen Chemikalien mithilfe von genetischen Modifikationen. Sie haben ihre eigene Cybersicherheit aber arbeiten natürlich noch mit DTU als Ganzem zusammen.
Das IT-Team bei DTU Biosustain
Mads ist der Hauptverantwortliche bei DTU Biosustain, wenn es um IT geht. Er hat ein Abschluss in Corporate Governance and Computer Science. Er mochte das Programmieren nicht wirklich, aber es verlieh ihm doch ein gutes IT-Verständnis, welches er nun mit seinem Wissen zu menschlichen Aspekten der Firmenkultur kombiniert. Er leitet ein kleines vierer Team, ihn miteingeschlossen. Sie sind 3 Vollzeit-Mitarbeiter*innen und ein*e Werkstudent*in. Mads ist auch für die IT eines anderen DTU Institutes verantwortlich, welches gleich aufgebaut ist, jedoch konzentrieren wir uns in diesem Artikel nur auf seine Arbeit bei DTU Biosustain, wo er versucht, über die Wichtigkeit von Cybersicherheit aufzuklären.
Warum ist Cybersicherheit wichtig?
Cybersicherheit ist für alle Unternehmen von großer Bedeutung, doch für eine Universität wie DTU Biosustain ist es äußerst wichtig. Mads sagt, dass sie sonst gar nicht hier sein könnten.
“Wenn wir nicht mit IT-Sicherheit arbeiten würden, wäre alles anders. Wir würden wahrscheinlich gar nicht existieren können. Wir sehen, wie Universitäten und biotechnische Unternehmen konstant angegriffen werden. Kürzlich wurden wir selbst auch angegriffen und nur dank eines aufmerksamen Mitarbeiters ist Nichts schlimmes passiert. ”
Universitäten haben viele Daten zu beschützen.
“Wir sind ein Forschungsinstitut, welches einige der besten Wissenschaftler*innen anstellen kann. Diese arbeiten mit bahnbrechenden Forschungen. Wenn diese gestohlen werden oder wir die Zeit der Wissenschaftler*innen aufgrund unserer mangelhaften Sicherheit verschwenden, wäre das ziemlich schlecht.”
Da DTU Biosustain mit den neusten Forschungserkenntnissen arbeitet, macht sie dies zu einem beliebten Ziel für Cyber-Angriffe. Das Wissen und die Daten, welche sie besitzen, sind sehr wertvoll. Daher ist es selbstverständlich, dass sie einen Fokus auf Cybersicherheit legen.
Woher kommt die Gefahr?
Heutzutage ist jedes Unternehmen zahlreichen Angriffen ausgesetzt, da viele Cyber-Angriffe automatisiert und nicht zielgerichtet sind. Wir sehen jedoch auch viele zielgerichtete Angriffe, meist wenn es für die Cyberkriminellen Sinn ergibt. Dies ist der Fall für DTU Biosustain. Wie Mads sagt, fürchten sie sich vor Regierungen, Hackern und vielem mehr.
“Die Realität ist, dass wir uns vor Russland, Iran, China und vielen weiteren Ländern in Acht nehmen. Die Realität ist, dass wir nach jeder Konferenz alles schreddern und unsere Computer innerhalb einer Sandbox formatieren müssen. Es ist schlimm daran denken zu müssen.”
Bei DTU Biosustain muss jeder einzelne Computer geschützt werden.
“Wir müssen stets wissen wer wo hingeht. Es ist wichtig, dass sich unsere Mitarbeiter*innen dieser Realität bewusst sind.”
Aufgrund der Arten möglicher Bedrohungen, hängt Cybersicherheit nicht nur von technischen Maßnahmen ab, sondern betrifft auch die Mitarbeiter*innen und deren Verhalten.
Es ist eine große Herausforderung eine Universität zu sein
Eine von Mads weiteren Herausforderungen ist, dass sie eine Universität sind. Das bedeutet, dass jeden Tag Personen ein und aus gehen.
“Novo Nordisk, beispielsweise, kann gesperrt werden, damit Mitarbeiter*innen nur zu notwendigem Material Zugriff haben. Doch an unserer Universität gibt es von der Straße aus freien Zugang. Man braucht tagsüber nicht einmal eine Schlüsselkarte. Und dies gilt auch für unsere IT-Infrastruktur.”
Die Universität hat viele Nutzer*innen, die auf viele Dinge Zugriff brauchen. Das macht es schwierig zu schützen und deshalb noch wichtiger, dass Nutzer*innen sowie Mitarbeiter*innen aufmerksam sind.
Technische Lösungen und Awareness-Training gehen Hand in Hand
Cybersicherheit ist historisch betrachtet eine Aufgabe der IT-Abteilung. Früher war Cybersicherheit eine Angelegenheit guter IT-Infrastruktur, einer starken Firewall, einem guten Anti-Virus Programm und zahlreicher anderen Mauern. Auch wenn dies heute noch stimmt, ist das nicht die ganze Wahrheit. Da wir mehr elektronische Geräte in unserem Alltag nutzen, sind wir selbst ein großer Teil der Cybersicherheit geworden. Dies bestätigt auch Mads.
“Wir kaufen all die besten Systeme. Dies bedeutet, dass es nicht viele Pishing-Mails und Hacker-Angriffe durch unsere Systeme schaffen. Aber..., wenn es doch etwas durch diese Verteidigung schafft, muss nur eine einzige Person auf eine ZIP-Datei klicken, damit sich Malware verbreitet, oder jemand seine Zugangsdaten an irgendjemanden weitergibt.”
DTU Biosustain investiert viel Geld in technische Lösungen, aber das reicht nicht aus. Sie müssen ihre Angestellten schulen.
“Wir könnten ach so viele gute Systeme haben, aber wenn nicht alle ein grundlegendes Verständnis haben und nicht das Gute von dem Schlechten unterscheiden können, helfen auch diese nicht.”
Schauen wir uns DTU Biosustain also genauer an.Wie nutzt DTU Biosustain Awareness-Training
DTU Biosustain hat verschiedene Initiativen, um das Bewusstsein innerhalb des Unternehmens zu schärfen. Sie nutzen CyberPilots Awareness-Training, sie haben einiges an physischem Bewusstsein und Mads hat ein Video zum Thema Phishing erstellt. Wir untersuchen diese drei Initiativen genauer.
CyberPilot Awareness-Training
Der erste Teil des Awareness-Trainings für DTU Biosustain besteht aus unseren Awareness-Kursen. Die Mitarbeiter*innen bei DTU Biosustain erhalten unsere Kurse zur DSGVO und Cybersicherheit jeden zweiten Monat, um das Bewusstsein zu Themen wie Phishing, Passwörtern, personenbezogenen Daten und vielen weiteren. Neue Mitarbeiter*innen erhalten einige Einstiegskurse während ihrer Einarbeitung.
Das Awareness-Training ist einschließend und nicht wertend
Mads meint, dass das Awareness-Training gut läuft.
“Grundsätzlich ist das Konzept von Awareness-Training genial. Ich glaube, dass es einen großen Anteil an Leuten gibt, die sehr limitierte IT-Kenntnisse haben, verglichen mit dem, was sie eigentlich wissen sollten. Es ist für mich sehr gut zu sehen, dass wir die Menge an Wissen steigern können. ”
Mads glaubt, dass das Konzept funktioniert, aber es viele Anbieter gibt, welche Awareness-Training anbieten. Warum hat er also CyberPilot ausgewählt?
“Ich finde das was ihr macht sehr gut. Vorab erzählt es eine Geschichte. Es ist nicht herablassend. Das schlimmste ist es, wenn Leute fühlen, dass die IT-Abteilung von oben herab mit ihnen spricht. Dies passiert, wenn sie sagen: ‘Ich fühle mich blöd, wenn ich in Ihr Büro komme, um etwas zu fragen und Sie sitzen einfach da mit Ihrem World of Warcraft Haar. ’ Ich möchte, dass sich alle willkommen fühlen.”
Mads mein zwar, dass der Schwierigkeitsgrad der Kurse für einige Leute zu niedrig ist, aber das ist kein Problem:
“Natürlich wissen einige Leute die Lösungen schon und für diese sind die Kurse etwas zu einfach. Diese könnten sie vielleicht verlieren, aber sie wissen bereits genug zu Cybersicherheit. Für die, die solche Kenntnisse nicht haben, ist das Awareness-Training genau richtig. Ich habe noch nie von jemandem negatives Feedback erhalten.”
Mithilfe unseres Awareness-Trainings schärfen wir das Bewusstsein und verbessern das Basiswissen an Cybersicherheit innerhalb von Unternehmen.
Awareness-Training führt zu sichtbaren Veränderungen
Eine der Schwierigkeiten ist es, wie man die Wirkung des Awareness-Trainings misst. Wir lieben Daten, die dessen Wirkung beweisen können, aber bei so lockereren Themen wie Cybersicherheitskultur und Wissen wird es schwierig. Trotz dessen meint Mads, dass das Training definitiv hilft.
“Bewusstsein funktioniert! Ich weiß dies auch ohne Zahlen als Beweis und ohne irgendeine Voreingenommenheit, abgesehen von meinem Bauchgefühl.”
Etwas später in unserer Unterhaltung stellt sich heraus, dass Mads doch einige Messwerte als Beleg hat, welche jedoch eher qualitativ als quantitativ sind.
“Früher bekam ich eine E-Mail von vielleicht einer Person, welche schrieb: ‘ Ich habe diese E-Mail erhalten, meine Kolleg*innen haben sie auch erhalten. Ist sie echt oder eine Phishing-Mail? ’ Nun erhalte ich immer zahlreiche E-Mails, wenn etwas passiert oder eine E-Mail herum geht. Auch wenn die E-Mail authentisch und von jemandem bei DTU zu sein scheint, schreiben mir Leute ‘Das was diese Person schreibt scheint etwas merkwürdig. Ist es eine der E-Mails vor der uns CyberPilot gewarnt hat? ’ ”
Diese Art von Erfahrung zeigt die Wirkung des Awareness-Trainings. Mads hatte noch ein weiteres Beispiel dazu, wie sein Arbeitsleben einfacher geworden ist, da er nicht vor jeder einzelnen Phishing-Mail warnen muss.
“Früher habe ich geschrieben: ‘Diese E-Mail ist im Umlauf. ’ Das muss ich nicht mehr machen. Leute sind wachsam.”
Sieht aus als würde das Awareness-Training funktionieren.
Was ist mit Pishing-Training
DTU Biosustain hat auch eine Phishing-Kampagne gestartet, nachdem das Training eine Weile lief. Es war sehr hilfreich, aber Mads hätte sich gewünscht, dass sie eine Kampagne vor dem Training als Vergleichslinie durchgeführt hätten.
“Ich habe schnell E-Mails erhalten, die den Absenderdomain als CyberPilot identifizierten. Sie haben es also schnell durchschaut. Ich hätte mir gewünscht, dass wir dies vor dem Training gemacht hätten, um unsere Ausgangslage zu wissen. Aber es ist ein gutes Zeichen, dass sie es durchschaut haben. Ich glaube, dass unser Awareness-Training dafür gesorgt hat.”
Es zeigt, wie Phishing-Training genutzt werden kann, um das Training zu ergänzen und auf den vorhandenen Kenntnissen des Awareness-Trainings aufzubauen. Indem alle beim Phishing-Training mitmachen, kann man einen Einblick erhalten, wie gut das Unternehmen darin ist Phishing-Mails zu entdecken.
Aufpeppen kann helfen
Mads hatte kein negatives Feedback für das Awareness-Training, aber er persönlich könne ein wenig mehr Pep gebrauchen, doch sehe auch ein, dass das Training für eine breite Masse bestimmt ist.
“Es ist eine persönliche Präferenz. Vielleicht wollen 98% der Leute keinen Elan, aber ihr könntet es doch ein bisschen aufpeppen. Nochmals, ich habe Nichts zu verlieren. Mich kann man nur feuern oder ein bisschen anschimpfen. Ihr habt ein Unternehmen zu leiten und müsst sicherstellen, dass ihr nicht jeden beleidigt.”
Glücklicherweise kann man die Sache immer in die eigene Hand nehmen und genau das hat Mads getan. Er hat sein eigenes Video erstellt und Pep nach eigenem Geschmack hinzufügen. Aber bevor wir weiter ins Detail gehen, möchte ich ein wenig mehr darüber reden, wie Mads mithilfe von physischem Bewusstsein das Awareness-Training unterstützt hat.
Physisches Bewusstsein zur Steigerung der Trainingsteilnahme
Zusätzlich zum CyberPilot Awareness-Training hat Mads andere Initiativen zum Schärfen des Bewusstseins eingeführt. Er hat beispielsweise Poster an den Wänden angebracht.
“Ich habe mit einigen großen Postern angefangen. Diese hatten verschiedene halb-provozierende Texte, nichts Böses, aber auffällig und ein paar gute Grafiken.”
Mads schafft ebenfalls Bewusstsein, wenn Leute ihr Awareness-Training vergessen. Wenn er sehen kann, dass die Teilnahme fällt, greift er ein.
““Wenn ich sehe, dass die Teilnahme etwas zu niedrig ist, bitte ich jemanden mit mir Flyer auszuteilen, die an das Awareness-Training erinnern sollen. Da keiner zahlreich E-Mails von mir lesen möchte, muss ich etwas anderes tun. Zum Beispiel habe ich einen Flyer erstellt mit dem Fakt, dass Mærsk 2 Milliradian (d.dk.) verloren hat, als jemand auf einen Link in einer E-Mail geklickt hat. Diese Art von Beispiel ist sehr gut darin Leute an die Wichtigkeit zu erinnern. Sie können ihre Forschungsergebnisse und ihre Patente verlieren. Ich mache sie nur dessen bewusst und es funktioniert. Ich kann eine Weile lang einen Anstieg in der Kursteilahme sehen, danach ist es wieder Zeit für neue Flyer.”
Niemand möchte freiwillig an Kursen zu Cybersicherheit teilnehmen, sie möchten nur mit ihren alltäglichen Aufgaben weiter machen. Manchmal muss man die Leute einfach nur daran erinnern, warum sie an den Kursen teilnehmen sollen.
Die IT-Abteilung sollte ein sicherer Ort sein – keine dummen Fragen
Der letzte Teil des physischen Bewusstseins ist anwesend zu sein und mit Mitarbeiter*innen zu sprechen. Leute müssen wissen, dass sie immer Fragen stellen können.
“Es ist uns sehr wichtig Leuten mitzuteilen: ‘Du solltest keine Angst haben, wenn du auf etwas geklickt hast. Komm einfach bei uns vorbei und sprich mit uns, dann finden wir heraus was zu tun ist’ Sie fühlen sich wohl damit, weil das jetzt zu ihrem Leben dazugehört. Es ist nicht selten, dass jemand glaubt, von deren Chef gefeuert oder bestraft zu werden. Cybersicherheit ist ein Teil unser aller Leben.”
Das Argument, dass Mads bringt ist für eine gute Cybersicherheit essenziell. Wenn Ihre Mitarbeiter*innen sich sicher fühlen zu Ihnen zu kommen, falls etwas vorfällt, haben Sie eine bessere Chance schnell und effektiv zu reagieren. Außerdem ist es hilfreich ein Arbeitsumfeld zu haben, wo sich jeder sicher fühlt. Das ist das A und O guter Cybersicherheit.
Sehen Sie sich DTU Biosustains Awareness-Video an
Wie vorhin erwähnt, dachte Mads, dass Cybersicherheits-Awareness ein wenig Pep gebrauchen könnte. Was hat er also getan? Er hat zusammen mit Rolf, einem talentierten Stop-Motion-Animateur, sein eigenes Video erstellt. Aber warum hat er das getan? Was braucht man, um ein solches Video zu erstellen?
Bevor wir diese Fragen beantworten, schauen wir uns das Video an:
Eine Antwort auf zunehmende Phishing-Angriffe
Phishing-Angriffe sind eine echte Bedrohung für DTU Biosustain. Besonders vor ein paar Jahren, als Spam-Filter noch nicht so gut wie heute waren. Das war der Hauptgrund für das Video:
“Wir wurden von zahlreiche Phishing-Mails getroffen. Es waren UNMENGEN. Es war eine Herausforderung und nicht alle Mitarbeiter*innen waren mit dem großen Internet und dessen Gefahren bekannt.”
Das Video soll eine schnelle Erinnerung, ein Adrenalinschuss sein, damit sich Leute wieder an die Gefahren der Phishing-Emails erinnern.
“Es ist wie, wenn du deiner Freundin Rosen schenkst. Nach ein paar Tagen fangen sie an ein wenig zu hängen. Dann gibst du ihnen etwas heißes Wasser und sie strecken ihren Hals noch einmal. Dieses Projekt war dafür da, um Leute aufzuwecken und ‘HEY! ’ zu sagen.”
Das war nicht der einzige Grund für das Erstellen des Videos, da Mads zugibt, dass es Spaß gemacht hat.
“Vielleicht war dieses Projekt auch ein wenig eigennützig, da es mir Spaß gemacht hat. Aber hauptsächlich sollte es ein Weckruf sein und auf all den Stereotypen aufbauen. Es sollte Bewusstseinsbildung sein, die Spaß bringt.”
Und warum sollte man keinen Spaß haben, wenn man Videos erstellt?
Wie Mads das Video gemacht hat
Mads hat damit angefangen zahlreiche Werbeagenturen anzufragen, aber sie alle wollten 500.000 d.kr. (ca. 67.200€) für ein Video plus 250.000 d.kr. (ca. 33.600€) für die Umfrage danach. Er hatte 300 Mitarbeiter*innen und hoffte, dass diese später an seine Tür klopfen würden, um zu sagen “das war ein lustiges Video” und sie im Pausenraum darüber reden würden. Nichts Großes.
Mads traf Rolf und eine Idee war geboren
So, was macht man also, wenn man keine halbe Million ausgeben will? Mads dachte zurück an einen Mann namens Rolf, welchen er kürzlich kennengelernt hatte.
“Ich habe diesen Typen gefunden, der Videos macht. Ich find, dass er total verrückt und unglaublich kreativ ist. Er nutzt viele Gadgets und kleine Gegenstände, die er überall findet. Er hatte Awareness-Videos für DTU über Baustellen und mögliche Gefahren erstellt, also habe ich ihn angerufen.”
Mads dachte an ihn und wusste, was passieren musste. Rolf sollte ein Video über Phishing erstellen.
Es ist viel Arbeit
So hat Mads ein Storyboard erstellt und es an Rolf geschickt, welcher seine eigene Note hinzugefügt hat. Die Idee hinter dem Video war es Humor, Provokation und Cybersicherheitsthemen, mit denen sich DTU Biosustain tägliche auseinandersetzt, zu verbinden.
“Wir haben ein Storyboard mit den häufigsten Dingen erstellt. Dann hat Rolf es vereinfacht, denn keiner will zwei sprechenden Köpfen 15 Minuten lang zusehen. Aber das war unser Grundgedanke, die Sachen erwähnen, die oft vorkommen und ein paar Leute zum Lachen bringen. ”
Aber das lag weit entfernt. Rolf hat das Video in seiner Freizeit erstellt, da er einen anderen Vollzeitjob hatte. Die Erstellung des Videos hat ein ganzes Jahr gedauert und zum Schluss ca. 80.000d.kr., fast 11.000€, gekostet.
“Was er macht ist Stop-Motion. Er sitzt in einer kalten Garage nahe der Deutschen Grenze und macht sein Ding. Es nimmt viel Zeit und ich hatte Ärger von meinem Chef bekommen, weil ich Rolf nicht angetrieben habe, aber ich bin mir ziemlich sicher, dass niemand Michelangelo gesputet hat, als er die Sixtinische Kapelle gemalt hat. Kreativität braucht Zeit. ”
Auch wenn man keiner Werbeagentur eine halbe Million zahlt, braucht es doch Zeit und Geld eigene Videos zu erstellen.
Das Video wurde zum Leben erweckt
Nach einem Jahr war das Video endlich fertig. Es wurde in DTU Biosustains internem Netzwerk hochgeladen. Wenn es eine Welle an Phishing-Attacken gibt, wird das Video wiederbelebt und in dem wöchentlichen Newsletter verschickt. Aber leider wird es nicht so viel genutzt, wie Mads es sich gewünscht hätte. Vielleicht weil es so provokant war, fürchtet er sich ein wenig vor der Reaktion der oberen Führungsebene.
“Sie denken sich vielleicht: ‘Mads, du dummer Kerl......Du hast dafür Geld ausgegeben?’”
Mads hat keine Angst um seinen Job, aber er weiß, dass dieses Video heikel war.
Es gab positive Rückmeldung
Auch wenn Mads ein wenig nervös wurde, als das Video verbreitet wurde (was eigentlich der Sinn eines Awareness-Videos ist), war das Feedback nur positiv. Ich habe gefragt, ob es jemanden wütend gemacht oder beleidigt hat und ob es negatives Feedback gab:
“Nein, es gab nur positives Feedback.”
Mads fügt hinzu, dass Leute vielleicht hier und da ein Kommentar gegeben haben, jedoch nur, um ein Gespräch zu starten.
“Sie sagen vielleicht: ‘Verdammt, ist das blöd, ’ aber gleichzeitig sprechen sie über Phishing. Ein anderer meinte vielleicht: ‘Ich bin Russe, warum stellst du mich so dar? ’ aber dann kann ich sagen: ‘Entschuldigung dafür, ’ doch am Ende des Tages ist keiner beleidigt, weil sie wissen, dass diese Gefahr eine Realität ist. Realität ist, dass wir uns vor Russland, Iran, China und Indien fürchten.”
Wenn das Video die Leute dazu bringt über Phishing zu sprechen, ist es ein Erfolg. Das schärft das Bewusstsein zu vielen Gefahren und erlaubt Mitarbeiter*innen Phishing-Attacken einfacher in ihrem Postfach zu erkennen.
Vielleicht sollte Ihr Unternehmen auch ein eigenes Phishing-Video erstellen.
3 Hinweise für andere Unternehmen
Ich habe Mads gefragt, ob er 3 gute Hinweise anderen Unternehmen mitgeben kann. Er meinte, dass er dies wahrscheinlich könnte, aber stattdessen ein große
Hinweis habe. Er meinte:
“Wenn du 3 Hinweise daraus ziehen willst, dann ist es das.”
Dann versuche ich es.
Hinweis 1: Haben Sie eine starke technische Basis
Der erste Hinweis meint, dass man eine technische Lösung braucht, um seine Cybersicherheit zu unterstützen.
“Mit den richtigen Systemen kommt man weit und versichert, dass nur 2-3% des böswilligen Krams durchkommt.”
Der technische Teil ist wichtig, aber Mads mein auch, dass es nicht ausreicht, weil es immer noch 2-3% hindurchschaffen. Das bringt uns zu unserem nächsten Hinweis.
Hinweis 2: Ihre Cybersicherheit ist nur so stark, wie der schwächste Nutzer
Ihre technische Lösung kann nicht ohne aufmerksame Mitarbeiter*innen überleben.
“Deine Sicherheit ist nur so stark wie der schwächste Nutzer oder jemand, der einen langen Tag hatte und so auf einen Link geklickt hat und sich auf der falschen Seite anmeldet. ”
Die Ansage von Mads ist klar. Sie müssen sicherstellen, dass sich alle Mitarbeiter*innen den Gefahren bewusst sind, damit die Fehler vermeiden können. Der letzte Hinweis ist ein Teil davon, aber steh doch eigenständig.
Hinweis 3: Schaffen Sie eine gesunde Cybersicherheitskultur
Mads dritter Hinweis ist, ein Umfeld zu schaffen, wo sich keiner fürchtet potentielle Fehler zuzugeben. Es ist eine Sache aufmerksame Mitarbeiter*innen zu haben, doch eine andere, wenn einem diese Mitarbeiter*innen vertrauen, dass sie zur IT-Abteilung kommen, wenn etwas schief geht, ohne sich zu fürchten.
“Man braucht eine willkommene Kultur für Leute mit verschiedensten IT-Kenntnissen, denn das Schlimmste ist, wenn sich jemand fürchtet zu dir zu kommen und stattdessen versucht zu verstecken, dass er Informationen geteilt hat, weil er sich schämt.”
Diese drei Hinweise sind Dinge, die CyberPilot bestätigen kann, da wir allem 100% zustimmen.
Sicherheitsarbeit in 5 Jahren
Wo sieht Mads seine Sicherheitsarbeit in 5 Jahren? Oder wo wünscht er sie sich? Das was meine letzte Frage und es ist einfach zu erkennen, dass Mads die Nutzer*innen als einen entscheidenden Faktor der Cybersicherheit sieht. Sein Wunsch für die Zukunft ist, mehr Nutzer*innen in Cybersicherheit zu involvieren, so wie wir es mit Designern in Design-Prozessen sehen. Er möchte sich mit Nutzer*innen zusammensetzen und sehen, wie sie verschiedene Programme und Systeme nutzen. So kann er kommunizieren und Cybersicherheitsstrategien schaffen, die zu der alltätlichen Nutzung von IT passen, anstatt dass Mitarbeiter*innen sich an Regeln halten müssen, die nicht zu ihren alltäglichen Aufgaben passen.
“Bei allem was wir tun, müssen wir an den menschlichen Bedarf denken. Ich hoffe, dass wir dies in 5 Jahren mehr tun, damit wir die Notwendigkeit wirklich verstehen und unsere Cybersicherheit und unser Bewusstsein an diese Bedürfnisse anpassen können.”
Wir meinen, dass wir alle dieselben Hoffnungen teilen. Cybersicherheit sollte Leute nicht schuften lassen, sondern einfach im Arbeitsalltag zu implementieren sein.
Schaffen Sie Bewusstsein in Ihrem Unternehmen
Eine gute Cybersicherheitskultur ist wichtig. Wie und DTU Biosustain und Mads zeigen, gibt es dafür viele Ansätze. Sie könnten zum Beispiel ein Video oder Poster erstellen, mit Leuten sprechen oder mit Awareness-Training beginnen. Wenn Sie unser Awareness-Training ausprobieren wollen, können Sie das in Sekundenschnelle.
