Sichere digitale Transformation durch Knowledge
Branche: Informationssicherheit
Ausgangslage: Herausforderungen & Probleme
In einer zunehmend digitalisierten Welt ist Informationssicherheit nicht nur eine optionale Maßnahme, sondern ein essenzieller Faktor für den Erfolg und das Überleben von Unternehmen. Die steigende Bedrohungslage durch Cyberangriffe und Datenlecks erfordert eine strategische Herangehensweise an das Management von Informationssicherheit. Im folgenden Artikel werfen wir einen Blick auf den Fall von 4-advice, dem Wegbereiter für die sichere digitale Transformation. Wir zeigen dir wie wir erfolgreich Knowledge- und Change Management eingesetzt haben, um die Informationssicherheit eines Kunden zu erhöhen und geeignete Maßnahmen umzusetzen.
Herausforderungen Probleme, die der Kunde hatte
Unser Kunde, ein Lifescience-Weltkonzern wusste nicht genau, welche Informationen und IT-Systeme im Fall eines Hacks wie gravierende Auswirkungen haben würden. Da in der Informationssicherheit die Mitarbeitenden fast immer das größte Ziel für Hacker darstellen, galt es die Verhaltensweisen der Mitarbeiter dahingehend zu entwickeln „Security by Design“ zu erreichen: D.h. zu fördern, daß Mitarbeitende inklusive der Führungskräfte sich intuitiv sicher verhalten. Um das zu ermöglichen bedurfte es allerdings erst einmal des Wissens, welche Informationen wie schützenswert sind sowie technologischer Lösungen, die eine adäquate Absicherung der Informationen ermöglichen. D.h. die Herausforderungen traten in allen drei Bereichen auf: Technologie, Organisation und Mensch.
- Mitarbeiter arbeiteten nicht so sicherheitsbewusst wie gewünscht: Ohne angemessenes Bewusstsein über die Folgen von Cyberattacken sowie die Vermittlung des benötigten Wissens, um sicher verhalten zu können, entstehen potenziell erfolgreiche Einfallstore für Hacker und Industriespione.
- Mangelnde Informationsklassifizierung: Die fehlende Klarheit darüber, welche Informationen wie schützenswert sind, resultierte in einer unstrukturierten Herangehensweise an die Informationssicherheit.
- Reputation des Sicherheitsbereichs: Der interne Ruf des Informationssicherheitsbereichs war vielmehr der eines „Verhinderers“ als der des „Befähigers“ einer sicheren digitalen Transformation.
- Ressourcenmangel: Die Ressourcenknappheit zur Erstellung einer wirksamen Informationsklassifizierung, zur technischen Absicherung von erfolgskritischen Informationen in IT-Systemen sowie von Change Botschaftern für Informationssicherheit stellte eine weitere Herausforderung dar.
- Arbeitsabläufe zur technischen Absicherung: Es fehlte an einer umfasssenden, strukturierten und nachvollziehbaren Vorgehensweise zur Absicherung hoch sensibler Informationen und Systeme.
Was wäre wenn…
Die möglichen negativen Konsequenzen, im Falle des Nichtstuns, waren immens:
- Reputation des Unternehmens und der Vorstände: Ohne wirksame Informationssicherheit hätte die Unternehmensreputation erheblich geschädigt werden können. Befassen Vorstände sich erst zu spät – nachdem die Angreifer erfolgreich waren – mit dem Thema Informationssicherheit, so kann dies neben den Image-Schäden auch rechtlich schwerwiegende Folgen über die persönliche Haftung nach sich ziehen.
- Transformation ins Nirvana: Die Informationssicherheit stellt die Grundvoraussetzung für eine erfolgreiche – weil abgesicherte – digitale Transformation dar. Ohne angemessene Sicherheitsmaßnahmen kann die digitale Transformation von Unternehmen dazu führen, dass die Kronjuwelen der internen Betriebsgeheimnisse in falsche Hände geraten und Wettbewerber so die Geschäftsgrundlage zerstören.
- Mitarbeiter als Angriffsziel: Unzureichend geschulte Mitarbeiter sind das Hauptziel für Cyberangriffe, was zu Datenverlusten und Datenschutzverletzungen samt der damit verbundenen wirtschaftlichen Konsequenzen führen kann. Aber hier gilt wie auch beim Privathaus, wo die Alarmanlage signalisiert – breche lieber woanders ein, wo es keine gibt – dort ist die Wahrscheinlichkeit erwischt zu werden, geringer. Hacker nehmen vor allem die unsicheren Kantonisten ins Visier. Die Unternehmen, die mehr tun als Andere und sich sicherer verhalten werden sehr wahrscheinlich nicht zur Zielscheibe.
- Insolvenzgefahr: Statistiken zeigen, dass Großkonzerne im Durchschnitt nur 1-2 Monaten überleben können, wenn ihre Daten von Hackern verschlüsselt und Arbeitsprozesse so blockiert wurden. Die fortschreitende Digitalisierung erhöht daher die Dringlichkeit von Präventivmaßnahmen. Deshalb sind Vorsichtsmaßnahmen wie die Trennung von Systemen und andere IT Best Practices um auch für den Fall vorzubeugen, dass Hacker doch einmal hinter die Firewall des Unternehmens gelangen. Notfallpläne ergänzen Abwehrmechanismen.
Aber es war nicht aller Tage Abend…
Um Informationssicherheit ganzheitlich auszurichten und Security by Design anzustreben, bedarf es präventiver und reaktiver Maßnahmen. Und zwar müssen diese vorab bereits definiert und die schnelle Umsetzung gesichert werden. Zudem müssen alle Stellschrauben beachtet werden. Es gilt Menschen, Prozesse/ Organisation und Technologien sicherer zu machen. Die Formel lautet:
„M x O x T = Informationssicherheit!“
Ist einer der Faktoren sehr niedrig oder gleich 0, so kann man Informationssicherheit nicht gewährleisten! Unsere Vorgehensweise zur Befähigung der Mitarbeitenden zum intuitiv sicheren Arbeitsverhalten war deshalb wie folgt:
- Knowledge Management: Wir begannen mit der Identifizierung und Klassifizierung schützenswerter Informationen durch eine gründliche Informationsklassifizierung.
- Systemanalyse: Umfassende Analysen wurden durchgeführt, um Zugriffsrechte und Notfallmaßnahmen für Systeme und Anwendungen mit sensiblen Informationen zu überprüfen.
- Schutzmaßnahmen: Basierend auf den Ergebnissen wurden weitreichende Schutzmaßnahmen für Informationen und Systeme entwickelt und implementiert.
- Change Management: In enger Abstimmung mit Projektleitern und Stakeholdern wurde die Zielsetzung des Information Security Change Managements definiert. Darauf basierte ein umfassendes Change Programm. Unter anderen setzten wir viele verschiedene spielerische Veränderungsmaßnahmen um, wie z.B. unsere Business Escape Rooms™. Dort mussten die Teilnehmenden dann einen Hackerangriff virtuell abwehren. Mal vor Ort im Meetingraum und mal im Online-Meeting. „Trockene“ Themen wie Informationssicherheit bedürfen unserer Erfahrung nach besonders kreative Formate, um sie emotional ansprechend zu präsentieren und Menschen für das Thema zu motivieren.
- Management-Support: 4-advice arbeitete daran, Unterstützung auf allen Management-Ebenen bis hin zum Vorstand zu gewinnen, um die Bedeutung der Informationssicherheit zu betonen. (Fast) alle Unternehmen haben nicht nur laterale, sondern auch vertikale Organisations- und Entscheidungsstrukturen. Deshalb funktioniert ein Change hin zu intuitiv verankerter Informationssicherheit nur durch die Kombination beider Elemente: Top-Down Management Support UND Engagement aller Nutzer.
Ergebnisse und Kundennutzen:
Die erfolgreiche Umsetzung von Knowledge- und Change Management führte zu folgenden Ergebnissen:
- Informationsidentifikation: In einer Reihe von Workshops wurden alle wichtigen Informationen der Agrarsparte klassifiziert und konsolidiert.
- Kulturwandel: Durch die Einführung des „Security by Design“ Ansatzes wurde ein Kulturwandel angestoßen, der sowohl von der Basis als auch von der Unternehmensführung getragen wurde.
- Wissensvermittlung: Erklärvideos wurden erstellt, um den Mitarbeitern sicheres Verhalten näherzubringen und die Wissensvermittlung zu erleichtern.
- Anpassung der Grundregeln: Die Grundregeln für sicheres Arbeiten wurden überarbeitet und auf die Anforderungen des hybriden Arbeitsumfelds mit Home Office angepasst.
- Top-Management-Engagement: Mithilfe von spielerischen Formaten wie Hackerangriff-Simulationen und Business Escape Rooms™ wurde das Top-Management aktiv in den Change-Prozess eingebunden.
Fazit
Die erfolgreiche Konzeption und Umsetzung von Knowledge- und Change Management im Bereich der Informationssicherheit erhöhte nicht nur die Sicherheit unseres Kunden-Unternehmens, sondern schuf zudem erst die Grundlage für eine sichere digitale Transformation, in der nicht die Wettbewerber sondern das eigene Unternehmen die Früchte aller Anstrengungen erntet. Dieser Fall zeigt, wie strategische Herangehensweisen und gezielte Maßnahmen dazu beitragen können, den Schutz sensibler Informationen und die Sicherheit von Systemen zu gewährleisten. Unternehmen sollten die Chancen nutzen, die durch solche Ansätze geboten werden, um sich vor den ständig wachsenden Cyberbedrohungen zu schützen.