Wenn für Mitarbeiter die sichere Option die einfachste ist, hat das Unternehmen mit seiner Sicherheitskultur sein Ziel erreicht. Aber oft ist den KMU nicht bewusst, wie diese Rahmenbedingungen geschaffen werden können. Mit folgenden fünf Prinzipien kommen Firmen ihren Sicherheitszielen näher.
Die Verantwortung für das Thema Sicherheit obliegt heute nicht mehr nur einem Team, sondern dem gesamten Unternehmen. Im Idealfall ist der Sicherheitsgedanke ein fester Bestandteil der Firmenkultur, das heisst: Jeder Mitarbeiter begreift und nutzt ihn als positiven Rahmen für das eigene Verhalten, beim Einsatz von Technologien und für die Entscheidungsfindung.
Um eine Sicherheitskultur zu etablieren, empfiehlt es sich, dass Unternehmen folgende fünf Grundprinzipien befolgen:
- Aus- und Weiterbildung
Alle Mitarbeiter sollten die Möglichkeit haben, sich mit den verfügbaren Technologien vertraut zu machen. Wichtig ist, dass sie von den Sicherheitsexperten geschult werden – auch zu den geltenden Security-Richtlinien und -Vorschriften. Damit dienen alle Mitarbeiter als erste Verteidigungslinie des Unternehmens. Das senkt die Wahrscheinlichkeit, dass selbst einfache Fehler zum Sicherheitsproblem werden. Wichtig ist in diesem Zusammenhang auch, sämtliche Geschäftsanforderungen klar zu definieren – sei es die Implementierung einer Sicherheitskonfiguration durch die Anwendungsentwickler oder das Einspielen von Patches durch die Produktverantwortlichen.
- Sicherheitshygiene
Um zu verhindern, dass einzelne Fehler zu Bedrohungen werden, sind fest verankerte Sicherheitsroutinen unerlässlich. Den Mitarbeitern müssen die Gefahren durch schlechte Angewohnheiten wie die gemeinsame Nutzung von Benutzerkonten und Passwörtern immer bewusst sein. Hierzu müssen die Unternehmen dafür sorgen, dass die bestehenden Zugangssysteme ein sicheres Verhalten ermöglichen. Die Dienste von AWS bieten beispielsweise temporäre Anmeldedaten, die nur wenige Minuten oder Stunden gültig sind, anschliessend ist der Zugang mit diesen Anmeldedaten nicht mehr möglich. Dieses verstärkte Verfahren senkt die Wahrscheinlichkeit eines unbeabsichtigten Zugriffs auf Geschäftsdaten erheblich.
- Fehlerkultur
Probleme in der Softwareentwicklung wird es immer geben. Wichtig ist, daraus zu lernen und entsprechende Massnahmen zu ergreifen. Eine Kultur, in der die Ursachen für Probleme objektiv und ohne Schuldzuweisungen analysiert werden, trägt dazu bei, dass das Unternehmen lernen kann. Es geht nicht darum, wer für den Fehler verantwortlich ist, sondern darum, beim nächsten Mal die richtige Entscheidung zu treffen. Es sollte eine Kultur herrschen, in der die Mitarbeiter Sicherheitsprobleme offen ansprechen, weil sie wissen, dass die Experten und die Verantwortlichen sie immer unterstützt.
- Zusammenarbeit von Entwicklungs- und Security-Teams
Durch eine enge Zusammenarbeit mit den Entwicklern lernen die Sicherheitsverantwortlichen die Prozesse kennen, die bei der Erstellung und Freigabe von Software ablaufen. Damit können sie den Entwicklern helfen, die richtigen Sicherheitsmassnahmen zu ergreifen und sich auf das eigentliche Programmieren zu konzentrieren. Wird beispielsweise eine Cloud-Plattform mit dem Corporate-Identity-Provider föderiert, können die Entwickler Berechtigungen in Form von verständlichen Richtlinien erstellen. Damit lässt sich erreichen, dass die Umsetzung von Sicherheitsmassnahmen weniger als Last empfunden wird. Über automatische Tests erhalten die Entwicklungsabteilungen frühzeitig Rückmeldung und können die gewünschte Sicherheitslage einrichten.
- Leistungsmessung für mehr Eigenverantwortung
Durch geeignete Datenerfassung von sicherheitsrelevanten Ereignissen kann ein Unternehmen anhand von Informationen erkennen, in welchen Bereichen besonders effizient und sicher gearbeitet wird. Wenn einzelne Teams die Vorgaben einfach erreichen, oder innovative Lösungen entwickeln, sollten diese im gesamten Unternehmen implementiert werden. Wichtig ist, dass die Mitarbeiter genau wissen, was gemessen wird und dass sie über Werkzeuge verfügen, mit denen sie ihre erreichte Qualität nachverfolgen können. Das stärkt die Eigenverantwortung und fördert damit eine positive Sicherheitskultur.
Weitere Informationen unter:
https://aws.amazon.com/de/products/security/