Sicherheitsbewusstsein im Unternehmen schaffen Dennis Bohne CeBIT Hannover, 16. März 2015 Ein paar Zahlen  Zahl der Fälle von Cybercrime in engeren Sinne (Computerbetrug, Betrug mit Zugangsberechtigungen, Fälschung, Täuschung, Sabotage von Daten, etc.) in Deutschland nimmt zu – 63.959 auf 64.426 (2012 zu 2013)  „Internet als Tatmittel“ – von ca. 229.000 in 2012 auf ca. 257.000 Fälle in 2013  Täter(gruppen) agieren global und branchenübergreifend  „Tatwerkzeuge“ sind leicht zu beschaffen und sehr preiswert Quelle: BKA, Lagebericht 2013 25.03.2015 2 Die wichtigsten „Werkzeuge“  Falsche Identität  Vorschußbetrug  Trojaner oder andere Schadsoftware auf Arbeitsplatz oder Server (die sog. “Ransomware”)  Digitale Erpressung (Sperrung des Online-Shops oder Überfrachtung mit Anfragen “DoS”)  Abmahnungen und Unterlassungerklärungen bei “falschen” AGBs und Impressum 25.03.2015 3 Lohnenswerte Ziele  Unternehmensdaten Buchhaltung, Personaldaten inkl. Zutrittskontrollen, Lagerlisten, Angebote, Emails, Bilder, Dokumentationen, etc.  Kunden- und Lieferantendaten Namen, Bankverbindungen, (Rabatt)Verträge/ dokumentierte Absprachen, etc.  Identitäten Schwarzmarkt mit gestohlenen Identitäten boomt weiterhin trotz „Preisverfall“ (vorher ca. 100 EUR pro Identität, heute weit unter 10,- EUR)  Geld oder Waren Online-Banking Betrug weiterhin an der Tagesordnung 25.03.2015 4 (Un)Sicherheit innerhalb des Unternehmens Information als wichtigstes Gut  93% der Unternehmen, deren Datenbestand für zehn oder mehr Tage durch Datenverlust ausfiel, überlebten das folgende Geschäftsjahr nicht.  20% der KMU lagern ihre Sicherungskopien zusammen mit der IT  39% haben keinen schriftlich fixierten IT-Notfallplan, der im Falle von Datenverlust greifen kann  Sicherheitsherausforderung „MitarbeiterIn“  Sicherheitsherausforderung „Verlust von Endgeräten“ Quelle: FHB u.a., 2014 25.03.2015 6 Sicherheit in Unternehmen? Quelle: de statista, 2014 25.03.2015 7 10 Punkte zur stärkeren Sensibilisierung von Mitarbeitern * * In Anlehnung und Quelle: Michael Helisch, „Security Awareness, Neue Wege zur erfolgreichen Mitarbeiter Sensibilisierung“, Vieweg+Teubner Verlag, Auflage: 2009 Punkte 1 - 3  Ist Sicherheit Teil der Führungsaufgabe des Managements und wird als solches auch verstanden und umgesetzt?  Sind die Grundzüge des Unternehmenskultur bei der Erstellung eines Sicherheitskonzeptes berücksichtigt worden? Stichworte: Unternehmenskultur, Loyalität, Unternehmenswerte  Sind für die Umsetzung des Sicherheitskonzeptes die richtigen Unterstützer mit an Bord? Wer sind die wichtigsten „Treiber“ im Haus? 25.03.2015 9 Punkte 4 - 6  Kommunikation und Transparenz von Zielen und Inhalten ist die Grundlage jedes erfolgreichen Sicherheitskonzeptes. Sind die entsprechenden Experten (Psychologen, Marketing, Kommunikation, etc.) mit eingebunden?  Sind die Sicherheitsrichtlinien wirklich praktikabel? Haben bspw. Praxistest durch externe Dritte stattgefunden?  Nicht jeder Mitarbeiter benötigt und versteht alles. Sind Inhalte, Wege und Botschafter für Sicherheitsthemen festgelegt? 25.03.2015 10 Punkte 7 - 9  Sicherheit muss intern als echte „Marke“ verstanden und behandelt werden.  Neue und bewährte Methoden und Werkzeuge zur Kommunikation und Umsetzung der Sicherheitsstrategie müssen kombiniert werden. Innovativ, spielerisch und bewusst „anders“ darf gedacht und umgesetzt werden.  Alle Maßnahmen müssen verständlich dokumentiert und in festgelegten Zeiträumen evaluiert werden – ideal auch durch Externe. 25.03.2015 11 Punkt 10  Sicherheit funktioniert nur, wenn sie POSITIVER Bestandteil der unternehmerischen Alltagskultur ist – authentisch, aber auch emotional. Hierzu gehört ein positives Bild von Sicherheit ebenso, wie offene und transparente (interne) Kommunikation, auch und gerade in Krisenfällen. 25.03.2015 12 Zum Schluss 25.03.2015 13 Danke für Ihr Interesse. Dennis Bohne Leiter eBusiness-Lotse Westbrandenburg Fachhochschule Brandenburg Telefon +49 3381 327 – 364 Email [email protected]