Warum Manager für die Cybersicherheit wichtig sind

Von Phil Muncaster • 10 September 2024

Manager spielen in ihrer Organisation eine einzigartige Rolle – sie lösen Probleme, managen Risiken und sind die Schnittstelle zwischen der obersten Führungsebene und den einfachen Mitarbeitern. Es sind Manager, die Strategien in operativen Erfolg umsetzen, indem sie ihre Teams überwachen, motivieren und führen. Und es sind Manager, die auch der Hierarchie wichtige Einblicke geben, wenn etwas nicht funktioniert. Daher sollte es Anlass zur Sorge geben, dass eine aktuelle Studie des Chartered Management Institute (CMI) gefunden Die überwiegende Mehrheit (85 %) der britischen Manager ist über die zunehmende Bedrohung durch Cyber-Bedrohungen besorgt.

Glücklicherweise können auch Manager Teil der Lösung sein – indem sie dazu beitragen, in ihrer Organisation eine Cyber-bewusste Kultur aufzubauen.

Das Vereinigte Königreich ist nicht von Natur aus sicher

Secure by Design wird in Organisationen des öffentlichen und privaten Sektors zunehmend als strategisches Gebot angesehen. Tatsächlich handelt es sich dabei um einen Ansatz, der auf der Herz der Regierung und in ähnlicher Weise gefördert durch DSGVO-Regulierungsbehörden. Auf hohem Niveau bedeutet dies, dass in jede Geschäftspraxis mit einem IT- oder digitalen Element von Anfang an eine risikobasierte Cybersicherheit integriert wird. Damit dies jedoch funktioniert, sind in der Regel umfassende kulturelle Veränderungen und eine Sensibilisierung innerhalb der Organisation erforderlich.

Derzeit scheint das Vereinigte Königreich noch weit davon entfernt zu sein, von Grund auf sicher zu sein. Die Regierung Umfrage zu Cyber-Sicherheitsverletzungen 2024 Highlights zahlreiche Herausforderungen, abgesehen von der Tatsache, dass 50 % der Unternehmen (70 % der mittleren und 74 % der großen Unternehmen) in den letzten 12 Monaten von einem Verstoß betroffen waren. Zu den wichtigsten Mängeln, die es aufdeckt, gehören:

Weniger als ein Drittel (31 %) der Unternehmen führten im vergangenen Jahr Cyber-Risikobewertungen durch. Und nur ein Drittel (33 %) setzte Sicherheitsüberwachung ein
Nur 11 % der Unternehmen prüfen Lieferkettenrisiken
Nur 30 % der Unternehmen haben Vorstandsmitglieder, die in ihrer Funktion direkt für Cybersicherheit verantwortlich sind. Diese Zahl hat sich seit einem Jahr nicht geändert.
Nur 58 % der mittelgroßen Unternehmen und 66 % der großen Unternehmen verfügen über eine formelle Cybersicherheitsstrategie
Nur ein Fünftel (22 %) der Unternehmen verfügen über Notfallreaktionspläne
Nur 41 % der Unternehmen suchen Informationen oder Beratung zur Cybersicherheit außerhalb der Organisation, ein Rückgang gegenüber den Zahlen von 2023 (49 %).
Nur einer von zehn ist sich des National Cyber Security Centre bewusst. 10-Schritte-Anleitung (13%) und Cyber-Grundlagen (12%)
Nur 18 % der Unternehmen bieten Schulungen für ihre Mitarbeiter an

Vor diesem Hintergrund ist es vielleicht nicht überraschend, dass britische Manager über Cyberbedrohungen besorgt sind. Schließlich scheinen ihre Organisationen schlecht auf die eskalierenden Cyberrisiken vorbereitet zu sein. Während es ermutigend ist, dass 79 % angeben, im vergangenen Jahr an Schulungen oder Sensibilisierungsprogrammen zum Thema Cybersicherheit teilgenommen zu haben, sagen nur drei Fünftel (59 %), dass ihr Arbeitgeber regelmäßige Schulungen zum Thema Cybersicherheit für alle Mitarbeiter anbietet.

Der Schlüssel zu einer sicherheitsbewussteren Organisation

Dennoch können Manager eine entscheidende Rolle dabei spielen, die Dinge wieder in die richtige Spur zu bringen, sagt Ian Campbell, leitender Sicherheitsbetriebsingenieur bei DomainTools.

„Der Ton und die Prioritäten im Alltag werden vom Management bestimmt, ebenso wie Delegation und Ermächtigung. All dies bietet großartige kulturelle und technische Möglichkeiten zur Absicherung der Organisation“, sagt er gegenüber ISMS.online. „C-Suite und Führungskräfte geben den Ton an; das Management führt ihn auf der untersten Ebene aus. Dadurch kann das Management die Sicherheitskultur an vorderster Front direkt und unmittelbar beeinflussen.“

Als Autoritätspersonen können Manager zudem einen erheblichen psychologischen Einfluss auf die Mitarbeiter ausüben, was zur Schaffung einer cyber-sensiblen Kultur innerhalb der Organisation beitragen kann, argumentiert Oz Alashe, CEO und Gründer von CybSafe.

„Manager haben innerhalb der Organisation eine Autoritätsposition inne, was dem Autoritätsbias zugutekommt – einem psychologischen Prinzip, bei dem Menschen eher der Führung von jemandem folgen, den sie als Autoritätsperson wahrnehmen“, sagt er gegenüber ISMS.online.

„Wenn Manager gute Praktiken in Sachen Cybersicherheit priorisieren und vorleben, ist es wahrscheinlicher, dass die Mitarbeiter diesem Beispiel folgen.“

Daher ist es besorgniserregend, dass zwar das Bewusstsein der Manager für Cybersicherheit zunimmt – 93 % geben an, über „mittlere“ oder „fortgeschrittene“ Kenntnisse in Sachen Online-Sicherheitspraktiken zu verfügen –, 80 % jedoch der Meinung sind, dass ihre digitalen Fähigkeiten noch verbessert werden müssen.

Mit gutem Beispiel voran

Was können Unternehmen also tun, um ihre Manager zu befähigen, eine Kultur des „Secure-by-Design“ zu fördern? Der erste Schritt scheint ziemlich offensichtlich: Stellen Sie sicher, dass diese Manager ausreichend geschult sind. Sie sollten cyberbezogene Konzepte und Best Practices wie Social Engineering, die Notwendigkeit starker Passwörter und Multi-Faktor-Authentifizierung (MFA) sowie die Bedeutung von Patches verstehen. Sie sollten auch über die Ressourcen, Tools, Richtlinien und Prozesse verfügen, um das Bewusstsein zu schärfen und Best Practices zu fördern.

Laut Alashe kommt es dabei teilweise darauf an, mit gutem Beispiel voranzugehen.

„Manager sind in einer einzigartigen Position, das Verhalten zu beeinflussen, nicht nur durch direkte Anweisungen, sondern auch durch ihr eigenes Handeln. Wenn Manager ein gutes Sicherheitsverhalten an den Tag legen – wie etwa das Melden mutmaßlicher Phishing-E-Mails – setzen sie einen Standard, dem sich andere anschließen sollten“, erklärt er.

„Darüber hinaus können Manager soziale Beweise nutzen – wenn Menschen sich am Verhalten ihrer Mitmenschen orientieren, um ihr eigenes Handeln zu bestimmen. Indem sie ein Umfeld schaffen, in dem die Einhaltung von Sicherheitsrichtlinien die Norm ist und sichtbar praktiziert wird, können Manager dazu beitragen, eine Kultur zu etablieren, in der sicheres Verhalten die Regel und nicht die Ausnahme ist.“

Campbell von DomainTools ist derselben Meinung und argumentiert, dass Manager eine „Kultur des Vertrauens und der Nachfrage“ schaffen sollten, in der die Mitarbeiter ermutigt werden, verdächtige Ereignisse zu melden und dafür gelobt werden, unabhängig vom letztendlichen Ergebnis.

„Kombiniert man das mit Anreizen, um den Sicherheitsvorgaben auch Taten folgen zu lassen, anstatt nur Bewusstsein als zusätzliches, nicht finanziertes Mandat zu predigen, wird ein ganzheitliches Sicherheitsprogramm von Grund auf entstehen“, fügt er hinzu. „Mitarbeiter zu befähigen, auf neue Ereignisse zu achten und sie zu hinterfragen, ist ein riesiger Schritt nach vorne.“

Manager sollten außerdem als Dreh- und Angelpunkt zwischen der Belegschaft, dem technischen Support und den Sicherheitsabläufen fungieren, fügt er hinzu.

„Sie sind der ‚Superknoten‘, der technische Probleme und Reibungsverluste im Arbeitsablauf an TechOps und SecOps melden kann – und muss –, während sie gleichzeitig die Gründe für die Reibungsverluste und die Verbesserung der Arbeit innerhalb des Systems an ihre Berichte weitergeben“, fährt Campbell fort. „Dieses Kommunikationssubnetz ist besonders wichtig, um Schatten-IT einzuschätzen und zu reduzieren, eine der größten oberflächlichen Bedrohungen, denen jede Organisation ausgesetzt ist.“

Dies ist selbst mit engagierten und dynamischen Managern keine leichte Aufgabe. Kulturelle Veränderungen können eine Herausforderung sein und brauchen Zeit. Im Grunde genommen muss es mit Vertrauen beginnen, was bedeutet, dass man zu den Grundlagen des Managements zurückkehrt und vertrauensvolle Beziehungen zu den Teammitgliedern aufbaut und aufrechterhält.

„Finden Sie die richtigen Leute, befähigen Sie sie und bauen Sie auf dieser Grundlage auf“, schließt Campbell.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster