5second - stock.adobe.com
Der Einfluss der KI auf die Sicherheitskultur
Eine solide Sicherheitskultur in Unternehmen ist ein wichtiger Baustein einer ganzheitlichen Security-Strategie. KI bringt da zusätzliche Herausforderungen und Chancen mit sich.
Die Sicherheitskultur beziehungsweise Security Culture ist als Begriff in vielen Unternehmen etabliert und beschreibt als Sub Set der Unternehmenskultur einen Status, der schwer zu messen ist. Sie umfasst die beiden Bereiche Security Awareness und Verhaltensökonomie und ist als Resultat beider Bemühungen zu sehen. KnowBe4 führt jedes Jahr eine Untersuchung in seinem Security Report (PDF) durch, um Veränderungen festhalten und Trends beschreiben zu können. Die Ergebnisse zeigen, dass der Reifegrad der Sicherheitskultur in Europa sehr unterschiedlich ausfällt. In einigen Ländern wird der menschliche Faktor bei der Cybersicherheit wenig bis gar nicht berücksichtigt, so dass man sich zunächst auf die Sensibilisierung konzentrieren muss. Obwohl der Faktor Mensch nach wie vor der größte Angriffsvektor für jede Organisation ist, scheint es an der Anerkennung dieser Tatsache zu mangeln - und an der Anerkennung der spezifischen Angriffe, die auf Einzelpersonen gerichtet werden können.
Die meisten Organisationen in Europa sind sich jedoch darüber im Klaren, dass die Menschen Teil der Informationssicherheit eines jeden Unternehmens sein müssen, um seine Widerstandsfähigkeit zu erhöhen. Security Awareness wird nicht mehr als eine Checkbox-Übung zur Erfüllung von Compliance-Anforderungen verstanden. Es wird zunehmend als strategische Initiative zur Förderung eines breiteres Sicherheitsbewusstseins im Unternehmen betrachtet.
Der Gesamtwert 2023 für die Sicherheitskultur in Europa ist eher niedrig bis mittel. In Europa gilt nach wie vor: Je kleiner die Organisation, desto höher der Wert für die Sicherheitskultur. Kleinere Organisationen profitieren von einer persönlicheren und effizienteren Kommunikation. Die Kommunikationskanäle werden als besser wahrgenommen und es gibt ein stärkeres Zugehörigkeitsgefühl und mehr Unterstützung für Sicherheitsfragen. In diesem Zusammenhang sind auch die Wahrnehmung und die Einhaltung der Vorschriften besser.
Kommunikation als Schlüssel
Unter den europäischen Befragten ist das Verständnis für die Sicherheitsrichtlinien und das Ausmaß, in dem die Mitarbeiter diese befolgen sollen, geringer. Ebenso ist das Verständnis, das Wissen und das Bewusstsein für Sicherheitsthemen und -aktivitäten kleiner. Der beste Weg zur Beeinflussung scheint die Verbesserung der Kommunikation zu sein, an der es in Europa ebenfalls mangelt. Die Einrichtung besserer Kommunikationskanäle und die Förderung einer offeneren und direkteren Kommunikation können helfen. Interessanterweise wird das Verhalten der Menschen in Europa in mittleren und kleinen Organisationen als sicherer eingeschätzt als im weltweiten Durchschnitt. Es ist wahrscheinlicher, dass die Mitarbeiter direkt oder indirekt zur Verbesserung der Sicherheit ihrer Organisation beitragen. Dazu tragen eine strengere Gesetzgebung und Kontrolle, die weltweite Bedrohungslage sowie die verstärkten Investitionen der lokalen Regierungen in die Cybersicherheit und die Sensibilisierung für dieses Thema bei.
Die gleichen Ergebnisse in großen Unternehmen zu erreichen, ist eine der zentralen Herausforderungen für die Sicherheitskultur. Hierfür gilt es den unterschiedlichen Einstellungen, Wissens- und Verständnisniveaus sowie Mitarbeiterfähigkeiten in den verschiedenen Abteilungen gerecht zu werden. Denn die persönlichen Beziehungen reichen nicht von oben nach unten oder horizontal über die gesamte Organisation hinweg. Deshalb ist die Gestaltung einer Sicherheitskultur schwieriger. Vergleichbar ist das mit der Etablierung einer Marke, an die die Menschen glauben und die sie kaufen. Es ist nicht „nur“ eine soziale Beziehung, die sich wie in einem kleinen oder mittleren Unternehmen pflegen lässt. Diese zu erreichen, benötigt ein nachhaltiges Engagement und persönliche, nachvollziehbare Inhalte wie die Serien „Captain Awareness“ oder „The Inside Man“.
Das Fehlen von BISOs
Das grundsätzliche Problem ist das Fehlen von Champions, die sich der Sicherheitskultur verschreiben. Informationssicherheit wird oft noch als Aufgabe eines einzelnen Teams oder einer Einheit betrachtet. In Unternehmen, in denen es an einem Verständnis für Cybersicherheit und einer abteilungsübergreifenden Zusammenarbeit fehlt, haben es Sicherheitsexperten schwer, sich durchzusetzen. Dies zeigt sich auch an der relativ geringen Anzahl von Business Information Security Officers (BISOs), die von Unternehmen eingestellt werden. Die Rolle der BISOs ist von strategischer Bedeutung für eine sicherere Zukunft, da sie die Brücke zwischen Sicherheit und Wirtschaft schlagen.
Der Cybersecurity Guide definiert die Aufgaben eines BISO wie folgt: „BISOs fungieren als Vermittler zwischen Sicherheits- und Betriebsteams, beraten Führungskräfte und bieten Fachwissen zu Compliance, Risikobewertung und Vermeidung von Datenverlusten. Sie stellen sicher, dass die Cybersicherheit von Anfang an in neue Technologieinitiativen integriert wird und nicht als nachträglicher Einfall hinzukommt.“ Aus diesem Grund spielen die Möglichkeiten der KI bislang auch eine untergeordnete Rolle bei der Etablierung einer Sicherheitskultur. Wenn aber BISOs gleichzeitig als Security Awareness Champions agieren, dann können sie alle erforderlichen Stakeholder an Bord holen inklusive der Geschäftsführung, des Marketings, der Personalabteilung, der IT und IT-Sicherheitsabteilung sowie weiterer Fachabteilungen. Sie stellen das Bindeglied her und können die Messungen der Sicherheitskultur durchführen und intern die Investitionen rechtfertigen.
Die Auswirkungen von KI auf die Sicherheitskultur
Neben den bekannten Gefahren der KI bezüglich Cyberbedrohung und Desinformationen stellt vor allem die allgemeine Zugänglichkeit zu KI-Technologien, wie der generativen KI eine Herausforderung dar. Sie eröffnet Möglichkeiten für eine noch nie dagewesene Steigerung bei der Raffinesse und Wirksamkeit von Angriffen und Missbrauch. Ein Beispiel ist die vielzitierte Data-Leakage-Herausforderung, wenn Mitarbeiter unbedacht Daten in die generativen KI-Tools hochladen. Im Jahr 2023 war genau das aufgetreten, Unternehmensdaten von Nutzern wurden bereits geleaked und zwar von einem KI-Tool selbst. Im März 2023 wurde ein Bug festgestellt, dass durch einen Fehler in ChatGPT Zahlungsdaten von Nutzern nach außen gelangten. In Südkorea verbot Samsung seinen Mitarbeitern die Nutzung von ChatGPT, nachdem Mitarbeiter vertrauliche Elemente des Quellcodes des Unternehmens in den Chatbot eingespeist hatten. Die Mitarbeiter hatten bei drei verschiedenen Gelegenheiten sensible Daten weitergegeben.
Ähnlich verhält es sich mit der Entscheidungsfindung, im Jahr 2022 versprach der Chatbot von Air Canada eine Ermäßigung, die einem Passagier letztlich nicht gewährt wurde. Ihm wurde versichert, er könne einen Flug zum Vollpreis für die Beerdigung seiner Großmutter buchen und dann nachträglich einen Trauertarif beantragen. Diese Fehlentwicklungen unterstützen die EU bei ihrer Entscheidung generative KI mit dem EU AI Act zu regulieren. Allerdings wird ein regulatorischer Ansatz von oben nach unten nicht ausreichen. Denn die EU versucht hier etwas zu regulieren, was noch in den Kinderschuhen steckt und eine erfolgreiche Regulierung kann nur rückwärtsgewandt sein. Unternehmen müssen die Kultur auch von unten nach oben aufbauen, die Menschen dort abholen, wo sie sind.
„Der auf die Einhaltung von Vorschriften ausgerichtete Markt und seine Vorsicht in Bezug auf die ethischen Implikationen von KI und die Auswirkungen auf die Belegschaft könnten die Akzeptanz verlangsamen, auch wenn die Unternehmen letztlich die Produktivitätsgewinne anstreben, die KI verspricht.“
Dr. Martin J. Krämer, KnowBe4
Dies rechtfertigt die Aufmerksamkeit aller Organisationen und ist zu Recht ein aktuelles Thema. In einer traditionell auf die Einhaltung von Vorschriften ausgerichteten Region werden die Unsicherheiten hinsichtlich der Auswirkungen von KI auf die Arbeitskräfte und die Art der Arbeit sowie weitreichende ethische Erwägungen die Einführung wahrscheinlich verlangsamen. Das EU-KI-Gesetz soll zwar einen Rahmen und Rechtssicherheit bieten, ist aber schon vor seinem Inkrafttreten umstritten. Rechtliche und regulatorische Leitplanken führen in der Regel zu einer langsameren, gezielteren Einführung neuer Technologien. Dennoch werden sich nur sehr wenige Unternehmen den Versprechungen von Produktivitätssteigerungen langfristig widersetzen.
Fazit
Die Sicherheitskultur in europäischen Organisationen weist je nach Branche erhebliche Unterschiede in Bezug auf das Verständnis und die Akzeptanz auf, wobei in stark digitalisierten Sektoren ein allgemeiner Trend zu einem stärkeren Bewusstsein besteht. Viele Unternehmen haben jedoch noch keine großen Fortschritte bei der Entwicklung einer proaktiven Sicherheitskultur gemacht. Die europäischen Unternehmen erkennen die strategische Bedeutung der Integration des Sicherheitsbewusstseins in ihre Unternehmenskultur, um ihre Widerstandsfähigkeit zu verbessern. Es gibt jedoch nach wie vor Herausforderungen, bei denen die Cybersicherheit noch nicht als abteilungsübergreifende Aufgabe angesehen wird. Der auf die Einhaltung von Vorschriften ausgerichtete Markt und seine Vorsicht in Bezug auf die ethischen Implikationen von KI und die Auswirkungen auf die Belegschaft könnten die Akzeptanz verlangsamen, auch wenn die Unternehmen letztlich die Produktivitätsgewinne anstreben, die KI verspricht. Wann KI zur Steigerung der Sicherheitskultur eingesetzt wird, steht jedoch noch nicht fest, zu zaghaft sind die bisherigen Bemühungen.
Über den Autor:
Dr. Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
