Herausforderungen bei Sensibili­ sierung und Projektmanagement

Gemäss dem Expertenbericht des Bundes zum Thema Cyberrisiken in der Schweiz ist das Spektrum von Übergriffen gross: Zerstörung von Webseiten, kriminelle Aktivitäten wie Phishing oder Erpressung mittels Denial-of-Service-Attacken, bis hin zu sehr gezielten Spiona- geangriffen und Sabotage an Infrastrukturen und Unternehmen. Viele Unternehmen investieren deshalb Tausende von Franken und Stun- den von Arbeitszeit in Sicherheitslösungen, um sich vor diesen Über-griffen zu schützen.

Faktor Mensch als entscheidende Komponente
Doch auch mit den besten IT-Programmen für Cyber Security ist eine Organisation nicht vollumfänglich gegen Angriffe von aussen geschützt. Der Faktor Mensch bleibt die entscheidende Komponente, ob die IT ei-nes Unternehmens geschützt bleibt oder Kriminelle Einlass finden. Di-verse Studien zeigen, dass es zu über 80 Prozent menschliches Fehlver-halten ist, welches Kriminellen, vorbei an Sicherheitsmechanismen, Einlass in das unternehmerische Netz gibt. Entscheidend ist also, ob die Mitarbeitenden in ihren Unternehmen auf Cyberattacken und ihre ­Folgen geschult werden. Dass auf diesem Gebiet enormes Potenzial herrscht, haben bereits zahlreiche Unternehmen erkannt. Der globale Bildungsmarkt im Bereich Cyber Security wächst jährlich um 20 Pro-zent.

Geschulte Mitarbeitende minimieren Sicherheitsrisiken
Auch das Neuenburger Start-up Megaverse hat sich in diese Richtung spezialisiert und ist in den EdTech-Markt eingestiegen. Das Unter-nehmen hat eine Software entwickelt, mit derer die Mitarbeitenden auf spielerische Art und Weise den Umgang mit Cyber Security erler-nen. Mithilfe von Artificial Intelligence (AI) geht Megaverse einen Schritt weiter als herkömmliche Plattformen. Durch spielerische Aufgabenstellungen passt sich das Programm automatisch dem Ni-veau des Benutzers an und zeigt den aktuellen Wissensstand in einer Übersicht und einem Report. Die Ersten, welche die Software von Megaverse in ihrem Unternehmen implementiert haben, sind unter anderem Helvetia, eine führende Privatbank sowie eine führende Uhrengruppe in Genf. «Diese erste Phase ist besonders attraktiv für die Kunden, da sie sich bei der Gestaltung und Umsetzung der Lern-plattform aktiv einbringen können», sagt CEO Cécile Maye. Die Lern-plattform ist rund um die Uhr zugänglich und als Desktoplösung, die 3D-Szenarien in real time (virtual, augmented und mixed) einsetzt, verfügbar. Das immersive Lernerlebnis stellt den Benutzern auf ver-schiedenen Niveaustufen insgesamt über 80 realitätsgetreue Aufga-ben. Dies unter anderem in den Bereichen Internet, Hardware oder im Umgang mit Passwörtern. Die Mitarbeitenden werden so darauf sensibilisiert, welche Auswirkungen eine Cyberattacke­ auf sie selbst und das Unternehmen haben kann. Die adaptive Lernplattform kann unternehmensspezifisch angepasst werden, um möglichst realisti-sche Szenarien zu kreieren. Megaverse ist Teil des EdTech Collider der EPFL in Lausanne. EdTech Collider ist die erste kollaborative Plattform in der Schweiz, die sich an Unternehmen richtet, die Bil-dung durch Technologie verändern wollen. Momentan hat die Platt- form über 75 Mitglieder.

Das Projektmanagement als entscheidender Baustein
im Cyber-Security-Umfeld Cyber Security spielt auch im Behördenumfeld eine wichtige Rolle. An- fang dieses Jahres gab der Bundesrat den Startschuss für ein neu zu schaf- fendes Kompetenzzentrum im Bereich Cyber Security. Das Kompetenz- zentrum soll eine nationale Anlaufstelle für Fragen zu Cyberrisiken wer- den. Der Bund muss jedoch nicht nur Bescheid wissen, sondern auch selbst gegen Cyberattacken geschützt sein. Ein Unternehmen, dass Secu- rity-Projekte im Bundesumfeld betreut, ist das ICT-Beratungsunterneh- men Ironforge Consulting AG. Dass der Bund Unterstützung extern be- antragt, sei keine Seltenheit, sagt Geschäftsführer Gianni Lepore. Denn ICT-Security-Anwendungen sind komplex und vielschichtig. Hinzu kommen die Ansprüche der verschiedenen Verwaltungseinheiten, die spezielle Prozesse haben, welche aufeinander abgestimmt werden müs- sen. Findet diese Abstimmung nicht statt, kann das dazu führen, dass die IT-Sicherheit beeinträchtigt ist. Gemäss Head of Sales, René Känzig, Iron- forge AG, sind die Sicherheitsanforderungen für Projekte mit dem Bund anspruchsvoll. So werden sämtliche Projektmitarbeitende einer Perso- nensicherheitsprüfung unterzogen und arbeiten anschliessend teilweise in geschützten, abhörsicheren Räumen. «Die Leistungsbezügerinnen und -bezüger der Bundesverwaltung wollen sich darauf verlassen, dass ausreichender ICT-Schutz vorhanden ist», so Känzig.

Überlegtes Vorgehen bringt gute Resultate
Oft wird mit dem Partner ein klar definierter Projektauftrag erarbei- tet und ein zu lösendes Problem ist im Fokus, sagt Gianni Lepore. Die Bedürfnisse müssen zuerst herausgearbeitet werden, bevor mit dem eigentlichen Projekt begonnen werden kann. Bei ICT-Projekten im Bundesumfeld ist zudem ein klares Changemanagement von grosser Bedeutung. So wird vermieden, dass etwas umgesetzt wird, das nicht den geltenden Sicherheitsvorgaben entspricht. Gianni Lepore er- gänzt: «Es ist von zentraler Bedeutung die Gegebenheiten in den ver- schiedenen Departementen richtig einzuschätzen, um die besten Lö- sungen zu finden, welche anschliessend auch im Betrieb effizient funktionieren.»

Es zeigt sich also, dass einerseits in der Projektierung, aber auch bei der anschliessenden Sensibilisierung der Mitarbeitenden auf spe- zialisierte Firmen zugegriffen werden sollte. Cyber Security ist ein de- likates Thema, aber ein überlegtes Vorgehen bringt entsprechend gute Resultate.

Es ist also offensichtlich, dass einerseits bei der Projektierung, aber auch bei der anschliessenden Sensibilisierung der Mitarbeiten- den ein gutes und umfassendes Projektmanagement von entschei- dender Bedeutung ist. Alle betroffenen Bereiche, Abteilungen, Mitar- beitende und Unternehmensvorgaben, müssen mit einbezogen wer- den. Denn Cyber Security ist ein delikates Thema, welches präzises Vorgehen verlangt.