Ein Blick in die Praxis zeigt: IT-Sicherheit scheitert nicht an Technologien oder Fehlverhalten, sondern bereits grundsätzlich an einem Mangel an Unternehmenskultur. Wenn Cybersicherheit in einer Organisation nur als eine schlecht durchgesetzte Aufgabe von anderen für andere verstanden wird, entsteht vielleicht eine oberflächliche Compliance, aber keine wirkliche Cyberresilienz. [...]
Eine Widerstandsfähigkeit gegen die vielfältigen Cybergefahren entwickelt sich nur, wenn die zugehörigen Prozesse in der Unternehmenskultur verankert sind. Resilienz nur auf Tools und auf eine Aufgabe für die IT-Abteilung zu reduzieren, greift zu kurz. Kataloge von Einzelmaßnahmen scheitern, wenn nicht ein Sicherheitsbewusstsein und eine Selbstverpflichtung der Mitarbeiter auf allen Hierarchieebenen hinzukommen.
Viele Unternehmen gehen bereits einen Schritt in die Richtung „Kultur“ und setzen etwa auf Sicherheitsaufklärung. Aber auch aus Wissen entsteht noch keine gelebte Sicherheit. Eine Teilnahme der Mitarbeiter an jährlichen E-Learning-Kursen, Phishing-Simulationen oder eine obligatorische Bestätigung der Kenntnisnahme von Richtlinien kann schnell zu einer Schulübung verkommen. Natürlich sind Trainings wichtig. Wer aber nur im regelmäßigen Test die Fragen richtig beantwortet und einen Fragebogen besteht, hat vielleicht die oberflächlichen Compliance-Richtlinien erfüllt. Er verfügt auch theoretisch über das nötige Wissen. Viele Absolventen einer solchen oberflächlichen Übung ziehen aber nicht die Konsequenzen und verändern nicht ihr Verhalten. Cybersicherheit ist für sie lediglich ein weiteres To-Do, das sie gerne auf ihrer Liste abhaken.
Sicherheitskultur geht über Compliance hinaus
Mit Compliance-Programmen erfüllen Organisationen zunächst nur Vorgaben. Sie haben also nur eine Teilstrecke auf dem Weg zu einer Kultur der Cybersicherheit absolviert. Erst ein Verständnis der Relevanz cybersicheren Verhaltens macht diese zu einem wirklichen Bestandteil der Unternehmenskultur. Als solche ist Sicherheit eingebettet in die Art und Weise, wie Mitarbeiter denken, handeln und sich gegenseitig ermuntern oder anspornen. Eine Sicherheitskultur sorgt für konsequentes Handeln, ohne dass Mitarbeiter nur auf eine Aufforderung reagieren.
Wie weit Unternehmen auf dem Weg hin zu einer Sicherheitskultur sind, zeigt sich schon anhand kleiner Symptome:
- Haben Unternehmen ein Zutrauen und Vertrauen und sind daher bereit, den Klick auf einen bösartigen Link zu melden? Oder befürchten sie vielmehr, dafür verantwortlich gemacht zu werden?
- Nehmen auch Führungskräfte aktiv und bereitwillig an Tabletop-Übungen teil? Oder stehen sie abseits und lassen ihren Unwillen angesichts der Mehraufgabe durchscheinen?
- Werden Richtlinien im gesamten Unternehmen konsequent angewendet? Oder setzen Führungskräfte Ausnahmen für sich selbst durch?
Beschreibt jeweils die zweite Alternative die Wahrheit, ist eines klar: Sicherheit wird von Mitarbeitern nicht als gemeinsame Aufgabe und Interesse gesehen, sondern als eine Aufgabe und ein Nutzen für Andere.
Aber warum ist eine gelebte Sicherheitskultur über alle Ebenen hinweg so schwer zu etablieren? Verhaltensmodelle wie das Fogg Behavior Model helfen zu erklären, warum sich Kultur oft nicht etabliert. Demnach sind drei Elemente nötig, damit Mitarbeiter ihr Verhalten ändern:
- Motivation: Mitarbeiter wollen einen Grund haben, um etwas zu tun. Der beste Grund ist der persönliche Nutzen eines jeden.
- Fähigkeit: Wer etwas tun soll, verlangt geeignete Werkzeuge und das nötige Wissen, um die Aufgabe ohne Reibungsverluste umzusetzen.
- Aufforderung: Um eine Aktion wirklich auszuführen, bedarf es in der Regel eines Anlasses oder Auslösers.
Ist nur eine dieser Bedingungen nicht erfüllt, ändert sich das Verhalten der Mitarbeiter nicht. Gerade an der Motivation hakt es aber häufig. Um die Erwartungshaltung zu erfüllen und das Zugehörigkeitsgefühl zu stärken, muss zudem das gesamte Unternehmen an einem Strang ziehen.
Eine gelebte Cybersicherheit beginnt ganz oben
Aufgrund ihrer Genehmigungskompetenz etwa für Budgets und ihres umfassenden Zugriffs hat die Geschäftsleitung häufig einen überproportionalen Einfluss auf organisatorische Risiken. Nicht weniger Einfluss auf eine Sicherheitskultur hat aber ihre Vorbildfunktion. Wenn disziplinarische Vorgesetzte Cybersicherheit nur als lästige Pflicht betrachten, wird diese Einstellung auf die anderen Hierarchieebenen abfärben.
Führungskräfte untergraben Sicherheitsprogramme zudem, wenn sie Ausnahmen fordern: offene USB-Anschlüsse, Bring-Your-Own-Device (BYOD)-Hardware mit minimalen Kontrollen, uneingeschränkter Fernzugriff, Deaktivieren der Multi-Faktor-Authentifizierung (MFA) oder andere Sonderregeln. Diese Privilegien mögen in der Vorstandsetage bequem sein, aber sie senden eine verheerende Botschaft: Regeln gelten nur für alle anderen. C-Level-Ausnahmen schwächen nicht nur die Kontrolle, sondern auch das Vertrauen und die Sicherheitskultur. IT-Sicherheitsregeln funktionieren nur ohne Ausnahmen.
Echte Sicherheitskultur muss zudem alle Abteilungen einbinden. Denn sie alle können und sollen im Rahmen ihres Aufgabenbereichs einen Teil leisten: Die Personalabteilung nimmt Cybersicherheit in die Einarbeitung und das Leistungsmanagement auf, die Rechtsabteilung integriert Compliance in Verträge und Risikorahmen, das Marketing moderiert, wie Sicherheit intern und extern kommuniziert wird. Externe Experten können neue Perspektiven und Best Practices als Maßstab liefern. Nur wenn alle Abteilungen zusammenarbeiten, stärken sie die Sicherheitsbotschaft auch an jedem Berührungspunkt zwischen den Abteilungen und machen sie so zu einem Element der gesamten Unternehmensorganisation.
Regulatorische Vorgaben erhöhen den Einsatz
Welche Rolle die Unternehmenskultur in puncto Cybersicherheit spielt, haben Sicherheitsverantwortliche schon lang erkannt. Nun greifen auch Regulierungsbehörden diesen Gedanken ausdrücklich auf. Die DSGVO zum Beispiel definiert nicht nur technische Maßnahmen. Sie diktiert auch die Nachweispflicht, dass Mitarbeiter, Prozesse und Verhaltensweisen mit den Datenschutzgrundsätzen im Einklang stehen. DORA (Digital Operational Resilience Act) geht im Finanzsektor und bei dessen Dienstleistern noch einen Schritt weiter und macht Vorstände direkt für Cyberresilienz verantwortlich.
Eine Kultur der Sicherheit und damit der Cyberresilienz ist also nicht mehr nur ein „nice to have”. Wenn Vorstände nicht nachweisen können, dass Sicherheit im gesamten Unternehmen verankert ist (in Strategie, Verhalten und Entscheidungsfindung), haben sie mit realen regulatorischen und reputationsbezogenen Konsequenzen zu rechnen.
Vom Bewusstsein zum veränderten Verhalten
Eine gelebte und ausgereifte Sicherheitskultur beugt nicht nur Verstößen vor. Sie schafft Vertrauen, Widerstandsfähigkeit und sogar Wettbewerbsvorteile. Compliance ist die Grundlage, Kultur der Multiplikator der Cybersicherheit. Gemeinsam tragen beide zur Verbesserung der allgemeinen Resilienz der Unternehmensprozesse bei. Bei einer Kultur der Unternehmenssicherheit geht es um Vertrauen und Disziplin für alle. Das Bewusstsein für Cybersicherheit sollte in die Entscheidungsfindung eines jeden Mitarbeiters einfließen. Echter Fortschritt bemisst sich dabei nicht in Tools oder Erfüllungsraten. Er zeigt sich in neuem Verhalten, in neuen Strukturen, in einer neuen Sicherheitskultur.
* Nicholas Jackson ist Director of Cyber Security Service bei Bitdefender.
Be the first to comment