Security: Eine Sache der Kultur

Von der Einstellung zu Security-Themen bis zum Bewusstsein, dass jeder einzelne Verantwortung trägt: Eine robuste Sicherheitskultur ist mehrdimensional, wie eine aktuelle Studie von KnowBe4 Research herausgearbeitet hat. Das Schlusslicht aller Branchen, der Bildungssektor, konnte von der Krise profitieren. Dem Sicherheitsverhalten wird nun mehr Aufmerksamkeit geschenkt. [...]

Der Bildungssektor hat durch die COVID-19-Pandemie eine besonders schwierige Zeit hinter sich, so der „Security Culture Report 2021“ von KnowBe4 Research, der vor kurzem veröffentlicht wurde. Zusätzlich zu den anhaltenden Herausforderungen hat der plötzliche Übergang der meisten Bildungseinrichtungen zu Online- oder hybriden Lehrumgebungen, eine Verschiebung der Tools und eine Betonung des Fernunterrichts „eine seismische Verschiebung in der Branche“ verursacht. Obwohl die meisten Institutionen mit Problemen im Zusammenhang mit der begrenzten Finanzierung konfrontiert sind, gebe es laut Studienautoren einen leichten Aufschwung. Dies sei auch höchste Zeit, da bei der letztjährigen Bewertung das Bildungswesen in jedem der von KnowBe4 Research durchgeführten Branchenvergleiche den letzten Platz belegte.

Was ist eine Sicherheitskultur?

KnowBe4 Research versteht unter Sicherheitskultur die Ideen, Gewohnheiten und sozialen Verhaltensweisen, die sich auf die Sicherheit einer Organisation auswirken. Bei der Informationssicherheitskultur betrachten die Forscher, wie die kulturellen Aspekte das Informationsmanagement beeinflussen. Bei der Cybersicherheitskultur liegt der Schwerpunkt auf dem Teil des Informationsmanagements, der Cybertechnologie zur Erstellung, Manipulation oder Speicherung von Informationen und Daten verwendet.

KnowBe4 Research bewertet die Kultur systematisch anhand von sieben Dimensionen:

• Einstellungen: Die Gefühle und Überzeugungen, die Mitarbeiter gegenüber den Sicherheitsprotokollen und -themen haben.
• Verhaltensweisen: Die Handlungen und Aktivitäten der Mitarbeiter, die direkten oder indirekten Einfluss auf die Sicherheit der Organisation haben.
• Kognition: Das Verständnis, Wissen und Bewusstsein der Mitarbeiter in Bezug auf Sicherheitsthemen und -aktivitäten.
• Kommunikation: Die Qualität der Kommunikationskanäle, um sicherheitsrelevante Themen zu besprechen, das Zusammengehörigkeitsgefühl zu fördern und Unterstützung bei Sicherheitsfragen und der Meldung von Vorfällen zu bieten.
• Compliance: Die Kenntnis der schriftlichen Sicherheitsrichtlinien und das Ausmaß, in dem die Mitarbeiter diese befolgen.
• Normen: Die Kenntnis von ungeschriebenen Verhaltensregeln in der Organisation und deren Befolgung.
• Verantwortlichkeiten: Wie die Mitarbeiter ihre Rolle als kritischer Faktor bei der Aufrechterhaltung oder Gefährdung der Sicherheit der Organisation wahrnehmen.

Wie schnitt die Bildung ab?

Die gute Nachricht: Der Bildungsbereich zeigt eine Verbesserung in jeder Dimension. Die Dimensionen Einstellung, Kognition, Kommunikation, Normen und Verantwortlichkeiten haben sich um einen Punkt verbessert, während die Dimensionen Compliance und Verhalten um zwei bzw. drei Punkte gestiegen sind. „Dieses breite Spektrum an Verbesserungen kann auf den dramatischen Wandel der Arbeitskultur und der Normen zurückgeführt werden, der mit dem Wechsel zu Online- und hybriden Lernumgebungen einhergeht und die Branche insgesamt motiviert, dem Sicherheitsverhalten besondere Aufmerksamkeit zu schenken“, so die Studie.

Was machen Banken besser?

Mit mehr als 320.000 Mitarbeitern in 1.872 Organisationen weltweit hat der „Security Culture Report 2021“ die Stichprobengröße des letzten von 2020 mehr als verdoppelt. Die Ergebnisse der diesjährigen Studie zeigen eine große Kluft zwischen den Best-Performern – der Banken- und Finanzdienstleistungssektor – und den Unternehmen, die am schlechtesten abschnitten, wenn es um die Sicherheitskultur geht.

Aufgrund des hohen Werts von Finanzdaten – offensichtlich im Gegensatz zu den Bildungsdaten – ist der Bankensektor seit langem mit Risikomanagementkonzepten vertraut. In Verbindung mit staatlich vorgeschriebenen Cybersicherheits- und Mitarbeiterschulungsstandards wird die gesamte Risikomanagementstrategie der Branche vorangetrieben. Der Bankensektor unterhält zudem starke Kommunikationskanäle, die dazu dienen, die Mitarbeiter zu befähigen, und eine kontinuierliche Einhaltung der branchenspezifischen Richtlinien, die beide für die Sicherheitskultur unerlässlich sind.