Wie steht es um die Sicherheitskultur in Ihrem Unternehmen? Warum nur ein ganzheitliches Konzept der Schlüssel zum Erfolg ist!

von

Lesezeit: Minuten ( Wörter)

The Rise of Security Culture – das ist nicht etwa ein neuer Kinofilm, sondern vielmehr der Titel einer interessanten Studie der Sicherheitsplattform knowbe4.com aus dem Jahre 2020. Sicherheitskultur, ein Begriff, den auch sicherlich Sie nicht auf den ersten Blick genau einordnen können. Denn genauso ging es rund 94 % der in der Studie befragten Entscheidern in den Bereichen Sicherheits- und Risikomanagement aus unterschiedlichsten Unternehmen weltweit. Sicherheitskultur wird von den Experten als überaus wichtig angesehen – was aber genau der Begriff beinhalten sollte, darüber waren sich die Befragten nicht einig. Grund genug, dass wir uns den Themen „Sicherheitskultur in Unternehmen“ und „Security Awareness“ einmal genauer widmen! Denn ganzheitliche Konzepte in Sachen Sicherheit sind nicht nur heute, sondern auch und vor allem in Zukunft unumgänglich.

Sicherheitskultur im Unternehmen – Was bedeutet das eigentlich?

Kultur – ein Wort, das gemäß der Definition des Gabler Wirtschaftslexikons als „Begriff für das vom Menschen materiell und immateriell Geschaffene“ verstanden wird. Unter Sicherheitskultur versteht man entsprechend das Konzept von Normen und Grundannahmen, die von den Mitgliedern eines Unternehmens oder einer Organisation geteilt werden und die im Umgang mit sicherheitsrelevanten Aspekten angewendet werden. Entstanden ist das Konzept der Sicherheitskultur in den späten 1980er Jahren im Zuge der Atomkraftwerk-Katastrophe in Tschernobyl. Wie auch bei dem Begriff „Kultur“ wird bei der Sicherheitskultur eines Unternehmens zwischen materiellen und immateriellen Merkmalen unterschieden:

  • Die immaterielle Sicherheitskultur umfasst die Normen und Werte, die von den Mitgliedern eines Unternehmens geteilt und in den Arbeitsprozess integriert werden.
  • Die materielle Sicherheitskultur beschreibt technische und organisatorische Vorgehensweisen, die Störungen direkt am Entstehungsort vermeiden.

Und was meint Security Awareness?

Damit Sicherheitskonzepte zu einer Sicherheitskultur im Unternehmen werden, braucht es einen Prozess. Nämlich den Prozess, die gesamte Belegschaft für bestehende Sicherheitsprobleme zu sensibilisieren. Dies kann über regelmäßige Schulungen geschehen (was besonders in Unternehmen mit einer hohen Mitarbeiter-Fluktuation angesagt ist), über Trainings und Leitfäden. Wenn bei allen Mitarbeitern die benötigte „Awareness“ – oder auf Deutsch das Bewusstsein – für bestehende Sicherheitsrisiken vorliegt und jedem Beteiligten klar ist, was bei sicherheitsrelevanten Vorfällen zu tun ist, dann liegt eine Security Awareness vor.

Security Awareness: Das elementare IT Sicherheitskonzept

IT-Systeme sind in so gut wie jedem Unternehmen im täglichen Einsatz. Entsprechend ist ein ausgeprägtes Problembewusstsein für Belange der Cybersicherheit – die Security Awareness – eine grundlegende Maßnahme im Bereich der Sicherheitskultur. Denn jede IT Security ist immer nur so gut wie der Mensch, der die Sicherheitssysteme bedient. Wie lassen sich nun die durch Mitarbeiter verursachten Gefahren für die IT-Sicherheit eines Unternehmens minimieren? Die Antwort lautet: Schulungen, Trainings und nochmal Schulungen! Ob als Online-Training oder im Mitarbeiterverbund vor Ort: Nur mit ausreichend Hintergrundwissen um die verschiedenen Formen der Cyberkriminalität und den aktuellen Bedrohungen können Mitarbeiter die benötigte Security Awareness erlangen, die während der täglichen Arbeit in einer digitalen Welt unverzichtbar geworden ist.

Jetzt keinen Blogbeitrag mehr verpassen!

  • 12x im Jahr aktuelle News aus der IT Security Welt
  • 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
  • 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense

Das beste IT Sicherheitskonzept ist zahnlos, solange der Mensch als Risikofaktor bleibt

Die allermeisten Unternehmen haben mittlerweile Vorkehrungen getroffen, um ihre Netzwerke und ihre Daten vor Cyberangriffen zu schützen. Das größte Risiko in Sachen IT Security allerdings ist in den meisten IT Sicherheitskonzepten nicht ausreichend berücksichtigt – und lässt sich darüber hinaus auch kaum einschätzen: der Mensch. Die Mitarbeiter eines Unternehmens können, zumeist vollkommen unbewusst, jede IT Security zu Fall bringen. Social Engineering, der unbedarft verwendete, leider mit Malware verseuchte USB-Stick oder der unüberlegte Klick auf einen Link in einer Mail: Sind sich die Mitarbeiter der aktuellen Cybergefahren nicht bewusst, stellen sie einen deutlichen Risikofaktor dar. Mit der Etablierung einer Sicherheitskultur im Unternehmen lässt sich der Faktor Mensch in die IT Security einbinden. Doch das ist alles andere als eine leichte Aufgabe.

So lässt sich eine Sicherheitskultur im Unternehmen aufbauen

Eingang haben wir von Sicherheitskultur als „Konzept aus Normen und Grundannahmen“ gesprochen, die von „den Mitgliedern eines Unternehmens geteilt und angewendet werden“. Damit Sicherheitskultur in einem Unternehmen etabliert werden kann, darf jedoch nicht nur von „den“ Mitgliedern gesprochen werden – sondern vielmehr von „allen“ Mitgliedern. Denn tatsächlich kann eine Sicherheitskultur im Unternehmen nur genau dann erfolgreich eingeführt werden, wenn alle im Unternehmen beschäftigten Personen – von der Geschäftsleitung über das Management und die Mitarbeiter bis hin zu den Kunden.

Und so lässt sich eine Sicherheitskultur implementieren:

Die Sicherheitskultur beginnt an der Spitze

Alle Veränderungen innerhalb eines Unternehmens müssen durch die Führungsetage initiiert werden. Das Management ist dafür verantwortlich, dass Sicherheitsrichtlinien im Unternehmen entwickelt, gefördert und unterstützt werden – und dafür Sorge tragen, dass die Sicherheitsrichtlinien auch eingehalten werden. Nicht zu unterschätzen ist auch die Vorbildsfunktion! Nur wenn die Führungsetage eine Sicherheitskultur vorlebt, wird dieses Konzept im Unternehmen akzeptiert werden.

Definieren des Sicherheitskonzeptes – und verschriftlichen!

Insbesondere im Umgang mit der IT ist es immer noch vielen Mitarbeitern nicht bewusst, dass sie durch unüberlegtes Verhalten ein Risiko für die Sicherheit darstellen. Daher muss jedes neu entwickelte Sicherheitskonzept (und somit natürlich auch jedes IT Sicherheitskonzept!) nicht nur definiert, sondern auch dokumentiert und allen Mitarbeitern zugänglich gemacht werden. Ein IT Sicherheitskonzept sollte zum einen auch für technisch weniger versierte Mitarbeiter verständlich festgehalten werden, zum anderen möglichst detailliert aufzeigen, welche Maßnahmen im Umgang mit der IT eine Unternehmens zu beachten sind. Das IT Sicherheitskonzept sollte den Umgang mit vertraulichen Daten genauso beinhalten wie die korrekte Verwendung sicherer Passwörter. Übrigens: Das beste IT Sicherheitskonzept nutzt nichts, wenn es den Mitarbeitern nicht bekannt ist. Wichtig ist also zusätzlich eine optimierte, unternehmensinterne Kommunikation.

Trainings und Updates

Damit wirklich jeder Mitarbeiter in die Sicherheitskultur integriert wird, müssen die festgelegten Sicherheitsrichtlinien eines Unternehmens auch verstanden werden. Mit Trainings lässt sich ein IT Sicherheitskonzept zuverlässig den Mitarbeitern nahebringen – vor allem dann, wenn die Trainings und Schulungen ganz exakt auf die unterschiedlichen Rollen (und damit auch unterschiedlichen Risiken) der Mitarbeiter zugeschnitten sind. Sicherheitsrichtlinien im Unternehmen sind darüber hinaus nicht für alle Zeiten aktuell. Cyberbedrohungen entwickeln sich kontinuierlich weiter – entsprechend muss sich auch die Sicherheitskultur im Unternehmen weiterentwickeln und sich den neuen Bedrohungen anpassen. Daher sind vor allem die IT Sicherheitsrichtlinien regelmäßig zu aktualisieren.

Belohnen statt bestrafen

Missachtet ein Mitarbeiter die festgelegten Richtlinien und gefährdet dadurch die IT Security, ist dies zwar ärgerlich – aber noch kein Grund, den Mitarbeiter „öffentlich an den Pranger zu stellen“ oder eine Abmahnung auszusprechen. Viel effizienter ist es, diejenigen Mitarbeiter zu belohnen, die durch vorbildliches Verhalten in Sachen Sicherheitskultur auffallen. Zum einen wird der betroffene Mitarbeiter so in seinem positiven Handeln bestärkt – zum anderen wirkt er oder sie so als Verstärker und Vorbild für die Kolleginnen und Kollegen.

Botschafter für die neue Sicherheitskultur im Unternehmen suchen

Jedes Unternehmen verfügt über Mitarbeiter, die besonders einflussreich sind. Sei es durch lange Zugehörigkeit zum Unternehmen oder einfach durch den Charakter – diese Mitarbeiter können zu Botschaftern der Sicherheitskultur gemacht werden. Diese Botschafter können aktiv die Sicherheitskultur im Unternehmen bekannt machen – und kritische Sicherheitsinformationen wesentlich authentischer rüberbringen als es jede „von oben“ verordnete Schulung schafft.

Vorsicht vor dem Abschwung

Wie bei so vielen neuen, innovativen Entwicklungen kann es auch bei der Implementierung einer Sicherheitskultur im Unternehmen passieren, dass der erste Schwung der Begeisterung schnell verloren geht. Das Schicksal lautet dann mittelfristig ein stilles Verschwinden in der „Ablage P“. Damit dies bei der Einführung einer Sicherheitskultur nicht geschieht, muss dauerhaft ein Fortschritt erkennbar bleiben. Das Festlegen viele kleiner, kurzfristiger Ziele sind hier angesagt. Zum einen erkennen die Mitarbeiter so direkt, welchen Wert die neuen Prozesse haben, zum anderen fühlen sie sich „empowered“, durch ihr eigenes Verhalten tatsächlich etwas bewirken zu können.

Fazit

Kultur, das „vom Menschen geschaffene materielle und immaterielle Geschaffene“ ist weit mehr als nur ein übergeordneter Begriff. Vielmehr ist „die Kultur“ bestimmend für den Erfolg – im Großen gesehen für die Menschheit, runter gebrochen aufs Kleine auch für Unternehmen. Mit der Einführung einer Sicherheitskultur können Unternehmen ganz gezielt einen der größten Risikofaktoren „ausschalten“: Den Faktor Mensch. Denn gerade im Umgang mit der IT stellen Mitarbeiter nach wie vor ein Risiko dar. Denn egal wie gut das IT Security-Team aufgestellt sein mag und unabhängig von der Leistungsfähigkeit der eingesetzten Schutz-Software: Wenn ein unbedarfter Mitarbeiter einen mit Malware verseuchten, privaten USB-Stick an seinen Rechner anschließt, sind viele Sicherheitskonzepte machtlos. Mit der Einführung einer Sicherheitskultur im Unternehmen, mit ausgeprägter Security Awareness, logisch aufgebauten, nachvollziehbaren Sicherheitsrichtlinien im Unternehmen und einem IT Sicherheitskonzept, das alle Mitarbeiter involviert, kann den allermeisten Sicherheitsrisiken begegnet werden. Wichtig für die Sicherheitskultur ist es einerseits, dass sie von allen Mitarbeitern akzeptiert, getragen und gelebt wird. Und andererseits, dass die Richtlinien und Verhaltensweisen auch umfassend kommuniziert werden. Wenn es gelingt, die Sicherheitskultur zu implementieren, ist der erste Schritt zu einer nachhaltigen, ganzheitlichen Sicherheit im Arbeitsalltag getan.

Wie ist es um die Sicherheitskultur in Ihrem Unternehmen bestellt? Kontaktieren Sie uns - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die secion GmbH.

Zurück