Eine gesunde und effektive Sicherheitskultur trägt wesentlich zur Sicherheit eines Unternehmens bei. Doch bei der Umsetzung tun sich viele deutsche Betriebe schwer.
Sicherheit muss mehr sein als ein lästiges Anhängsel, das es eben auch zu erledigen gilt. Sicherheit muss vielmehr eine Grundhaltung sein, die Basis eines Unternehmens, und von der Führungsebene bis zum Praktikanten muss jeder mitziehen. Eine angemessene Sicherheitskultur schafft die entsprechenden Voraussetzungen.

Der Faktor Mensch

In Sachen Hardware und Software ist Sicherheit inzwischen im Bewusstsein der meisten Unternehmen verankert: Firewalls, Endpoint-Security, Detection & Response, Access Control und viele weitere Techniken gehören heute zum gängigen Abwehr-Arsenal gegen Cybercrime. Doch es gibt noch einen weiteren Bereich, den viele Firmen nicht auf dem Radar haben – die eigenen Mitarbeiter. Auch die ausgefeilteste Technik schützt nicht vor dem Einfallstor Mensch. Manche Studien gehen davon aus, dass mehr als drei Viertel der erfolgreichen Cyberangriffe aus menschlichem Fehlverhalten resultieren. Zu den hauptsächlich verwendeten Angriffsvektoren zählen Social Engineering und insbesondere Phishing. Wenn es einem Cyberkriminellen gelingt, auch nur einen einzigen Mitarbeiter zu einem Fehlverhalten zu verleiten, dann ist die Sicherheit des gesamten Unternehmens gefährdet. Deshalb ist eine gelebte Sicherheitskultur von großer Bedeutung. Mit den passenden Schulungen wandeln sich die Mitarbeiter von einem unkalkulierbaren Sicherheitsrisiko zu einem wertvollen Sicherheitsfaktor.

Sein und Schein

In der Studie „Rise of Security Culture“ von Forrester Consulting gaben 94 Prozent der Teilnehmer an, dass eine Sicherheitskultur wichtig für den Geschäftserfolg sei. Doch die Realität sieht anders aus: Das Sicherheitsbewusstsein der Mitarbeiter liegt bei vielen Unternehmen im tiefen Dornröschenschlaf. Viele Entscheider und Geschäftsführer reden von einer Sicherheitskultur, wollen aber kein Geld in die Hand nehmen, um eine solche nachhaltig umzusetzen und aufrechtzuerhalten. Vor allem KMUs haben hier einen großen Nachholbedarf.

Die Schwierigkeiten beginnen schon bei der Definition der Sicherheitskultur, unter jeder etwas anderes versteht. Jelle Wieringa, Security Awareness Evangelist beim Schulungs-Spezialisten KnowBe4, definiert es so: „Es ist das Wissen, die Überzeugungen und das Verhalten der Personen in einem Unternehmen. Es sind diese drei Elemente, die Sie grundsätzlich angehen müssen.“

Dazu kommt, was für das eine Unternehmen gut ist, funktioniert in einem anderen vielleicht gar nicht. Und wie lässt sich der Erfolg einer Sicherheitskultur messen, die wenig greifbar erscheint? Das norwegische Unternehmen CLTRe hat sich genau darauf spezialisiert. Es hat eine Methode entwickelt, mit der sich der aktuelle Zustand der Sicherheitskultur und deren Veränderungen im Laufe der Zeit bewerten lässt. Damit lässt sich feststellen, ob ein Unternehmen eine ernsthafte Sicherheitskultur lebt, oder ob es nur so tut.

Phishing und Social Engineering

Phishing bleibt der große Türöffner für das Einschleusen von Malware. Die Methoden von Social Engineering werden immer ausgeklügelter und sind oftmals nur schwer zu erkennen. Unternehmen können Unsummen für ihr IT-Budget ausgeben, aber wenn die Mitarbeiter immer noch auf jeden Link in ihren E-Mails klicken, dann ist das alles für die Katz.

Mehr als die Hälfte der Unternehmen tun nichts, um Mitarbeiter vor Phishing zu schützen. Sie können eine Firewall kaufen, aber gegen Social Engineering gibt es keine technische Lösung. Unternehmen jeder Größe sollten Security-Awareness-Trainings einführen und ihre Mitarbeiter regelmäßig zur Erkennung von Phishing schulen, und die Sicherheit als Teil der Arbeitsaufgaben in die Unternehmenskultur integrieren. Gut geschulte Mitarbeiter können als erste Verteidigungslinie im Unternehmen fungieren.

Zuckerbrot ohne Peitsche

Eingeschliffene Verhaltensweisen von Menschen zu ändern, ist ein schwieriges Unterfangen. Cyberkriminelle lieben das. „Wenn man ihnen das Wissen vermitteln, ihnen helfen, zu verstehen, was Phishing ist, welche Formen Phishing haben kann, und sie verstehen, warum es wichtig ist, nur dann kann man ihr tatsächliches Verhalten verändern“, ist Wieringa überzeugt.

Der Schlüssel zum Erfolgt liegt auch darin, richtiges Verhalten zu belohnen, satt Fehler zu bestrafen. Mitarbeiter ändern ihr Verhalten dann, wenn sie Lob für sichere Arbeitsweisen bekommen, wenn sie sich an Vorbildern orientieren können, oder auch, wenn sie eine Tätigkeit unzählige Male durchführen bis sie zu einem Automatismus geworden ist. Hier sind Geschäftsführer, Entscheider und Vorgesetzte in der Pflicht: Sie müssen die Sicherheitskultur vorleben. Wer A predigt aber B durchführt, wird nur Wenige für A begeistern können. Sie müssen handeln, statt nur zu reden, und mit gutem Beispiel vorangehen.

Wege zur Sicherheitskultur

Das Konzept der Sicherheitskultur ist nicht neu. Sie ist eine Art Unterabteilung der Unternehmenskultur. Wenn man die Unternehmenskultur als ein großes Buch betrachtet, dann ist die Sicherheitskultur ein Kapitel in diesem Buch. Es ist ein Kapitel, das nicht so oft gelesen wird.

Viele stehen nicht der Wert einer Sicherheitskultur. Es geht nicht um Technologie. Kultur ist schwer zu erklären, es gibt weder eine Standardformel noch einen Trick, der bewirkt, dass Unternehmen eine gute Sicherheitskultur erhalten. Sicherheitskultur ist eine C-Level-Angelegenheit, die Top-Down erlogen muss. Sie basiert auf dem Dreiklang Wissen, Verstehen, Verhalten. Eine Sicherheitskultur zu entwickeln, umzusetzen und zu betreuen kostet viel Zeit – und Geld. Doch es lohnt sich. Zum einen sind die Unternehmen vor Cyberangriffen und anderen Sicherheitsvorfällen besser geschützt – die übrigens ein Vielfaches der Summe kosten können, die für eine anständige Sicherheitskultur notwendig ist. Zum anderen profitieren sie auch indirekt: Unternehmen mit einer guten Sicherheitskultur steigen auch im Ansehen ihrer Kunden. Es ist das beste Marketing, das man bekommen kann.

Die Sicherheitskultur im Unternehmen ist ein Unterfangen, das niemals endet. Nach einer erfolgreichen Entwicklung und Einführung einer Sicherheitskultur muss das Unternehmen am Ball bleiben. Das Wichtigste ist eine kontinuierliche Kommunikation. Es geht darum, Abläufe bei sicherheitsrelevanten Meldungen zu stärken und regelmäßig die Fortschritte zu kommunizieren. Mitarbeiter wie Management sollten immer mal wieder diskutieren, was gut läuft und was verbessert werden könnte. Ein teamorientierter Ansatz verstärkt das Gefühl, dass alle an einem Strang ziehen. Teilen Sie Ihre Verbesserungen allen mit, um zu zeigen, dass die Sicherheitskultur weiter aufgebaut wird. Fortschritte schaffen zudem neue Budgets, denn Sicherheitskultur kostet leider Geld.