In fünf Schritten zu einem Ethikkodex für Cybersicherheit

Führungskräfte im Bereich Cybersicherheit treffen permanent Entscheidungen mit hoher Tragweite, die sich auf die Geschäftskontinuität, das Vertrauen der Kunden und vielleicht sogar die nationale Resilienz auswirken. Doch unabhängig von dieser Situation hat sich die formalisierte berufliche Verantwortlichkeit nicht in gleichem Maße weiterentwickelt. Klare Leitlinien – wie in einem Ethikkodex für Cybersicherheit definiert sein sollten – stellen sicher, dass die Teams in den Unternehmen ihren Handlungsspielraum kennen und gleichzeitig die Erwartungen gegenüber der Unternehmensführung und anderen Stakeholdern definieren. So soll gewährleistet sein, dass Cybersicherheitsexperten wissen, wie sie sich verhalten sollen – insbesondere in stressigen und kritischen Zeiten.

Man könnte argumentieren, dass heute jede Führungskraft zugleich datenverantwortlich und eine Führungskraft im Bereich Cybersicherheit ist – insbesondere, da KI die Risikobereitschaft  digital transformierter Unternehmen spürbar verändert. Nicht zuletzt deshalb sollte ein Ethikkodex für Cybersicherheit untrennbar mit der Unternehmensstrategie verbunden sein und von der Geschäftsleitung aktiv getragen werden, zumal Mitarbeiter und Sicherheitsteams täglich schwierige Entscheidungen und Cyberrisiken bewältigen müssen und klare Erwartungen in Bezug auf Cybersicherheits-Ethik und professionelles Verhalten haben.

Die Herausforderung besteht jedoch darin, dass viele Unternehmen nicht wissen, wie sie einen solchen, speziell auf Cybersicherheit ausgerichteten Ethikkodex entwickeln sollen. Wo beginnt man und wie stellt man sicher, dass der Kodex nach seiner Einführung nicht einfach auf einer „digitalen Ablage“ verschwindet?

Diese fünf Schritte helfen, einen strategischen Ethikkodex für Cybersicherheit zu entwickeln. Sie unterstützen fundierte und verantwortungsvolle Entscheidungen – auch unter dem Druck einer sich ständig verändernden Bedrohungslage.

1. Das richtige Team zur Entwicklung des Kodex zusammenstellen

Wie bei jeder unternehmensweiten Richtlinie ist der Aufbau des richtigen Teams der zentrale Ausgangspunkt. Dabei sollte man über die reinen Cybersicherheitsexperten hinausdenken. Diese sind zwar zentrale Fachleute, jedoch müssen auch andere Funktionen einbezogen werden. Ein starkes Team umfasst deshalb neben den Cybersicherheitsexperten auch Compliance-Verantwortliche, Datenschutzbeauftragte, Juristen, HR, Vendor-Risk-Manager sowie Vertreter aus dem operativen Geschäft.

Ein solches bereichsübergreifendes Team kann eine klare und realistische Methodik sowie einen Zeitplan für die Entwicklung des Kodex definieren. Diese Vorarbeit schafft Erwartungen, erzeugt Dynamik und stellt sicher, dass der Kodex praxisnah, relevant und auf das spezifische Risikoumfeld des Unternehmens zugeschnitten ist.

2. Bestehende Kodizes vergleichen und zur Orientierung nutzen

Bei der Entwicklung eines Ethikkodex ist es nicht notwendig, das Rad neu zu erfinden. Während das Team Schwerpunkte definiert – etwa Unternehmenswerte, gesetzliche Anforderungen oder regionale Besonderheiten – kann der Vergleich mit öffentlich verfügbaren Kodizes den Prozess erheblich erleichtern. Dabei geht es nicht um Copy-and-Paste, sondern darum, relevante Themen, Formulierungen und Anwendungsbereiche als Ausgangspunkt zu identifizieren. Auch Aspekte wie Umfang, Gestaltung, Zugänglichkeit und Nutzerfreundlichkeit lassen sich so besser einschätzen. Beispiele sind etwa der Cyber Governance Code of Practice des britischen National Cyber Security Centre oder der globale Verhaltenskodex von ISC2. Dieser umfasst zentrale Prinzipien wie:

• gerecht, fair und verantwortungsvoll handeln
• in komplexen Situationen ethisch fundierte Entscheidungen treffen
• Vertrauen bei Kunden, Kollegen und Stakeholdern fördern
• die Integrität und den Ruf des Berufsstands wahren

Über das Benchmarking externer Kodizes hinaus sollten Unternehmen und Organisationen auch vergangene Vorfälle und Beinahe-Zwischenfälle analysieren. Diese Analysen bringen häufig ethische Spannungsfelder ans Licht, die bei einer rein technischen Nachbetrachtung möglicherweise nicht erfasst werden. Solche konkreten Beispiele können von unschätzbarem Wert sein, um einen praxisnahen und glaubwürdigen Verhaltenskodex zu entwickeln.

3. Feedback zu real existierenden ethischen Herausforderungen einholen

Ein Kodex kann auf dem Papier vollständig wirken, entscheidend ist jedoch, ob er in der Praxis verständlich und anwendbar ist. Das Feedback aus internen Teams hilft sicherzustellen, dass der zu entwickelnde Kodex relevant ist und zur Unternehmenskultur passt. Kurze Umfragen können helfen, typische ethische Problemfelder sichtbar zu machen, etwa Interessenkonflikte, Druck durch Lieferanten, kulturelle Widerstände gegenüber Sicherheitsmaßnahmen oder Zielkonflikte zwischen Innovation und Sorgfaltspflicht. Auch interne Fokusgruppen sind sinnvoll, um zu prüfen, ob der Kodex verständlich und praktikabel ist. Dabei sollten verschiedene Rollen und Hierarchieebenen einbezogen werden – von Führungskräften bis hin zu Mitarbeitern aus Bereichen wie Finanzen, Betrieb, Produkt oder Marketing.

4. Den Kodex implementieren und im Unternehmen verankern

Weil Mitarbeiter und Sicherheitsteams täglich weitreichende Entscheidungen treffen, bedarf es klarer Richtlinien in Bezug auf Cybersicherheits-Ethik anstelle mehrdeutiger Vorgaben. Umso wichtiger ist es, dass bei der Einführung eines Kodex der Fokus auf der Befähigung und nicht auf der Durchsetzung liegen sollte. Ein Ethikkodex für Cybersicherheit sollte den Mitarbeitern die Möglichkeit geben, innezuhalten, Bedenken zu eskalieren und Entscheidungen zu hinterfragen – selbst dann, wenn kommerzieller oder operativer Druck in die entgegengesetzte Richtung wirkt. Wird der Kodex als Entscheidungshilfe und nicht als Regelwerk verstanden, wird er zu etwas, das aktiv genutzt wird – und nicht zu etwas, dessen Verletzung man fürchtet.

Folglich sollte bei der unternehmensweiten Einführung des Kodex sichergestellt werden, dass die Unternehmensspitze die Vision und den Ton vorgibt. Die Führungsverantwortlichen können wichtige Zusammenhänge hervorheben, indem sie definieren und kommunizieren, warum der Kodex wichtig ist, für wen er gilt und wie er ein verantwortungsvolles Verhalten im gesamten Unternehmen fördert. Auch das mittlere Management spielt eine entscheidende Rolle: Es hilft dabei, ethisches Verhalten vorzuleben, und ist häufig die erste Anlaufstelle, wenn Mitarbeiter ethische Fragen haben oder Orientierung und Rat suchen. Regelmäßige Gespräche über die ethische Entscheidungsfindung sowie die gemeinsame Erörterung des Ethikkodex in Einzel- oder Teamgesprächen sind wirksame Wege, um den Kodex mit Leben zu füllen.

Tatsächlich sollte ein klarer Kodex zum Standard („Table Stakes“) werden und nicht nur den Cybersicherheitsverantwortlichen und -praktikern einer Organisation dienen, sondern allen Mitarbeitern. Es empfiehlt sich bestehende Onboarding-, Schulungs- und Enablement-Kanäle zu nutzen, um den Kodex zu implementieren und zu kommunizieren und man sollte die Entwicklung rollenbasierter Mikro-Module (z. B. für Entwickler, Vertrieb oder IT-Support) erwägen. Zusätzlich können kodexbezogene Tools, Ressourcen und Awareness-Materialien helfen, das Engagement und die Akzeptanz zu steigern. Zudem lassen sich Erwartungen in Verträge, Leistungsbeschreibungen (SOWs), Betriebsabläufe und Beurteilungen für Cyber-Fachkräfte und Partner integrieren werden, um die Einführung zu fördern und die Umsetzung zu vereinfachen.

5. Den Kodex regelmäßig überprüfen und aktualisieren

Ein Ethikkodex sollte ein lebendiges Dokument sein. Führungskräfte müssen kontinuierlich für die entsprechende Kommunikation und Anwendung sorgen. Eine regelmäßige Überprüfung,  etwa alle 18 bis 24 Monate oder häufiger angesichts schneller technologischer Entwicklungen wie KI, ist daher essenziell.

Rückmeldungen aus Vorfällen, Audits und Mitarbeiterbefragungen sollten genutzt werden, um den Kodex weiterzuentwickeln. Auch praxisnahe Übungen, bei denen reale Szenarien durchgespielt werden, helfen dabei, die Anwendbarkeit zu testen. Entscheidend ist eine kontinuierliche Kommunikation, sowohl innerhalb der Organisation als auch gegenüber externen Partnern.

Die Cybersicherheitsbranche stärken

Ein Ethikkodex für Cybersicherheit stärkt sowohl Organisationen und Unternehmen als auch den Berufsstand der Cybersicherheitsexperten. Viele der heute folgeschwersten Sicherheitsentscheidungen bewegen sich in ethischen „Grauzonen“, beispielsweise bei unklaren Aufbewahrungsfristen für Daten oder Unsicherheiten im Umgang mit dem Schwachstellenmanagement. Außerdem gibt es oft Unklarheiten darüber, wie auf Ransomware-Angriffe reagiert werden soll und wie sich KI-Innovationen und -Risiken ausbalancieren lassen – insbesondere dort, wo Compliance-Rahmenwerke und Vorschriften nur begrenzte Orientierung bieten.

Was die Ethik der Cybersicherheit von der allgemeinen Unternehmensethik unterscheidet, ist die Geschwindigkeit, Intransparenz und Asymmetrie digitaler Bedrohungen. Entscheidungen werden häufig auf Grundlage unvollständiger Informationen, unter hohem Zeitdruck und mit Konsequenzen getroffen, die möglicherweise erst viel später vollständig sichtbar werden. Ein eigener Ethikkodex für Cybersicherheit hilft Fachkräften, mit dieser Ungewissheit umzugehen und er gibt ihnen die Sicherheit, im Einklang mit den Werten der Organisation entschlossen zu handeln.

In diesen Situationen bestimmt das professionelle Urteilsvermögen – und nicht nur technisches Können oder die Einhaltung von Vorschriften – die Ergebnisse, die sich auf Organisationen, Mitarbeiter und ggf. die nationale Resilienz auswirken. Ein klarer Ethikkodex für Cybersicherheit ist dabei eine klare Orientierungshilfe und verbessert das Urteilsvermögen.