Unternehmen sind daran interessiert, ihre IT-Infrastruktur und ihre Daten möglichst umfassend vor Cyberangriffen abzusichern. Neben einer Reihe technischer Lösungen kommen hierbei immer häufiger auch organisatorische Sicherungsmaßnahmen, zum Beispiel betriebsinterne Sicherheitsrichtlinien, zum Tragen.
Ob diese organisatorischen Maßnahmen dann aber auch tatsächlich greifen, hängt nicht zuletzt von einem Faktor ab: dem Niveau der innerhalb der Belegschaft eines Unternehmens vorherrschenden Sicherheitskultur.
Dies wirft zwei Fragen auf:
- Was genau verbirgt sich hinter dem Begriff der Sicherheitskultur?
- Und was kann ein Unternehmen anstellen, um das Niveau dieser Kultur an seine Sicherheitsbedürfnisse anzupassen?
Der auf IT-Sicherheit spezialisierte Berufsverband Information Systems Audit and Control Association (ISACA), definiert den Begriff Kultur auf seiner Webseite folgendermaßen: „A pattern of behaviors, beliefs, assumptions, attitudes and ways of doing things“ – übersetzt also, als ein ‚Muster aus Grundhaltungen, Annahmen und Glaubenseinstellungen sowie Verhalten und Verhaltensweisen‘.
Reduziert man diese Definition nun auf ihre Kernaussagen und integriert sie in den Bereich der IT-Sicherheit, so bleiben am Ende drei Kernkomponenten bestehen, an denen sich die in einem Betrieb herrschende Sicherheitskultur festmachen lässt:
- Wissen – Der Wissensstand der Belegschaft über Cyberrisiken sowie Maßnahmen zu ihrer Erkennung und Abwehr bildet die erste Komponente. Hierzu zählt auch und gerade das Wissen um die eigenen Fähigkeiten und Möglichkeiten, sich aktiv in den Schutz des Unternehmens einzubringen.
- Einstellung – Die Selbsteinschätzung der Mitarbeiter, ihre Wahrnehmung von sich selbst als einem integralen Bestandteil der Cyberabwehr ihres Unternehmens bildet die zweite Komponente. Hierzu zählt auch der Glaube an die Sinnhaftigkeit ihrer persönlichen Mitwirkung. Er treibt ihr Engagement an, gewährleistet, dass Sicherungsmaßnahmen von ihnen nicht als Ablenkung oder gar als Störung ihrer eigentlichen Tätigkeiten verstanden werden.
- Unterbewusstsein – Die unterbewusst unternommenen Handlungen der Mitarbeiter schließlich, welche ebenfalls zur Anhebung der Unternehmenssicherheit beitragen, bilden die dritte Komponente. Hierzu zählt beispielsweise das grundlegende Misstrauen, mit dem Mitarbeiter in ihrem digitalen Arbeitsalltag Anomalien begegnen.
Geht ein Unternehmen diese drei Grundpfeiler seiner Sicherheitskultur aktiv an, so kann es deren Niveau deutlich – und nachhaltig – heben.
Erforderlich ist hierzu allerdings eine längere, intensive Schulung des Sicherheitsbewusstseins der gesamten Belegschaft. Ein Dreiklang von auf einzelne Mitarbeitergruppen zugeschnittenen Security Awareness Trainings, regelmäßigen Praxistests im Arbeitsalltag sowie eingehenden Analysen des Mitarbeiterverhaltens ist hierzu vonnöten.
Wird dieser Dreiklang über einen ausreichend langen Zeitraum regelmäßig wiederholt und fließen die Analyseergebnisse konstant in Nachjustierungen des Trainingsplans ein, wird sich der Erfolg des Trainings nicht – wie so häufig – auf einen bloßen Zuwachs an Sicherheitswissen beschränken.
Stattdessen wird sich auch das Sicherheitsbewusstsein der Belegschaft spürbar anheben und ihre Fähigkeit potenzielle Risiken wahrzunehmen entscheidend schärfen – und dies nachhaltig.
Ausgestattet mit einer auf diese Weise gestärkten Sicherheitskultur ist es für Unternehmen dann ein Leichtes, organisatorische Sicherungsmaßnahmen erfolgreich durchzusetzen und sich wirklich umfassend vor Cyberkriminellen abzusichern.
Möchten Sie mehr über Maßnahmen zur Anhebung der Sicherheitskultur erfahren?
Wir empfehlen Ihnen das neue Buch von Perry Carpenter, Chief Evangelist Strategy Officer bei KnowBe4: „Transformational Security Awareness: What Neuroscientists, Storytellers, and Marketers Can Teach Us About Driving Secure Behaviors“.
