Sicherheit ist eine Frage der Kultur – Cybersecurity in der Unternehmenskultur

Cyberangriffe geschehen oft infolge einer mangelnden Sicherheitskultur

Werden Compliance-Grenzen und Sicherheitssysteme von Mitarbeitern umgangen, sind Zwischenfälle naturgemäss vorprogrammiert. Auch wenn Investitionen in Schutztechnologien zu Recht von Jahr zu Jahr steigen, dürfen Unternehmen nicht nolens volens davon ausgehen, dass Cyberattacken der Vergangenheit angehören. Der grösste Fehler im «Betriebssystem» ist häufig, die Fähigkeiten der Technik zu überschätzen und die Kreativität von Cyberkriminellen zu unterschätzen. Die meisten Schäden entstehen nicht durch automatisierte Angriffe auf das IT-Epizentrum eines Unternehmens, sondern durch eine mangelnde Sicherheitskultur. Dabei geht es allerdings um mehr, als blosses kollektives Bewusstsein durch starre Compliance-Regeln zu schaffen. Was Mitarbeiter wirklich brauchen, ist eine «Kultur der Sicherheit».

Schutz in Reinkultur

Stellen Sie sich vor, Sie müssten als Arbeitgeber in Ihrem Unternehmen Tausende von Angestellten zum gemeinsamen Handeln bewegen – in Bruchteilen einer Sekunde. Ein Ding der Unmöglichkeit, wie es scheint. Aber unser Körper «lebt» genau das vor – mit einer beeindruckenden Erfolgsquote. Etwa 86 Milliarden Neuronen müssen ununterbrochen zusammenarbeiten und miteinander kommunizieren, damit wir denken, fühlen und handeln können. Dies funktioniert nur unter einer Voraussetzung: Jede Zelle muss wissen, was sie genau machen soll und die Chemie zwischen allen muss wortwörtlich stimmen. Ist das nicht der Fall, kommt es zu Beeinträchtigungen und schlimmstenfalls zu grösseren Ausfällen.

Beim Thema Security sollte dieser «Betriebsmodus» zum Vorbild für Sicherheitskultur werden. Das Unternehmen bildet hier das zentrale Nervensystem, die Sicherheitskultur fungiert als Synapse und zugleich Verbindungsstelle zwischen den Nervenzellen. Jeder Mitarbeiter verkörpert eine hochspezialisierte Zelle, wovon selbst die kleinste zu einem funktionierenden «Abwehrsystem» beiträgt.

Unsicherheitsfaktor Verantwortlichkeit

Folgt man dem aktuellen «Cybersecurity Culture Report», sehen 90 Prozent der 4’800 Befragten eine Diskrepanz zwischen realer und gewünschter Sicherheitskultur. Die meisten Umfrageteilnehmer halten die Abwehrmassnahmen von internen und externen Angriffen im eigenen Unternehmen für unzureichend. Hinzu kommt, dass der Grossteil der Mitarbeiter gar nicht weiss, wie er selbst den (Daten-)Schutz verbessern kann. Dies wiederum liegt an seiner Unsicherheit über die eigene Rolle und seinen Kompetenzbereich beim Thema Security. Nur drei von zehn Mitarbeitern sind sich darüber tatsächlich im Klaren.

Vor diesem Hintergrund wird deutlich, was häufig in diesem Zusammenhang mit Sicherheitskultur vernachlässigt wird: Security muss die rein technische Sicht verlassen und das (Zwischen-)Menschliche überordnen. Heute ist dieses Umdenken umso entscheidender, denn Cyberkriminelle setzen seit geraumer Zeit verstärkt auf «Social Engineering» Methoden. Dabei nutzen sie Psychotricks wie den CEO-Fraud («Geschäftsführer-Trick»), mit denen sie Mitarbeiter in dem Falle mit Autoritätszugehörigkeit manipulieren und unter Druck setzen. Menschliche Eigenschaften wie Dankbarkeit, Pflichtbewusstsein, Gutgläubigkeit oder Stolz werden gnadenlos ausgenutzt.

Gerät ein Angestellter in die Falle eines Cyberkriminellen, droht ihm in den meisten Fällen die Entlassung. Doch sollte in diesem Fall nicht eher die Sicherheitskultur als der Mitarbeiter des Unternehmens hinterfragt werden?

«Kultur der Sicherheit» als Stabilitätsanker

«Nichts ist sicher ausser Technologie – am wenigsten der Arbeitsplatz « – so lässt sich die Strategie vieler Unternehmen unabhängig von Branche und Grösse in unserer leistungsorientierten Gesellschaft zusammenfassen. Genau diese Sichtweise gilt es, ins Gegenteil zu verkehren. Reagieren wir als Unternehmen beim Aufbau einer Sicherheitskultur nur nach Schema F, müssen wir aufpassen, dass uns zwei Qualitäten unseres «humanen Kapitals» nicht abhandenkommen, die Intuition und Unberechenbarkeit. Oder mal ketzerisch gefragt: Wissen Sie, wie viele Security-Vorfälle durch unvorhersehbares Handeln verhindert wurden?

Wer eine ernstzunehmende Sicherheitskultur abseits des üblichen Marketing-Blabla etablieren will, sollte als Arbeitgeber in erster Linie den Mitarbeitern selbst mehr Sicherheit geben – in einer «(Unternehmens-)Kultur der Sicherheit».  Sicherheit gehört zu den Grundbedürfnissen des Menschen, wir versuchen, uns gegen alles abzusichern und jeden zu schützen, den wir schätzen. Warum fangen die wenigsten Unternehmen bei den Mitarbeitern an? Ein unsicherer Arbeitnehmer verlässt mit Sicherheit nicht seinen (Denk-)Pfad, egal wie ausgetreten er ist.

Teamarbeit zwischen Mensch und Technik

Queen Elizabeth soll einmal in einem Gespräch über ihr eigenes Begräbnis gefragt haben: «Ich bin mir nicht sicher, ob ich die Kerzen mag. Kann ich meine eigenen mitbringen?» So ähnlich läuft es beim Thema Security noch immer in den meisten Unternehmen ab: Jeder vertraut am liebsten auf seine eigenen Erfahrungen und Werte beim Umgang mit Technik und Daten. Compliance-Richtlinien sind ein sinnvolles Handlungsgerüst, aber Antworten wie «Weil es so ist», bringen beide Seiten bei der Umsetzung einer gelebten Sicherheitskultur nicht weiter.

Entscheidend ist auch, die Idee der «Supersicher»-Technologie endlich aus allen Köpfen zu bekommen. Darüber hinaus darf auch die eingesetzte Technologie nicht zur Spassbremse und der Mensch nicht nur als Rädchen in der Prozesskette verstanden werden. Charlie Chaplins Film «Moderne Zeiten» zeigt, wie der Mensch durch Anpassung an die Technik abstumpft – das ist heute vor dem PC nicht anders als damals am Fliessband. Sicherheitskultur sollte also nicht durchreglementiert sein, denn Kultur in ihrer Bedeutung als etwas «selbst zu gestalten» sowie Sicherheit als Ergebnis aus intuitivem Verständnis, aus Werten, Erfahrungen und einer Erwartungshaltung sind dynamische Parameter.

Vom Einzelkämpfer zum Security-Netzwerker

Bei Sicherheitskultur handelt sich nicht um ein statisches Konzept, sondern vielmehr eine Art gesellschaftliches Konstrukt mit dynamischen Faktoren, woraus sich individuelle und kollektive Handlungsmaximen ableiten lassen. Daneben spielt der Erwartungshorizont in diesem Zusammenhang eine nicht zu unterschätzende Rolle: Je weitsichtiger, desto mehr Sicherheit ist zu erwarten.

Sowohl technisch als auch organisatorisch brauchen Angestellte (Selbst-)Gewissheit, eine Kreuzung aus Sicherheit und Wissen. Ebenso das Vertrauen, dass die Sicherheitskultur im Unternehmen mit der Zeit nicht zum Randphänomen verkommt, sondern immer Chefsache mit Investitionscharakter bleibt. Schafft man so ein zuverlässiges Umfeld, geht die Sicherheitskultur bei den Mitarbeitern langsam aber sicher in Fleisch und Blut über. So können aus Einzelkämpfern echte Security-Netzwerker werden, die Aussagen wie «Wenn ich das gewusst hätte» oder «Wird schon gut gehen» getrost aus ihrem Vokabular streichen können und mit offenen Augen durch die Cyberwelt gehen.

Der sichere Hafen: Zwischen Autorität und Inspiration

Hinzu kommt, dass die Thematisierung von Sicherheitsfragen auch mit Nicht-Wissen zusammenhängt. Technische Systeme sind nicht von Anfang an vollständig kontrollierbar, erst durch «Fehlfunktionen» werden sie immer beherrschbarer. Wenn Maschinen also gleichermassen «lernen» müssen, sollten Unternehmen umso weniger von den Mitarbeitern erwarten, dass sie fehlerfrei funktionieren. Sicherheitskultur entsteht nicht durch Druck, sondern vielmehr durch eine sichere Umgebung, in der neben technischen und organisatorischen Vorgaben aktive Gestaltungsmöglichkeiten, «Resonanzräume» und menschliche Qualitäten wie das Bauchgefühl oder die Kreativität beim Finden von Lösungen Platz haben.

«Sicher ist, dass nichts sicher ist. Selbst das nicht», sagte mal Ringelnatz. Fest steht eins: Es bleibt bei Mensch und Technik immer ein Restrisiko bestehen. Das gilt auch für eine «gelebte» Sicherheitskultur, in der Wissen, Antizipieren, Reflektieren und Austauschen zu den wichtigsten Faktoren gehören. Werden Mitarbeiter dazu ermutigt, kommen auf Cyberkriminelle schwierige Zeiten zu.

Organisatorische und technische Tipps, mit denen Sie bereits im Vorfeld bestimmte Risiken oder mögliche Unsicherheitsfaktoren ausräumen und für mehr Sicherheit sorgen:

  • Datensparsamkeit als Gegenmassnahme: Social-Engineering-Angriffe wie der «CEO-Fraud» lassen sich durch «Datengeiz» etwas eingrenzen. Unternehmen sollten abwägen, ob omnipräsente Datenpräsenz, bspw. in Form von persönlichen E-Mailadressen auf der Webseite oder Abwesenheitsnotizen (besonders vom Geschäftsführer) wirklich notwendig sind.
  • Security und Compliance sollten Hand in Hand gehen: Sowohl auf organisatorischer als auch technischer Seite sind Verantwortliche angewiesen, Unternehmensrichtlinien und den Einsatz von Technologien so einfach, verständlich und verbindlich wie möglich für die Mitarbeiter zu gestalten. Sinnvoll und leicht umsetzbar sind z.B. die Einführung digitaler Signaturen und alltagstauglicher Technik, datenschutz- und datensicherheitsfreundliche Voreinstellungen usw.
  • Planen Sie ein realistisches Budget mit personellen und finanziellen Ressourcen ein, auch um Belastungsspitzen im Unternehmen abzufedern.
  • Interne Arbeits- und Geschäftsprozesse auf den Prüfstand stellen: Zum Beispiel beim Thema Datenzugriff. Wer darf auf welche Daten wann, wie und wo zugreifen? Ist das tatsächlich so von Nöten?
  • Mitarbeiter in ihrer Rolle stärken: Zielpersonen in Unternehmen, die besonders gefährdet sind, Opfer eines Angriffs zu werden, sollten sich darüber im Klaren sein und dementsprechend stärker in ihrem Sicherheitsbewusstsein gefördert werden. Mit Trainings und Schulungen lassen sich realistische Kompetenzbereiche und klare, praxisgerechte Verhaltensregeln gemeinsam erarbeiten, was im Falle des (Vor-)Falls zu tun ist.
Ildikó ist seit 2011 für ESET tätig und tagtäglich ganz nah am Thema Cybersicherheit. Sie hat an der Bauhaus-Universität Weimar Medienkultur studiert - mit Faible für Filmphilosophie. So gesehen, ist für sie die IT-Security-Welt durchzogen von hollywoodreifen (virtuellen) Duellen zwischen Gut und Böse oder einem ewigen Katz- und Maus-Spiel à la „Catch Me If You Can“. Ihre Artikel werden in (Fach-)Magazinen und online publiziert.

Die Kommentarfunktion ist geschlossen.