Was ist eine Cyber-Sicherheitskultur und wie können Sie davon profitieren?

Um das Sicherheitsbewusstsein der Mitarbeitenden langfristig zu erhöhen und eine Cyber-Sicherheitskultur aufzubauen und zu pflegen, sollten 5 Schritte beachtet werden:

• Was ist eine Cyber-Sicherheitskultur
• Wie kann man eine Cyber-Sicherheitskultur managen
• Wie kann man den Stand messen und Veränderungen nachverfolgen
• Wie kann man das Verhalten der Mitarbeitenden verändern
• Was ist die beste Change Management-Strategie

In unserem Blog werden wir Ihnen in loser Folge diese Schritte und Tipps vorstellen, inklusive ausgewählter Taktiken, die zum Erfolg führen werden.

Bei der Umsetzung einer erfolgreichen Cyber-Sicherheitskultur fokussieren wir uns auf drei Pfeiler: Training, Awareness & Kommunikation sowie das Implementieren einer Sicherheitskultur.

Was genau ist eine Sicherheitskultur?

Neben technischen Cyber Security-Lösungen spielt das richtige Verhalten der Mitarbeitenden eine tragende Rolle. Dieses Verhalten wird durch eine aktive Sicherheitskultur gepflegt. Um zu verstehen, was eine Sicherheitskultur ist, müssen wir verstehen, was der Unterschied zwischen einer Sicherheitskultur und Sicherheits-Awareness ist:  

• Sicherheits-Awareness: “Security awareness is the knowledge and attitude members of an organization possess regarding the protection of the physical and, especially, information assets of that organization”. (http://en.wikipedia.org/wiki/Security_awareness)
  ‍
• Sicherheitskultur: “Information Security Culture is the result of values, attitudes, know-how and patterns of behavior that determine the commitment to information security”. (Schlienger T. 2006)

Somit ist eine Kultur tiefgreifender als Awareness. Die Kultur ist im Handeln verinnerlicht, man denkt nicht mehr nach, sondern macht einfach.

Eine Sicherheitskultur kann jedoch nicht ohne ein Sicherheitsbewusstsein entstehen, aufgebaut und gepflegt werden. Daher ist es wichtig, dass beide Themen Hand in Hand bearbeitet werden.

Je nach dem wen man fragt, sieht die Definition einer Sicherheitskultur etwas anders aus. Die KES hat in einem Artikel verschiedene Sicherheitsexperten zu genau dieser Frage befragt (KES 2019).

Die Sicherheitskultur ist ein Teil der Unternehmenskultur und dadurch in dieser verankert. Es handelt sich um sicherheitsbezogene Werte, Verhaltensweisen und Überzeugungen, welche jeweils unterschiedlich aussehen können, auch innerhalb eines Unternehmens. Die Sicherheitskultur kann als einen Kreislauf gesehen werden: Sie definiert den Ist-Zustand, das Verbesserungspotenzial, die Ziele und das Monitoring. Dieser Kreislauf wird im Unternehmen durch Zusammenarbeit aller Personen, von der Führungsebene bis hin zum Mitarbeitenden, umgesetzt und gelebt. Hierfür ist eine kontinuierliche Kommunikation ausschlaggebend. Worin sich die meisten Experten einig sind, ist die Wichtigkeit eines «Klimas des Vertrauens», damit Sicherheit aktiv gelebt werden kann. Mitarbeitende sollten beispielsweise nicht Angst davor haben, Phishing-E-Mails oder sonstige Vorfälle zu melden. Die Meldungen, Anliegen und Befürchtungen von Mitarbeitenden jeglicher Stufe sollten ernst genommen und unterstützt werden. Eine Möglichkeit hierfür ist das Vorleben durch die Führungsebene.

Sicherheit muss von allen als eine positive und wichtige Ergänzung im Arbeitsalltag gesehen werden. Durch eine gelebte Sicherheitskultur werden die Mitarbeitenden gegenüber Risiken sensibilisiert, was dem Unternehmen zugutekommt. Daher ist das zentralste Element der Sicherheitskultur das menschliche Verhalten.

Hier kommt dann die Security Awareness ins Spiel, welche sich mit der Schulung des menschlichen Verhaltens befasst.

Wie kann eine Sicherheitskultur implementiert werden

Eines vorneweg, eine Sicherheitskultur wird aktiv vom Unternehmen und dessen Mitarbeitenden gesteuert und getragen. Man kann jederzeit darauf Einfluss nehmen und sie steuern, wenn man merkt, dass etwas in eine andere Richtung läuft, als es angedacht ist. Um dies tun zu können, muss man definieren, was dafür gemacht werden muss. Diese Qualitätsbeurteilung kann mit dem Capability-Maturity-Modell (Reifegradmodell) erreicht werden. Man misst, plant und optimiert die Sicherheitskultur und setzt anschliessend alles entsprechend um.

Das Capability Maturity Model macht diese Bewertung anhand von fünf Stufen:

1. Nicht vorhanden: Ein Programm zur Förderung der Sicherheitskultur existiert nicht.
   ‍
2. Wiederholbar: Das Programm ist in erster Linie darauf ausgerichtet, spezifische Compliance- oder Audit-Anforderungen zu erfüllen. Investitionen und Qualität unterliegen starken Schwankungen.
   ‍
3. Definiert: Die Ziele der Sicherheitskultur sind definiert und zielen auf eine Verhaltensveränderung ab. Eine spezielle Organisationseinheit ist für die Umsetzung verantwortlich. Investitionen sind einigermassen zuverlässig bewertbar. Die Qualität ist immer noch Schwankungen ausgesetzt.
   ‍
4. Gesteuert: Notwendige Prozesse, Ressourcen und Führungsunterstützung für einen langfristigen Lebenszyklus der Sicherheitskultur sind vorhanden. Investitionen und Qualität sind zuverlässig kontrollierbar.
   ‍
5. Optimierend: Die Sicherheitskultur wird gemessen, um Fortschritte zu verfolgen und die Auswirkungen zu messen. Dadurch verbessert sich die Sicherheitskultur kontinuierlich und kann den Return on Investment nachweisen.

Das SANS Institute (SANS Institute 2019) hat letztes Jahr eine Studie durchgeführt, um herauszufinden, auf welcher Stufe sich die Unternehmen befinden. Das erschreckende Resultat ist, dass die meisten Unternehmen nicht über Stufe 3 hinauskommen.

Das Umsetzen einer Sicherheitskultur ist nicht nur die Aufgabe des Sicherheitsteams, sondern von allen Mitarbeitenden. Dies wird in Zusammenarbeit mit dem Management und allen Organisationseinheiten erreicht. Es geht darum, dass ein sicheres Verhalten von oben nach unten vorgelebt wird und alle befähigt werden, es auch umzusetzen. Als Grundlage erarbeitet die Sicherheitsabteilung, in Zusammenarbeit mit den anderen Organisationseinheiten, eine Sicherheitsstrategie. Diese beinhaltet Awareness-Massnahmen, welche die Grundlage bilden. Weisungen und Richtlinien dienen als Ergänzung. Sie müssen verständlich, strukturiert und umsetzbar sein, damit sie Verwendung finden.  

Was bringt eine gelebte Sicherheitskultur?

Die schnelle technologische Entwicklung in der IT hat zu einer Veränderung der traditionellen Arbeitsformen geführt. Verhaltensweisen, die vor ein paar Jahren noch harmlos waren (z. B. E-Mail-Anhänge), können heute erheblichen Schaden anrichten.

Die Rolle einer Sicherheitskultur ist, diesen Veränderungsprozess sicher begleiten zu können, und sie dient der Abwehr von potenziellen Gefahren durch Wissen. Die Mitarbeitenden wissen, was Bedrohungen sind, wie diese funktionieren und wie man ihnen entgegenwirken kann. Das heisst, die grundlegenden Annahmen gegenüber aktuellen und potenziellen zukünftigen Gefahren im Prozess werden gesehen, und, noch viel wichtiger, in die Organisationskultur integriert. Nur durch eine solche Integration der Sicherheitskultur kann sich eine Organisation auf das Unvorhersehbare vorbereiten, proaktiv Schäden vermeiden resp. reduzieren und sich zukunftsgerichtet entwickeln.

Durch die Zusammenarbeit aller Mitarbeitenden beim Leben einer Sicherheitskultur werden die Sicherheitsverantwortlichen entlastet und die Sicherheitstechnik wird unterstützt. Dadurch entsteht ein höherer Schutz des Unternehmens und das Risiko auf Angriffe wird vermindert (lesen Sie mehr dazu in unserem Blogbeitrag "Informationssicherheitskultur: Die sozio-kulturelle Dimension des Informationssicherheits Management“).

Um Cyberkriminalität entgegenzuwirken, ist es daher wichtig, die Sicherheitskultur eines Unternehmens so anzupassen, dass die Mitarbeitenden das richtige Verhalten verinnerlicht haben und danach leben. Wichtig hierbei ist es zu beachten, dass nicht auf einem angstmachenden Klima aufgebaut wird, sondern die Mitarbeitenden Vertrauen haben, gehört und unterstützt werden. Um eine Sicherheitskultur zu erreichen, muss Awareness geschaffen werden. Wissen die Mitarbeitenden, wie man sich sicher verhält, profitiert das ganze Unternehmen und es wird dadurch sicherer.

TreeSolution sensibilisiert und schult jeden in Ihrem Unternehmen, sodass Sicherheit strukturiert in der Kultur verankert wird – also im alltäglichen Denken und Handeln aller Mitarbeitenden, bis in die Führungsetage. So schützen Sie Informationen und damit Ihr Unternehmen. Vor Angreifern und Versehen, wirtschaftlichen Schäden und Imageverlusten.

‍

Literaturverzeichnis:

• Schlienger T. (2006): Informationssicherheitskultur in Theorie und Praxis: Analyse und Förderung sozio-kultureller Faktoren der Informationssicherheit in Organisationen. Fribourg, iimt University Press.
• KES (2019): Sicherheitskultur, das unbekannte Wesen? In Management und Wissen, Sicherheitskultur. KES 2/2019. Seiten 67-72.
• SANS Institute (2019): 2018 SANS Security Awareness Report

‍