ENISA-Report: Guidelines für Cybersicherheits Kultur

Bereits im September 2018 angekündigt, können wir hier nun endlich über den ENISA-Report zum Thema «Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity» berichten. Zusammen mit Prof. Angela Sasse und Prof. Adam Joinson hat Dr. Thomas Schlienger letztes Jahr an diesem Report gearbeitet.

Für den Report analysierten die Autoren wissenschaftliche Ansätze zur Verhaltensveränderung in der Cybersecurity. Die meisten gefundenen Modelle waren wenig geeignet, um «das Verhalten bzgl. Cybersicherheit zu verstehen, vorherzusagen oder zu verändern (1)». Modelle, die konstruktive Möglichkeiten aufzeigen, sind effektiver und nützlicher als solche, die das Verhalten durch Bestrafung oder Angst vor Bedrohungen zu ändern versuchen. Ein ideales Modell sensibilisiert und analysiert Organisationen und zeigt Interventionsmöglichkeiten auf, «um systematisch Veränderungen zu planen und umzusetzen, [welche] die menschlichen Aspekte der Cybersicherheit berücksichtigen (2)». Sicherheitsspezialisten sowie Vorbildfunktion der Führungsebene sind u.a. wichtige Pfeiler einer funktionierenden Cybersicherheit. Der Prozess zur Verbesserung des Sicherheitsverhaltens sollte kontinuierlich und iterativ sein. Zum Schluss des Berichts geben die Autoren Empfehlungen für verschiedene Ansprechpartner innerhalb einer Firma.

Anhand von TWISK Security Awareness Radar®, unserem «Modell des organisatorischen Verhaltens», wird gezeigt, wie die Sicherheitskultur in Organisationen auf verschiedenen Ebenen analysiert werden kann und wo Interventionen angesetzt werden können. Das Modell zeigt konkrete Punkte auf, um die Cybersicherheitskultur zu verbessern. Die Erfahrung zeigt, dass das Verhalten positiv beeinflusst werden kann, wenn auch das Arbeitsumfeld verändert wird.

Wir beraten Sie gerne genauer zu unserem Modell und wie Sie effektive Verhaltensänderungen erzielen können.
‍

‍

(1) Seite 4, 2. Paragraph
(2) Seite 4, 4. Paragraph