Wie man eine Cybersicherheitskultur managen kann

#
Informationssicherheit
#
Awareness Strategie
#
Awareness Messung
Den Erfolg einer Sicherheitskultur steigern

[Geschrieben: 06. November 2019. Überarbeitet: 03. September 2024]

Die meisten Unternehmen investieren in eine gute und funktionierende IT-Sicherheit. Trotzdem sind sie oft nicht gefeit vor Sicherheitsvorfällen. Woran liegt das? In der Regel wird dem Faktor «Mensch» zu wenig Beachtung geschenkt:

  • Die Mitarbeitenden wissen zu wenig über Sicherheit, sicheres Verhalten und den möglichen Gefahren.
  • Sie sehen Sicherheit als ‚Verhinderer‘.
  • Sicherheitsrelevante Themen werden durch die Mitarbeitenden nicht oder zu wenig umgesetzt.
  • Dadurch verhalten sich die Mitarbeitenden, oft bis in die Führungsetage, nicht sicher.

Damit der Faktor «Mensch» seinen Beitrag zur Informations- und Cybersicherheit beisteuern kann, muss dieser geschult werden.

Unsere Erfahrung zeigt, dass Sicherheit nur dann gewährleistet ist, wenn die Menschen, die Technik anwenden, nicht nur richtig informiert und geschult sind, sondern wenn auch das Umsystem, sprich die Unternehmenskultur, sicheres Verhalten fördert. Wir bezeichnen dies als TreeSolution Security Awareness-ABC:

A) Awareness

wissen, warum Informationssicherheit wichtig ist

B) Behaviour (Verhalten)

als Mitarbeitende tätig sein, die die Informationssicherheit aufrechterhalten

C) Culture (Unternehmenskultur)

Informationssicherheit verinnerlichen, damit sie zur natürlichen Arbeitsweise wird

Eine Kultur der Informationssicherheit zu schaffen, ist nicht durch einmalige Informationsveranstaltungen oder Rundmails zu technischen Neuerungen möglich. Es bedarf mehr. Eine Cybersicherheitskultur muss gut gemanagt werden, damit sie erfolgreich ist. In diesem Beitrag zeigen wir Ihnen, wie Sie dafür vorgehen können.

Weshalb es wichtig ist, eine Cybersicherheitskultur zu managen

Starten wir mit einem kurzen Beispiel. Stellen Sie sich vor, Sie sichern eine Burg – hohe Mauern, ein Burggraben und das Neuste vom Neuen in Sachen Zugangskontrollen. Es ist theoretisch unmöglich, auch nur einen Schlitz im Mauerwerk zu finden, denn technisch ist Ihr Sicherheitskonzept perfekt.

Gleichzeitig stehen drei Türen ständig weit offen:

  • Weil Paket-Lieferungen Teil des funktionierenden Betriebs Ihrer Burg sind,
  • zum Lüften eines stickigen und dunklen Flurs
  • und weil jemand sich an eine Proklamation zu erinnern glaubt, die «Geschlossene-Tür-Massnahme» gelte wegen der Windrichtung nur im Ost-Flügel.

Da haben es natürlich auch Angreifer nicht schwer, trotz allem einzudringen und Ihrer Burg zu schaden. Das Sicherheitskonzept hat Lücken übersehen, die ganz selbstverständlich im Alltag jeder Organisation entstehen. Ein notwendiger Teil der täglichen Arbeit durch Mitarbeitende wurde nicht voll berücksichtigt und dadurch entsteht eine Schwachstelle im Konzept. Auch wenn Sicherheitsmassnahmen die Arbeit erschweren, entstehen Gefahrenstellen durch Vernachlässigung von unliebsamen Regeln. Zuletzt entstehen nicht selten Lücken, weil Informationen zur Notwendigkeit von Massnahmen in einer Flut von Fortbildungswissen verloren gehen.

Das passiert oft, wenn Mitarbeitende nicht in die Konzeption und vor allem auch alltägliche Implementierung der Sicherheitsmassnahmen einbezogen werden. Es passiert aber auch, weil Mitarbeitende den Nutzen nicht sehen, sondern nur die Einschränkungen für ihre Arbeit.

Oft wird für alle – Mitarbeitende wie Vorgesetzte – ein Kampf oder sogar fast ein Spiel daraus, die Sicherheitsvorgaben zu umgehen und im Zweifel nicht an etablierten Arbeitsweisen zu rütteln.

Wie Sie anhand des Beispiels sehen, ist es wichtig, ein gutes Sicherheitskonzept zu haben, dass nicht nur aus technischen Lösungen besteht, sondern auch den Faktor «Mensch» mit einbezieht.

Das Verhalten von Menschen zu verändern, ist eine Herausforderung. Umso mehr, wenn es nicht ausreichend verstanden wird. Deswegen baut unser Ansatz für nachhaltige Verhaltensänderungen auf dem Verständnis dieses Themenkomplexes durch wissenschaftliche Modelle auf.

Das COM-B-Modell nach Michie et al., 2011 und das B=MAT Modell nach Fogg, 2009 sind zwei wissenschaftliche Modelle zur Analyse von Sicherheitsmassnahmen in Unternehmen. Sie bieten eine Basis, die Gründe für Fehlverhalten zu verstehen und angemessene Massnahmen zur Behebung auszuwählen. Wir haben diese Modelle in unserem Whitepaper «So erreichen Sie eine echte und nachhaltige Verhaltensveränderung» (1) kurz beschrieben.

Sie können nachhaltige Verhaltensänderungen in Ihrem Unternehmen herbeiführen, wenn Sie dieses Verständnis nutzen und darauf aufbauend die Massnahmen auswählen, die am effektivsten Sicherheitslücken schliessen.

Der Sicherheitskultur Management Prozess

Für das Managen einer Sicherheitskultur schlagen wir die Methode des TreeSolution Sicherheitskultur-Management Prozesses vor, um sichereres Verhalten zu verankern. Dieser Prozess beinhaltet drei Schritte, die wiederkehrend angewendet werden.

  1. Messen: Sicherheitskultur messen
  2. Planen: Sicherheitskultur planen
  3. Transformieren: Sicherheitskultur einführen und verankern

TreeSolutions Sicherheitskultur-Management-Prozess
Abbildung 1: TreeSolutions Sicherheitskultur-Management-Prozess


Der laufende Prozess, der stetig von vorne beginnt und auf dem letzten Zyklus aufbaut, hilft so, das korrekte Verhalten zu verinnerlichen. Ein Zyklus dauert in der Regel 1-3 Jahre.

Schritt 1: Messen - mit dem Security Awareness Radar® den Stand der Informationssicherheit messen und Massstäbe setzen

Der Security Awareness Radar® erlaubt es Ihnen, den aktuellen Stand der Informationssicherheit in Ihrem Unternehmen zu messen. Dies kann zu Beginn gemacht werden, wenn Sie noch keine Sicherheitskultur implementiert oder Sicherheitstrainings durchgeführt haben. Oder wenn Sie bereits ein grundlegendes Bewusstsein für Sicherheit geschaffen haben. Die Analyse mit dem Security Awareness Radar® ermöglicht Ihnen, Schwachstellen und Probleme zu sehen und diese zielgerichtet anzugehen. Die vielfältigen Faktoren, welche das Verhalten der Mitarbeitenden beeinflussen, müssen regelmässig analysiert werden, damit auf Abteilungsebene und auf Mitarbeiterstufe ermittelt werden kann, welche Massnahmen erforderlich sind. Mit der Hilfe des Security Awareness Radar® kann Sicherheit in der Kultur in Ihrem Unternehmen verankert werden und so im alltäglichen Denken und Handeln aller Mitarbeitenden bis in die Führungsebene einfliessen.

Durch das wiederkehrende Befragen, Analysieren und Definieren von Massnahmen entwickelt sich Ihre Sicherheitskultur laufend weiter.

Schritt 2: Planen - darauf aufbauend eine Sicherheitskultur planen

Nach der Messung und Analyse der Sicherheitskultur muss ein Plan erstellt werden, wann welche Massnahmen in welcher Abteilung wie umgesetzt werden. Zudem legen Sie fest, wie das richtige Verhalten sein muss, wo Sie jetzt stehen und wie Sie das Ziel erreichen können. Die Strategie sollte auf die Pfeiler Awareness, Verhalten und Kultur abzielen, sodass alle Punkte berücksichtig und gestärkt werden.

Mit einer Sicherheitsstrategie erreichen Sie ein erhöhtes Sicherheitsbewusstsein und mehr Verständnis Ihrer Mitarbeitenden. So können sie Risiken besser erkennen und wissen, wie sie sich sicher und entsprechend den Sicherheitsanforderungen verhalten.

Effektive Change Management-Strategie

Damit die Mitarbeitenden ein neues Verhalten lernen können, ist es wichtig, darauf zu achten, dass die Veränderungen lernbar, ausführbar und akzeptierbar sind. Zudem ist es hilfreich, wenn ein gewünschtes Verhalten vom Management vorgelebt wird. Bspw. zeigt das McKinsey Influence Model (2) auf, welche Schlüsselfaktoren das Verhalten und die Gedanken der Mitarbeitenden beeinflussen, wenn es darum geht, das Verhalten zu verändern. Auch der ENISA Report (3) kommt zu der Erkenntnis, dass ein sicheres Verhalten nur erreicht werden kann, wenn das gewünschte Verhalten im täglichen Arbeitsalltag anwendbar und umsetzbar ist. Daher sollten diese Punkte bei der Entwicklung der Sicherheitsstrategie beachtet werden. Das Engagement der Mitarbeitenden verändert sich im Laufe der Zeit in Bezug auf ein Thema von Aufmerksamkeit, über Akzeptanz hin zur Verankerung. Dieser Prozess sollte in der Entwicklung der Strategie ebenfalls mitberücksichtigt werden, da jede Stufe andere Trainings-Massnahmen erfordert.

TreeSolutions Change Management Strategie
TreeSolutions Change Management-Strategie

Schritt 3: Transformieren - eine Sicherheitskultur einführen und schulen

Nach der Entwicklung und Festlegung der Sicherheitsstrategie muss diese umgesetzt werden. Eine einfache und effiziente Möglichkeit dafür sind E-Learnings. Sie erlauben es, den Mitarbeitenden eine Schulung zeitlich flexibel durchzuführen. Zudem muss dafür der Arbeitsplatz nicht verlassen werden. Neue E-Learnings mit Ansätzen von Gamifizierung sind effizienter als herkömmliche E-Learnings, da sie die Nutzer durch Abzeichen, Rankings und spielerischen Elementen stärker motivieren. Ganze Sicherheitskampagnen, welche den Fokus auf unterschiedliche Lerntypen legen, sind auch eine gute Möglichkeit, das Thema Informationssicherheit in der Organisation zu verankern. Kampagnen können bspw. aus Plakaten, E-Mails, Stickern, E-Learnings, Broschüren etc. bestehen und durch eine Rahmengeschichte zusammengehalten werden.

Die Schulung auf unterschiedlichen Ebenen und Themen dient auch dazu, die verschiedenen Phasen des Change Managements zu erreichen. Denn jede Phase benötigt andere Massnahmen, damit die nächst höherer Phase herbeigeführt und die aktuelle Phase gelebt werden kann. Die Trainings dienen dazu, die Mitarbeitenden mit Hintergrundwissen zu versorgen, Erklärungen zu liefern und sich an sicherheitsrelevantes Verhalten zu erinnern. Weiter sollen sie dadurch an ein sicheres Verhalten gewöhnt und dazu motiviert werden, es auch umzusetzen.

Übergang zu einer effizienten Sicherheitskultur

Die Transformation zu einer Sicherheitskultur muss ständig gefördert, angepasst und geändert werden, um eine nachhaltige Verbesserung zu erreichen und gleichzeitig die kontinuierlichen Veränderungen der sozialen Zusammenarbeit und der Risiken der Informations- und Kommunikationstechnologie abzudecken. Somit ist das Management einer Sicherheitskultur ein kontinuierlicher Verbesserungs- und Anpassungsprozess.

Auch die Führungskräfte müssen entsprechend geschult werden, damit sie weiterhin Ihre Mitarbeitenden motivieren und täglich die richtigen Informationssicherheits-Prinzipien anwenden. Durch die Teilnahme der Führungskräfte auf allen Ebenen wird die Wirksamkeit der Informationssicherheit gesteigert.

Um langfristige Veränderungen herbeizuführen, müssen Sie Sicherheit in der Kultur Ihres Unternehmens verankern. Dazu müssen Sie natürlich technische Lösungen finden, um Sicherheit möglich zu machen. Damit sie allerdings tatsächlich umgesetzt wird, sind Ihre Mitarbeitenden der entscheidende Ansatzpunkt. Die Etablierung einer eigenen Sicherheitskultur ist hierfür ratsam, damit die technischen, wie auch die Awareness-Lösungen für Mitarbeitende, sauber geplant, eingeführt, gelebt und überprüft werden können.

(1) TreeSolution Consulting (2019): Whitepaper «So erreichen Sie eine echte und nachhaltige Verhaltensveränderung» https://www.treesolution.com/downloads/so-erreichen-sie-eine-echte-und-nachhaltige-verhaltensveranderung

(2) McKinsey Quarterly (2016): The four building blocks of change. April 2016. https://www.mckinsey.com/business-functions/organization/our-insights/the-four-building-blocks--of-change

(3) ENISA Report (2018): Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. Seite 21. https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity

Newsletter

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.
Suchen

Verwandte Artikel

#
Cybersicherheit
#
Informationssicherheit

5 Tipps zum Thema Cybersicherheit

#
Cybersicherheit
#
Informationssicherheit
#
Trends aus Praxis und Forschung

Allianz Risk Barometer Report 2024: Cybervorfälle als grösstes Risiko

#
Cybersicherheit
#
Informationssicherheit
#
Trends aus Praxis und Forschung

Neue NIS2-Richtlinie für erhöhten Schutz in der Cyber-Sicherheit

Formular, E-Mail, Telefon

Sie können ein kurzes Formular ausfüllen oder uns eine E‑Mail schicken. Wir melden uns innerhalb von zwei Werktagen bei Ihnen. Sie können uns auch direkt anrufen. Klicken Sie auf «Kontakt» und Sie erhalten alle notwendigen Kontaktdaten.

Kostenlose Online-Beratung

Wenn Sie lieber einen bestimmten Termin buchen möchten, können Sie dies tun, indem Sie auf die blaue Schaltfläche unten klicken. Das Online-Buchungssystem öffnet sich in einem neuen Fenster und Sie können Ihren kostenlosen Beratungstermin vereinbaren.