[Geschrieben: 06. November 2019. Überarbeitet: 03. September 2024]
Die meisten Unternehmen investieren in eine gute und funktionierende IT-Sicherheit. Trotzdem sind sie oft nicht gefeit vor Sicherheitsvorfällen. Woran liegt das? In der Regel wird dem Faktor «Mensch» zu wenig Beachtung geschenkt:
Damit der Faktor «Mensch» seinen Beitrag zur Informations- und Cybersicherheit beisteuern kann, muss dieser geschult werden.
Unsere Erfahrung zeigt, dass Sicherheit nur dann gewährleistet ist, wenn die Menschen, die Technik anwenden, nicht nur richtig informiert und geschult sind, sondern wenn auch das Umsystem, sprich die Unternehmenskultur, sicheres Verhalten fördert. Wir bezeichnen dies als TreeSolution Security Awareness-ABC:
A) Awareness
wissen, warum Informationssicherheit wichtig ist
B) Behaviour (Verhalten)
als Mitarbeitende tätig sein, die die Informationssicherheit aufrechterhalten
C) Culture (Unternehmenskultur)
Informationssicherheit verinnerlichen, damit sie zur natürlichen Arbeitsweise wird
Eine Kultur der Informationssicherheit zu schaffen, ist nicht durch einmalige Informationsveranstaltungen oder Rundmails zu technischen Neuerungen möglich. Es bedarf mehr. Eine Cybersicherheitskultur muss gut gemanagt werden, damit sie erfolgreich ist. In diesem Beitrag zeigen wir Ihnen, wie Sie dafür vorgehen können.
Starten wir mit einem kurzen Beispiel. Stellen Sie sich vor, Sie sichern eine Burg – hohe Mauern, ein Burggraben und das Neuste vom Neuen in Sachen Zugangskontrollen. Es ist theoretisch unmöglich, auch nur einen Schlitz im Mauerwerk zu finden, denn technisch ist Ihr Sicherheitskonzept perfekt.
Gleichzeitig stehen drei Türen ständig weit offen:
Da haben es natürlich auch Angreifer nicht schwer, trotz allem einzudringen und Ihrer Burg zu schaden. Das Sicherheitskonzept hat Lücken übersehen, die ganz selbstverständlich im Alltag jeder Organisation entstehen. Ein notwendiger Teil der täglichen Arbeit durch Mitarbeitende wurde nicht voll berücksichtigt und dadurch entsteht eine Schwachstelle im Konzept. Auch wenn Sicherheitsmassnahmen die Arbeit erschweren, entstehen Gefahrenstellen durch Vernachlässigung von unliebsamen Regeln. Zuletzt entstehen nicht selten Lücken, weil Informationen zur Notwendigkeit von Massnahmen in einer Flut von Fortbildungswissen verloren gehen.
Das passiert oft, wenn Mitarbeitende nicht in die Konzeption und vor allem auch alltägliche Implementierung der Sicherheitsmassnahmen einbezogen werden. Es passiert aber auch, weil Mitarbeitende den Nutzen nicht sehen, sondern nur die Einschränkungen für ihre Arbeit.
Oft wird für alle – Mitarbeitende wie Vorgesetzte – ein Kampf oder sogar fast ein Spiel daraus, die Sicherheitsvorgaben zu umgehen und im Zweifel nicht an etablierten Arbeitsweisen zu rütteln.
Wie Sie anhand des Beispiels sehen, ist es wichtig, ein gutes Sicherheitskonzept zu haben, dass nicht nur aus technischen Lösungen besteht, sondern auch den Faktor «Mensch» mit einbezieht.
Das Verhalten von Menschen zu verändern, ist eine Herausforderung. Umso mehr, wenn es nicht ausreichend verstanden wird. Deswegen baut unser Ansatz für nachhaltige Verhaltensänderungen auf dem Verständnis dieses Themenkomplexes durch wissenschaftliche Modelle auf.
Das COM-B-Modell nach Michie et al., 2011 und das B=MAT Modell nach Fogg, 2009 sind zwei wissenschaftliche Modelle zur Analyse von Sicherheitsmassnahmen in Unternehmen. Sie bieten eine Basis, die Gründe für Fehlverhalten zu verstehen und angemessene Massnahmen zur Behebung auszuwählen. Wir haben diese Modelle in unserem Whitepaper «So erreichen Sie eine echte und nachhaltige Verhaltensveränderung» (1) kurz beschrieben.
Sie können nachhaltige Verhaltensänderungen in Ihrem Unternehmen herbeiführen, wenn Sie dieses Verständnis nutzen und darauf aufbauend die Massnahmen auswählen, die am effektivsten Sicherheitslücken schliessen.
Für das Managen einer Sicherheitskultur schlagen wir die Methode des TreeSolution Sicherheitskultur-Management Prozesses vor, um sichereres Verhalten zu verankern. Dieser Prozess beinhaltet drei Schritte, die wiederkehrend angewendet werden.
Der laufende Prozess, der stetig von vorne beginnt und auf dem letzten Zyklus aufbaut, hilft so, das korrekte Verhalten zu verinnerlichen. Ein Zyklus dauert in der Regel 1-3 Jahre.
Der Security Awareness Radar® erlaubt es Ihnen, den aktuellen Stand der Informationssicherheit in Ihrem Unternehmen zu messen. Dies kann zu Beginn gemacht werden, wenn Sie noch keine Sicherheitskultur implementiert oder Sicherheitstrainings durchgeführt haben. Oder wenn Sie bereits ein grundlegendes Bewusstsein für Sicherheit geschaffen haben. Die Analyse mit dem Security Awareness Radar® ermöglicht Ihnen, Schwachstellen und Probleme zu sehen und diese zielgerichtet anzugehen. Die vielfältigen Faktoren, welche das Verhalten der Mitarbeitenden beeinflussen, müssen regelmässig analysiert werden, damit auf Abteilungsebene und auf Mitarbeiterstufe ermittelt werden kann, welche Massnahmen erforderlich sind. Mit der Hilfe des Security Awareness Radar® kann Sicherheit in der Kultur in Ihrem Unternehmen verankert werden und so im alltäglichen Denken und Handeln aller Mitarbeitenden bis in die Führungsebene einfliessen.
Durch das wiederkehrende Befragen, Analysieren und Definieren von Massnahmen entwickelt sich Ihre Sicherheitskultur laufend weiter.
Nach der Messung und Analyse der Sicherheitskultur muss ein Plan erstellt werden, wann welche Massnahmen in welcher Abteilung wie umgesetzt werden. Zudem legen Sie fest, wie das richtige Verhalten sein muss, wo Sie jetzt stehen und wie Sie das Ziel erreichen können. Die Strategie sollte auf die Pfeiler Awareness, Verhalten und Kultur abzielen, sodass alle Punkte berücksichtig und gestärkt werden.
Mit einer Sicherheitsstrategie erreichen Sie ein erhöhtes Sicherheitsbewusstsein und mehr Verständnis Ihrer Mitarbeitenden. So können sie Risiken besser erkennen und wissen, wie sie sich sicher und entsprechend den Sicherheitsanforderungen verhalten.
Effektive Change Management-Strategie
Damit die Mitarbeitenden ein neues Verhalten lernen können, ist es wichtig, darauf zu achten, dass die Veränderungen lernbar, ausführbar und akzeptierbar sind. Zudem ist es hilfreich, wenn ein gewünschtes Verhalten vom Management vorgelebt wird. Bspw. zeigt das McKinsey Influence Model (2) auf, welche Schlüsselfaktoren das Verhalten und die Gedanken der Mitarbeitenden beeinflussen, wenn es darum geht, das Verhalten zu verändern. Auch der ENISA Report (3) kommt zu der Erkenntnis, dass ein sicheres Verhalten nur erreicht werden kann, wenn das gewünschte Verhalten im täglichen Arbeitsalltag anwendbar und umsetzbar ist. Daher sollten diese Punkte bei der Entwicklung der Sicherheitsstrategie beachtet werden. Das Engagement der Mitarbeitenden verändert sich im Laufe der Zeit in Bezug auf ein Thema von Aufmerksamkeit, über Akzeptanz hin zur Verankerung. Dieser Prozess sollte in der Entwicklung der Strategie ebenfalls mitberücksichtigt werden, da jede Stufe andere Trainings-Massnahmen erfordert.
Nach der Entwicklung und Festlegung der Sicherheitsstrategie muss diese umgesetzt werden. Eine einfache und effiziente Möglichkeit dafür sind E-Learnings. Sie erlauben es, den Mitarbeitenden eine Schulung zeitlich flexibel durchzuführen. Zudem muss dafür der Arbeitsplatz nicht verlassen werden. Neue E-Learnings mit Ansätzen von Gamifizierung sind effizienter als herkömmliche E-Learnings, da sie die Nutzer durch Abzeichen, Rankings und spielerischen Elementen stärker motivieren. Ganze Sicherheitskampagnen, welche den Fokus auf unterschiedliche Lerntypen legen, sind auch eine gute Möglichkeit, das Thema Informationssicherheit in der Organisation zu verankern. Kampagnen können bspw. aus Plakaten, E-Mails, Stickern, E-Learnings, Broschüren etc. bestehen und durch eine Rahmengeschichte zusammengehalten werden.
Die Schulung auf unterschiedlichen Ebenen und Themen dient auch dazu, die verschiedenen Phasen des Change Managements zu erreichen. Denn jede Phase benötigt andere Massnahmen, damit die nächst höherer Phase herbeigeführt und die aktuelle Phase gelebt werden kann. Die Trainings dienen dazu, die Mitarbeitenden mit Hintergrundwissen zu versorgen, Erklärungen zu liefern und sich an sicherheitsrelevantes Verhalten zu erinnern. Weiter sollen sie dadurch an ein sicheres Verhalten gewöhnt und dazu motiviert werden, es auch umzusetzen.
Die Transformation zu einer Sicherheitskultur muss ständig gefördert, angepasst und geändert werden, um eine nachhaltige Verbesserung zu erreichen und gleichzeitig die kontinuierlichen Veränderungen der sozialen Zusammenarbeit und der Risiken der Informations- und Kommunikationstechnologie abzudecken. Somit ist das Management einer Sicherheitskultur ein kontinuierlicher Verbesserungs- und Anpassungsprozess.
Auch die Führungskräfte müssen entsprechend geschult werden, damit sie weiterhin Ihre Mitarbeitenden motivieren und täglich die richtigen Informationssicherheits-Prinzipien anwenden. Durch die Teilnahme der Führungskräfte auf allen Ebenen wird die Wirksamkeit der Informationssicherheit gesteigert.
Um langfristige Veränderungen herbeizuführen, müssen Sie Sicherheit in der Kultur Ihres Unternehmens verankern. Dazu müssen Sie natürlich technische Lösungen finden, um Sicherheit möglich zu machen. Damit sie allerdings tatsächlich umgesetzt wird, sind Ihre Mitarbeitenden der entscheidende Ansatzpunkt. Die Etablierung einer eigenen Sicherheitskultur ist hierfür ratsam, damit die technischen, wie auch die Awareness-Lösungen für Mitarbeitende, sauber geplant, eingeführt, gelebt und überprüft werden können.
(1) TreeSolution Consulting (2019): Whitepaper «So erreichen Sie eine echte und nachhaltige Verhaltensveränderung» https://www.treesolution.com/downloads/so-erreichen-sie-eine-echte-und-nachhaltige-verhaltensveranderung
(2) McKinsey Quarterly (2016): The four building blocks of change. April 2016. https://www.mckinsey.com/business-functions/organization/our-insights/the-four-building-blocks--of-change
(3) ENISA Report (2018): Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. Seite 21. https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity