Why Building a Security Culture at Your Company Matters and How to Start

Warum braucht Ihr Unternehmen eine positive Sicherheitskultur und wie bauen Sie diese auf?

Eine positive Sicherheitskultur kann einen enormen Einfluss auf Ihre Cybersicherheit haben. Warum? Weil Kultur unser Verhalten prägt. Beispiel: In Teilen Asiens ist Schlürfen beim Essen ein Zeichen dafür, dass es schmeckt. In vielen europäischen Ländern hingegen gelten laute Geräusche beim Essen als unhöflich und verpönt.

Gleichermaßen prägt eine Kultur, bei der Wert auf Sicherheit gelegt wird, die Einstellung und das Verhalten der Mitarbeiter. Wenn Vorgesetzte und Mitarbeiter davon überzeugt sind, dass Cybersicherheit die Verantwortung jedes Einzelnen – und nicht nur der IT – ist, dann werden sich alle Mitarbeiter dafür einsetzen, das Unternehmen sicher zu machen, da dies als wichtig erachtet und geschätzt wird. Dank ihres sicherheitsbewussten Verhaltens werden Ihre Mitarbeiter sogar zu einer starken Verteidigungslinie.

Positive Sicherheitskultur als Bestandteil der Cybersicherheitsstrategie

Bei Cybersicherheit geht es um mehr als Technologie und technische Kontrollen. Technische Kontrollen haben zweifellos ihre Berechtigung, doch Ihre Cybersicherheitsstrategie sollte sich vornehmlich auf die Mitarbeiter konzentrieren. Denn es ist der Umgang der Mitarbeiter mit E-Mails, Daten und Cloud-Anwendungen, der sich direkt auf die Sicherheit des Unternehmens auswirkt.

Eine Cybersicherheitsstrategie, die die Sicherheitskultur in einem Unternehmen berücksichtigt, ist angesichts der heutigen Bedrohungen wichtiger denn je. Angreifer haben es nach wie vor auf Mitarbeiter abgesehen und nutzen für ihre Angriffe oft Social Engineering. Für Ransomware-Angriffe wird in der Regel ein Mitarbeiter benötigt, der einen schädlichen Anhang herunterlädt oder seine Anmeldedaten preisgibt und dadurch Angreifern Zugang zum Unternehmen verschafft. Dem neuesten Verizon Data Breach Report zufolge gehen 85 % der Datenschutzverletzungen mit einer menschlichen Komponente einher – und bei 61 % dieser Vorfälle sind Anmeldedaten involviert.

Diagramm zum Ursprung von Datenschutzverletzungen aus demVerizon Data Breach Report von 2021

85 % der Datenschutzverletzungen gehen mit einer menschlichen Komponente einher; n=4.492
Bei 61 % der Datenschutzverletzungen sind Anmeldedaten involviert; n=4.518

Mitarbeiter spielen eine kritische Rolle bei der Cybersicherheitsstrategie Ihres Unternehmens (Quelle: Verizon Data Breach Report, 2021)

Sicherheitskultur verbessern: So gelingt es

Aber wie schaffen Sie es nun, eine solche Sicherheitskultur im Unternehmen aufzubauen? Nachfolgend die wichtigsten Stationen beim Aufbau einer stärkeren Sicherheitskultur:

  • Unterstützung von oben einholen: Jeder einzelne Mitarbeiter im Unternehmen hat Einfluss auf die Sicherheitskultur, doch der von Führungskräften und Vorgesetzten ist naturgemäß größer. Die Führungsetage gibt in der Regel die Richtung für das gesamte Unternehmen vor. Wenn sich der CEO bei Besprechungen und Veranstaltungen regelmäßig zu Cybersicherheit und ihrer Bedeutung für die Erreichung der Unternehmensziele äußert, vermittelt er eine Botschaft. Er festigt den Gedanken, dass die Gewährleistung der Sicherheit der Unternehmensdaten und -systeme wichtig ist.
  • Erwünschtes Sicherheitsverhalten identifizieren: Verhaltensweisen sind Ausdruck der Kultur. Aber welche Sicherheitsverhaltensweisen wünschen Sie sich von Ihren Mitarbeitern? Definieren Sie eine bestimmte Anzahl wichtiger Verhaltensweisen, die für Mitarbeiter greifbar sind, zum Beispiel: „Erst überlegen, dann klicken“ oder „Verdächtige E-Mails melden“. Nachdem Sie die gewünschten Verhaltensweisen festgelegt haben, definieren Sie die Säulen, auf denen Ihr Schulungsprogramm zur Sensibilisierung für Sicherheit aufbaut.
  • Sensibilisierung für Sicherheit kontinuierlich verfolgen: Eine starke Sicherheitskultur entsteht nicht von heute auf morgen. Sie ergibt sich auch nicht aus einer einzigen Veranstaltung, etwa einer jährlichen Schulung zur Sensibilisierung für Sicherheit. Der Aufbau einer starken Sicherheitskultur ist ein nachhaltiger und kontinuierlicher Prozess. Wenn Sie bislang einmal im Jahr eine Awareness-Schulung durchführen, bietet es sich an, diese in kürzere, dafür quartalsmäßige Schulungseinheiten zu unterteilen. Nutzen Sie auch interne Kommunikationswege (z. B. Veranstaltungen, Newsletter, Intranet), um Ihre Mitarbeiter zu erreichen und Verhaltensänderungen herbeizuführen.
  • Gutes Sicherheitsverhalten belohnen: Zelebrieren Sie gutes Sicherheitsverhalten der Mitarbeiter. Durch Anerkennen und Belohnen des gewünschten Sicherheitsverhaltens sorgen Sie für positive Bestärkung. Dadurch werden andere motiviert, dem Beispiel zu folgen. Belohnungen und Auszeichnungen müssen nicht extravagant oder kostspielig sein und dürfen auch Spaß machen. In einigen Unternehmen wird eine Fisch-Trophäe an denjenigen Mitarbeiter verliehen, der im Quartal die meisten verdächtigen E-Mails meldet. Manche Anwender werden für das Melden einer verdächtigen Nachricht auch mit einer Packung Goldfisch-Cracker belohnt.

Die Sicherheitskultur ist in jedem Unternehmen wesentlicher Bestandteil der Cybersicherheitsstrategie. Sie trägt zu einer nachhaltigen Verhaltensänderung bei, die letztlich bewirkt, dass Ihre Mitarbeiter keine Ziele mehr sind, sondern eine starke letzte Verteidigungslinie.

Wenn Sie mehr über den Aufbau einer starken Cybersicherheitskultur in Ihrem Unternehmen erfahren möchten, nehmen Sie an unserer virtuellen Veranstaltungsreihe Die Kunst und Wissenschaft beim Aufbau einer Sicherheitskultur teil.