Security Culture vs. Menschliches Verhalten

Warum Security Leader die Unternehmenskultur verstehen müssen

Leader
LinkedInRedditWhatsApp

Viele IT-Verantwortliche und Geschäftsführende stehen aktuell vor einer großen Herausforderung: die Entwicklung und Etablierung einer echten Sicherheitskultur, die zum eigenen Unternehmen passt.

In einer Zeit, in der Cyberangriffe immer ausgefeilter werden und die Angriffsfläche durch hybride Arbeitsmodelle stetig wächst, reicht es nicht mehr aus, IT-Security als reines IT-Thema zu betrachten. Cyber-Sicherheit muss Teil der gesamten Unternehmenskultur werden – und das ist leichter gesagt als getan.

Anzeige

Security Culture braucht Anleitung

Security Culture beschreibt die gemeinsamen Werte, Einstellungen und Verhaltensweisen innerhalb einer Organisation in Bezug auf Informationssicherheit. Sie beeinflusst, wie Mitarbeitende mit Risiken umgehen, wie sie Sicherheitsrichtlinien wahrnehmen und ob sie diese tatsächlich befolgen.

Eine echte Sicherheitskultur lässt sich aber nicht einfach „verordnen“. Da IT-Sicherheit in der Verantwortung jedes einzelnen Mitarbeiters liegt, müssen Sicherheitsverantwortliche selbst zu Vorreitern der Unternehmenskultur werden: Sie müssen die Werte vertreten, mit gutem Beispiel vorangehen und das gesamte Unternehmen dabei unterstützen, IT-Sicherheit zu einem festen Bestandteil des Arbeitsalltags zu machen.

Eine gemeinsame Verantwortung, keine isolierte Aufgabe 

Cybersicherheit ist nicht mehr allein Aufgabe der IT- oder Sicherheitsabteilung. Sie ist heute eine gemeinsame Verantwortung, die sich auf alle Mitarbeiter in allen Funktionen erstreckt. Sicherheitsverantwortliche müssen eine Arbeitskultur schaffen, in der der Schutz von Daten und Systemen Teil der Aufgabenbeschreibung jedes Einzelnen ist. Um Sicherheit im gesamten Unternehmen zu verankern, müssen die täglichen Abläufe beeinflusst, neue Mitarbeiter eingearbeitet, die Kommunikation gestaltet und enge Partnerschaften mit Führungskräften, Teamleitern und Mitarbeitern auf allen Ebenen aufgebaut werden.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Spannungsfeld Vertrauen vs. Kontrolle

Jede Organisation hat ihre eigene Unternehmenskultur. Nur wenn IT-Entscheider diese kennen und verstehen, können sie Maßnahmen so gestalten, dass sie auf Akzeptanz in den anderen Abteilungen stoßen. Sicherheitsrichtlinien, die im Widerspruch zur gelebten Kultur stehen, werden oft ignoriert oder umgangen.

Gerade in innovationsfreudigen Unternehmen wirken neue Sicherheitsmaßnahmen oft wie ein Vertrauensentzug. Mitarbeitende fühlen sich in ihrer Freiheit eingeschränkt und die Kreativität wird ausgebremst. Hier stehen IT-Verantwortliche vor der Herausforderung, eine Balance zu finden: Policies und Kontrollen sind notwendig, dürfen aber nicht das Gefühl von Misstrauen verbreiten. Vielmehr sollten sie als Rahmen verstanden werden, der Innovation und Sicherheit gleichermaßen ermöglicht. 

Sicherheitsvorgaben sind keine Allheilmittel

Oft glauben IT-Entscheider, dass eine neue Security Policy die ultimative Lösung ist. Doch das bloße Aufschreiben von „Du darfst nicht…“ führt nicht zu einer nachhaltigen Sicherheitsstruktur. Mitarbeitende müssen verstehen, warum bestimmte Maßnahmen notwendig sind. Und auch die Art und Weise, wie über Sicherheit gesprochen wird, muss zur Kultur passen. In offenen, kollaborativen Unternehmen sind zum Beispiel interaktive Trainings und Workshops oft effektiver als starre E-Learnings.

Das Verständnis der Unternehmenskultur hilft darüber hinaus, spezifische Risiken zu erkennen, die aus typischen Verhaltensweisen entstehen. So können gezielte Maßnahmen entwickelt werden. Denn moderne Resilienz bedeutet nicht nur, Ransomware zu überstehen, sondern Störungen von KI-getriebenen Bedrohungen über Infrastruktur-Ausfälle bis hin zu menschlichen Fehlern vorauszudenken.

Technologie und Sicherheitskultur müssen Hand in Hand gehen 

Selbst die beste Technologie reicht nicht aus, wenn keine Kultur der gemeinsamen Verantwortung und Wachsamkeit vorhanden ist. Unternehmen investieren in mehrschichtige Abwehrsysteme und fortschrittliche Technologien. Gleichzeitig müssen Sicherheitsverantwortliche aber einen Arbeitsplatz schaffen, an dem jeder Mitarbeiter befähigt und motiviert ist, im Interesse der Sicherheit zu handeln. Zero Trust ist ein gutes Beispiel für diesen Ansatz, da dabei jede Anfrage überprüft, das Prinzip der geringsten Rechte durchgesetzt und eine kontinuierliche Überwachung durchgeführt wird – sogar innerhalb des Perimeters. 

Das ultimative Ziel ist die Einsatzbereitschaft und die Förderung einer Kultur, in der Mitarbeiter Sicherheit als eine kollektive Stärke betrachten, die alle schützt. Jeder soll Bedrohungen frühzeitig erkennen und wissen, wie zu reagieren ist. Gut ausgebildete Mitarbeiter, die mit den richtigen Tools ausgestattet und zum Handeln befähigt sind, sind die stärkste Verteidigung, über die CISOs verfügen. 

Fazit

Security Culture ist kein Produkt, das man kaufen oder per Dekret einführen kann. Sie entsteht durch das Zusammenspiel von Technologie, Prozessen und vor allem Menschen. Wer als Security Leader erfolgreich sein will, muss die eigene Unternehmenskultur verstehen, mit gutem Beispiel vorangehen und Security als integralen Bestandteil dieser Kultur in Kooperation mit den Mitarbeitenden etablieren. Wenn sich Kultur und IT-Sicherheit gegenseitig verstärken, reduzieren Unternehmen nicht nur Risiken, sondern schaffen auch Vertrauen, Widerstandsfähigkeit und langfristiges Geschäftswachstum.


Toeroek

Attila

Török

CISO

GoTo

Anzeige

Artikel zu diesem Thema

Cybersecurity
10. Januar 2026
Cybersecurity-Entwicklungen 2026

Weitere Artikel

NIS2: Governance als Schwachstelle
Wenn Angreifer längst im Netzwerk sind: Warum Cyberresilienz heute anders gedacht werden muss
Droht 2026 die E-Mail-Krise? 
Ein Jahr DORA – Die Schonfrist ist vorbei
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.