Thought Leadership
Vorhersagen sind ein schwieriges Unterfangen, gerade in der zuweilen chaotisch anmutenden Welt der Cybersicherheit. Die Bedrohungslandschaft weitet sich aus. Offensive und defensive Technologien entwickeln sich weiter, und auch nationalstaatlich initiierte Angriffe werden nicht nur mehr, sondern auch raffinierter.
Dieser Beitrag beschäftigt sich damit, wie Firmen eine Sicherheitskultur als unternehmerischen Ansatz etablieren und stärken können.
Was versteht man unter Sicherheitskultur? Sie ist eine Facette der übergreifenden Unternehmenskultur. Im engeren Sinne soll sie die Mitarbeitenden bei ihren Entscheidungen und täglich anfallenden Aufgaben unterstützen, und das in Einklang mit den aktuellen Sicherheitsrichtlinien des Unternehmens. Wer bewährte Sicherheitspraktiken einhält, der minimiert Cyberrisiken und sorgt dafür, dass auch strengste Vorschriften besser befolgt werden. Etwas vereinfacht dargestellt ist eine gelebte Sicherheitskultur eine gesunde Mischung aus Verstand und Durchhaltevermögen.
Was spricht für eine nachhaltige Sicherheitskultur?
Was braucht die Unternehmenskultur am meisten? Pflege und täglichen Input. Sicherheit ist zu einem kritischen Problem geworden. Infolgedessen fördern Unternehmer eine sicherheitsbewusste Kultur, und sie investieren auch an dieser Stelle. Im Grunde ist es selbsterklärend: eine Sicherheitskultur zu etablieren ist kein einmaliger Vorgang. Wenn Unternehmen sie jedoch nachhaltig anlegen, dann wird Sicherheit zu einem Lebenszyklusprojekt und generiert als solches einen dauerhaften Nutzen in Sachen Sicherheit.
Was aber macht eine nachhaltige Sicherheitskultur aus? Sie muss bewusst etabliert werden, ausreichend interessant sein, sie sollte sogar Spaß machen. Sie sollte sich für alle Beteiligten lohnen und eine entsprechende Rendite bieten. Vor allem aber muss eine nachhaltige Sicherheitskultur persistent sein. Es handelt sich nie um eine einmalige Investition. Die Bestandteile einer funktionierenden Sicherheitskultur sind vielmehr in jede Handlung eingebettet.
Was aber kann ein Unternehmen konkret tun, wenn es seine Sicherheitskultur verbessern will? Hier kommen einige Tipps.
1. Sicherheit muss zugänglich sein
Sicherheitsbeschränkungen und Qualifikationsdefizite sind zwei der größten Probleme. Es ist ein weit verbreiteter, aber irreführender Glaube, dass sich nur die Mitglieder der obersten Führungsebene um Sicherheit kümmern müssen. Stattdessen sollte sich wirklich jeder mit den Sicherheitslösungen und der Sicherheitskultur seines Unternehmens vertraut machen.
Das ist schwierig, aber nicht unmöglich. Sicherheit sollte auf der jeweils höchsten Ebene eines Bereichs beziehungsweise einer Abteilung verankert werden. Aktualisieren Sie Software und Unternehmensrichtlinien gleichermaßen, und sorgen Sie dafür, dass Sicherheit eine nicht verhandelbare Vereinbarung ist und bleibt. Diejenigen, die CISO und CSO in ihrem Titel tragen, sind also beileibe nicht die einzigen, die einen ungehinderten Zugang zur Sicherheitskultur des Unternehmens haben sollten. Beides, der Zugang und die Verantwortlichkeiten liegen bei C-Level-Führungskräften bis hinunter zu jedem einzelnen Manager.
2. Mitarbeiter schulen
Mitarbeiter neigen dazu Schulungen zur Cybersicherheit als arbeitsintensiv zu erleben. Das sind sie aber nur auf den ersten Blick. Die gute Nachricht ist, dass es inzwischen eine Vielzahl unterschiedlicher Schulungskonzepte und -methoden gibt. Ein Weg, um eine sicherheitsorientierte Kultur zu fördern sind Rollenspiele. Lassen Sie Ihre Mitarbeiter sicherheitsbezogene Fälle durchsehen und entscheiden, wie sie bestimmte Probleme gemäß den Sicherheitsrichtlinien des Unternehmens lösen würden. Dieser Ansatz ist praktikabel, nahe an der Unternehmensrealität und den Sicherheitsrichtlinien der Firma, und er ist deutlich unterhaltsamer als PowerPoint-Präsentationen.
3. Unterstützung durch Führungskräfte sichern
Für das Umsetzen einer nachhaltigen Cyberkultur ist es sinnvoll die Führungskräfte als Unterstützung im Rücken zu haben. Dies trägt letztendlich dazu bei, die Rentabilität zu steigern. Versuchen Sie außerdem, nur realistische Erwartungen zu setzen.
4. Sämtliche Vorfälle melden
Kommunikation ist der Schlüssel zum Erfolg. Ein Unternehmen ist mehr als eine Gemeinschaft von Mitarbeitern. Das Management sollte jeden ermutigen, nicht nur potentiell schwerwiegende Vorfälle zu melden, sondern auch scheinbar geringfügige, verdächtige Aktivitäten, die während des Tages aufgetreten sind. Holen Sie Ihre Mitarbeiter beim Erstellen der Berichte mit ins Boot. Auch das fördert das Bewusstsein für Cybersicherheit und senkt hoffentlich die Wahrscheinlichkeit schwerwiegender Vorfälle. Der Aufbau einer starken Sicherheitskultur ist durchaus arbeitsintensiv. Aber „in der Ruhe liegt die Kraft“. Dies bedeutet, dass Sie kontinuierlich ein Bewusstsein für Cybersicherheit fördern müssen. Gehen Sie bei der Informationssicherheit mit dem gleichen Engagement und der gleichen Verantwortlichkeit vor wie bei finanziellen Risiken und anderen Unwägbarkeiten für das Unternehmen.
Fazit
Eine effektive Sicherheitskultur beeinflusst die gesamte Herangehensweise eines Unternehmens an das Thema Cybersicherheit positiv. Änderungen brauchen Zeit. Erwarten Sie von Ihren Mitarbeitern nicht, „Pentest-Ninjas“ oder die Art von Experten zu werden, die auch im Schlaf noch sicheren Code schreiben. Aber mit dem richtigen Vorgehen und der richtigen Einstellung werden Sie mit ihrer Sicherheitskultur dort ankommen, wo Sie hin wollen.
Vikash Kumar Chaudhary ist Manager bei Tatvasoft.com, einem Unternehmen für Software- und Webentwicklung, und er beschäftigt sich mit Themen rund um die Cybersicherheitskultur von Unternehmen.
