Vojtech Herout - stock.adobe.com

Den Menschen ins Zentrum der Sicherheitskultur stellen

Eine ausgeprägte Sicherheitskultur ist eine wichtige Säule für die IT Security. Je stärker die Kultur ist, desto eher verhalten sich die Mitarbeiter im Alltag auch sicher.

In den letzten 20 Jahren haben sich IT-Sicherheitsfachleute daran gewöhnt IT zu nutzen, um die IT zu schützen. Bei der Absicherung von Menschen durch IT haben sie jedoch schlechte Arbeit geleistet. Angesichts der Tatsache, dass der Mensch der Hauptangriffsvektor ist, gibt es einen klaren Grund für die Lösung dieses Problems, und das fängt damit an, der veralteten Cybersicherheitskultur neues Leben einzuhauchen.

Die richtige Einstellung zum Faktor Mensch ist der Schlüssel zum Aufbau einer widerstandsfähigen, starken Cybersicherheitsstruktur. Es sollte nicht überraschen, dass routinemäßiges menschliches Versagen ein wichtiger Faktor für Sicherheitsverletzungen ist, der selbst die widerstandsfähigsten Cybersicherheitsmaßnahmen am Arbeitsplatz untergraben kann.

In unserer sich schnell entwickelnden, hybriden Welt, in der 80 Prozent der Sicherheitsverletzungen auf menschliches Versagen zurückzuführen sind, gibt es keinen besseren Grund für ein völliges Überdenken und Zurücksetzen der Art und Weise, wie wir einen Wandel in der Cybersicherheit herbeiführen und eine starke Cybersicherheitskultur am Arbeitsplatz fördern.

Je stärker die Sicherheitskultur ist, desto wahrscheinlicher ist es, dass die Mitarbeiter sich sicher verhalten und sichere Verhaltensweisen an den Tag legen. Wenn IT-Sicherheitsfachleute also wollen, dass ihre Mitarbeiter ein sicheres Verhalten an den Tag legen, müssen sie die Voraussetzungen dafür schaffen, dass sich dieses Verhalten entfalten kann.

Die Sicherheitskultur verstehen und aufbauen

Kultur entsteht und wird geprägt durch das, was die Menschen denken. Im Kern geht es um die gemeinsamen Einstellungen, Wahrnehmungen und Überzeugungen der Menschen. Eine Cybersicherheitskultur wird durch diese Schlüsselprinzipien untermauert. Die Triebkräfte dieser positiven Cybersicherheitskultur sind einige der Dinge, die wir als Menschen am meisten schätzen.

Wenn die Sicherheitsabteilung in einem Unternehmen zu autoritär, unnahbar oder nicht in der Lage sind, mit den Mitarbeitern auf eine positive Art und Weise umzugehen, dann werden die Menschen die Lektionen, die sie ihnen beibringen wollen, einfach nicht mögen. Menschen werden häufig als das schwächste Glied in der Cybersicherheitskette kritisiert, aber wenn man den Leuten sagt, dass sie alles falsch machen, kommt man nicht weiter. Sicherheitsverantwortliche müssen eine Cyberkultur aufbauen, die alle Mitarbeiter auf allen Ebenen erreicht.

Selbst die besten Managementprogramme scheitern, wenn sie nicht durch eine starke und positive Kultur unterstützt werden. Allzu oft ist eine negative Kultur die eigentliche Ursache für das Scheitern von Programmen zum Schwachstellenmanagement.

Auch SecOps scheitern, wenn die Teams aneinandergeraten und die Arbeitskultur nicht positiv und kooperativ genug ist, um großartige Ergebnisse zu fördern. Der Punkt ist, dass jedes noch so wichtige Sicherheitsziel zum Scheitern verurteilt ist, wenn die Belegschaft glaubt, dass es eine toxische Sicherheitskultur gibt. Begriffe, die bei der Beschreibung dieser Art von schlechter Kultur allzu oft auftauchen, sind strafend, vage und angstfokussiert. Es ist eine Sache, eine Idee zu haben, aber eine Kommunikationsstrategie zu haben, um diese Vision zu teilen und umzusetzen, erfordert eine ganz andere Fähigkeit.

Die goldenen Regeln für eine Sicherheitskultur

Die Kultur beginnt mit dem Sicherheitsteam. Wenn die Mitarbeiter die Richtlinien als leicht zu befolgen und kollaborativ empfinden, wurde einiges richtig gemacht.

Die Selbsterkenntnis spielt dabei eine wichtige Rolle, und Sicherheitsteams müssen in der Lage sein, sich selbst einen Spiegel vorzuhalten und sich zu fragen: „Würde ich das, was ich hier sehe, akzeptieren?“ Diese Maßnahme erfordert ein Verständnis dafür, was die Leute über das Sicherheitsteam denken. Es mag zwar entmutigend erscheinen, die Mitarbeiter zu fragen, was sie über ihr Cybersicherheitsteam denken, aber es gibt keinen besseren Weg, um einen Gesundheitscheck der Cyberkultur zu erhalten und zu verstehen, was schnell verbessert werden muss. Für den Anfang können sich Sicherheitsverantwortliche auf diese wichtigen Leistungsindikatoren konzentrieren.

Folgende Fragen sollten gestellt werden:

  • Fühlen sich die Mitarbeiter sicher, wenn sie Vorfälle melden? Auch solche, für die sie vielleicht selbst verantwortlich waren? 
  • Erhält das Sicherheitsteam regelmäßige Mitteilungen von der Belegschaft, zum Beispiel Anfragen für Unterweisungen?
  • Kommt die Botschaft an? Wenn nicht, warum? Ist sie zu technisch, zu vage oder zu ungewohnt?

Emotionen spielen eine große Rolle. Es ist von entscheidender Bedeutung, einen offenen Diskurs zu ermöglichen, bei dem die Mitarbeiter das Gefühl haben, dass sie ihre Gedanken und Gefühle zu allem, vom Sicherheitsteam bis hin zu Richtlinien und Schulungsmöglichkeiten, frei äußern können.

Die Belegschaft positiv motivieren

Der Erfolg liegt in der Motivation der Mitarbeiter und der Schaffung von Sicherheit. Das erreicht man nicht durch technische Zauberei, sondern indem man die Menschen versteht. Der Blick auf eine einfache Verhaltensarchitektur genügt, um herauszufinden, ob ihre Mitarbeiter das tun, was sie von ihnen erwarten, ohne dass sie es überhaupt bemerken.

Lance Spitzner, SANS Institute

„Selbst die besten Managementprogramme scheitern, wenn sie nicht durch eine starke und positive Kultur unterstützt werden. Allzu oft ist eine negative Kultur die eigentliche Ursache für das Scheitern von Programmen zum Schwachstellenmanagement.“

Lance Spitzner, SANS Institute

Im Bereich der Cybersicherheit ist die Liste der Verbote unendlich lang, so dass es unmöglich ist, den Leuten alles zu sagen, was sie nicht tun sollten. Stattdessen sollten Sicherheitsverantwortliche es allen leicht machen und den Mitarbeitern fünf Dinge beizubringen, anstatt ihnen 20 Dinge zu verbieten.

Alles immer einfach halten

Anweisungen zur Cybersicherheit müssen einfach gehalten werden. Wenn beispielsweise ein neuer Passwortmanager eingeführt wird, kann man nicht darauf vertrauen, dass die Fachsprache verstanden wird und dass die gut gemeinten Erklärungen ankommen. Das ist ein klares Nein. Warum sind IT-Sicherheitsfachleute nicht die Guten und erzählen den Leuten, wie viel Zeit sie mit dieser neuen Lösung sparen und wie viel einfacher der Arbeitstag wird, wenn sie ein paar einfache Anweisungen befolgen? Wenn das Schreiben für ein Massenpublikum nicht die Stärke ist, kein Problem.

IT-Sicherheitsfachleute sollten sich die Zeit nehmen, sich mit der Personalabteilung oder den internen Kommunikationsteams in Verbindung zu setzen, um Hilfe bei der Vermittlung ihrer Vision in nichttechnischer Sprache zu erhalten. Um effektiv zu sein, sollten diese immer aus der Sicht der Menschen und nicht aus ihrer Sicht schreiben. Kommunikation muss hierbei nicht langweilig und unternehmensbezogen sein. Die Anweisungen lassen sich auch in einer Art Comic verpacken, was wesentlich mehr Menschen erreicht.

Fazit

Heute geht es bei der Führung im Bereich der Cybersicherheit nicht mehr nur um IT-Technologie. Es geht letztlich um organisatorische Veränderungen - nicht nur darum, wie die Menschen über Cybersicherheit denken, sondern auch darum, welche Prioritäten sie setzen und wie sie handeln - vom Vorstand bis zu jeder anderen Ebene des Unternehmens.

Der Aufbau, die Verwaltung und die Messung einer starken Cybersicherheitskultur durch die Nutzung der neuesten Erkenntnisse aus der Praxis und der Modelle für organisatorische Veränderungen ist heute eine zentrale Geschäftspriorität. Für einen Sicherheitsexperten ist es wichtig, seine Rolle als Personalmanager zu sehen, der die Mitarbeiter dabei unterstützt, ihr Verhalten zu ändern, um so die Unternehmensziele zu erreichen. Letztendlich ist das Management menschlicher Risiken der Grund, warum wir uns alle mit Sicherheit beschäftigen.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management