Maksim Kabakou - stock.adobe.com

Was bedeuten Sicherheitskultur und Sicherheitsbewusstsein?

Die englischen Begriffe Security Culture und Security Awareness werden häufig im selben Atemzug genutzt, doch ist dies richtig und kann eines ohne das andere funktionieren?

Um gegen Cyberkriminelle gerüstet zu sein, ist der geschulte Mitarbeiter ein effektiver Schutzwall (siehe auch Kostenloser E-Guide: Eine menschliche Firewall bilden). Doch fällt dieser auf eine Täuschung rein, ist das Netzwerk in Gefahr. Darum ist die Implementierung einer Sicherheitskultur und die Schulung des Sicherheitsbewusstseins von immenser Bedeutung. Beide Prozesse gehen Hand in Hand.

Betrachtet man die beiden Begriffe für sich, so gilt es zunächst zu klären, was die wichtigsten Aspekte jeden einzelnen sind. Security Awareness ist eines der Werkzeuge, die notwendig sind, um Menschen dazu zu bewegen, zu einer gesunden Sicherheitskultur beizutragen.

Das übergeordnete Ziel einer Organisation sollte eine Sicherheitskultur sein, in der die Mitarbeiter reflektiert zum Wohlergehen des Unternehmens, seiner Mitarbeiter und seiner Kunden beitragen. Dies beinhaltet, ist aber nicht beschränkt auf den Schutz von Daten, Standorten und anderen Ressourcen. Ebenso wie die Wahrung des Rufs des Unternehmens und der Kunden. Grundlegend gilt, dass Security Awareness ein Werkzeug in Richtung sicheren Verhalten darstellt.

Sicherheitskultur ist eine Denkweise, wie man sicheres Verhalten in eine Organisation und deren Unternehmenskultur einbindet. Wo die Security Culture ein Kapitel im Buch der Geschäftskultur sein sollte, sollte Sicherheitsbewusstsein ein Absatz im Buch der Sicherheitskultur sein.

Es wird bereits an dieser Metapher klar, dass sowohl Sicherheitskultur als auch -bewusstsein wie Zahnräder ineinandergreifen, jedoch trotzdem als zwei Glieder einer Einheit betrachtet werden sollten. In den letzten Jahren hat sich das Verständnis beziehungsweise die Akzeptanz für Sicherheitskultur in der Breite gestärkt.

Jedoch ist eines der heutigen Probleme, dass es keine vollständig weltweit akzeptierte Definition gibt. Jeder hat seine eigene Auffassung. Während der eine sie eher im psychologischen Bereich sieht, identifiziert ein anderer sie mit knallharter Cybersicherheit. Die Spannweite ist immens. Ohne eine richtig definierte und akzeptierte Definition ist es sehr schwer, die Arbeit an diesem Thema voranzutreiben. Das Bewusstsein als primärer Indikator und Einflussfaktor für Cybersicherheit ist hingegen sicherlich gewachsen. Die Unternehmen nehmen es an und suchen nach Anleitungen, wie sie eine entsprechende Kultur aufbauen und in die allgemeine Unternehmenskultur einbinden können.

Beide Themen müssen nicht lediglich von den Organisationen selbst akzeptiert werden. Damit das Verständnis wirklich wächst, muss es seinen Platz als Sicherheitsmetrik in gängigen Frameworks finden. Es gibt bereits eine Reihe von Start-ups, die an Produkten arbeiten, welche Security Culture enthalten. Entweder als Werkzeuge, um sie zu stärken, oder um sie zu messen und zu monitoren. Solche Tools helfen, um das Verständnis für Security Culture weiter zu fördern.

Kann das eine ohne das andere funktionieren?

Diese Frage kann mit „ja“ beantwortet werden. Aber um die Wirkung von Security Awareness zu maximieren, ist es hilfreich, wenn die gesamte Organisation das Thema in einer Weise aufgreift, die es zur Chefsache macht. An dieser Stelle kommt die Sicherheitskultur ins Spiel. Sie ermöglicht es, die Auswirkungen von Security Awareness einfach zu überwachen. Das macht sie zu einem effektiven KPI-Tool, nach dem das Management handeln kann.

Jelle Wieringa, KnowBe4

„Die Strategie (Sicherheitskultur) kommt vor der Taktik (Sicherheitsbewusstsein) und vor dem Betrieb.“

Jelle Wieringa, KnowBe4

Für einen maximalen Effekt müssen beide Maßnahmen zur selben Zeit durchgeführt werden. Die Realität für die meisten Organisationen ist, dass sie mit Security Awareness begonnen haben. Dann hatten sie Schwierigkeiten, dies in der richtigen Art und Weise zu implementieren. Während sie nach Antworten auf diese Herausforderung suchen, stolpern sie über die Sicherheitskultur und beginnen, sie schrittweise anzuwenden.

Idealerweise sollte man von oben nach unten beginnen. Die Strategie (Sicherheitskultur) kommt vor der Taktik (Sicherheitsbewusstsein) und vor dem Betrieb. Indem definiert ist, was und warum etwas erreicht werden soll, kann die gesamte Organisation effizienter sein. Auf diese Weise verstehen die Mitarbeiter, was von ihnen erwartet wird. Zudem werden Missverständnisse oder falsche Vorstellungen vermieden.

Nachhaltigkeit ist von entscheidender Bedeutung

Indem beide Prozesse in eine größere Cybersicherheitsstrategie eingebunden werden, kann Nachhaltigkeit bezweckt und die Schritte, die zur Implementierung von beidem nötig sind, klar definiert und auf die restlichen Sicherheitselemente der Organisation abgestimmt werden.

Sicherheitsbewusstsein und -kultur greifen wie Zahnräder ineinander, können jedoch auch einzeln umgesetzt werden. Während sich das eine auf die Absicht konzentriert (Kultur), bietet das andere ein Werkzeug (Bewusstsein) an, um sie aufzubauen und zu erhalten. Es ist ratsam, eine gesamte Strategie von Beginn an zu verfolgen und diese Stückweise umzusetzen. Schlussendlich kann so ein effektiver Schutzwall gegen Cyberkriminalität aufgebaut werden.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über IT-Sicherheits-Management