Das Thema Sicherheitskultur wird oft nur oberflächlich und weniger ausführlich behandelt als Sicherheitstools oder -prozesse. Zu Unrecht, denn als „menschliche Firewall“ beeinflusst sie die Sicherheitslage von Unternehmens immens. Doch wie baut man sie auf?
Heutzutage wird wohl jeder unterstreichen, wie wichtig Sicherheit im Unternehmen ist. Aber wenn Programm- oder Teamleitenden darüber sprechen, meinen sie oft Tools, die sie implementieren möchten, oder Prozesse, die sie verbessern wollen. Beide liefern zwar leicht messbare Datenpunkte und KPIs, die genutzt werden können, um das Management davon zu überzeugen, sie einzuführen oder ihre Nutzung zu erweitern. Selten jedoch sind beim Thema Sicherheit die Menschen selbst gemeint, die all dies überhaupt ermöglichen.
Die Kultur und die Widerstandsfähigkeit der Mitarbeitenden gegenüber Angriffen lässt sich nicht so leicht messen wie die Anzahl der von einem SIEM (Security Information and Event Management) gescannten Sicherheitsereignisse oder die Menge des von einer Firewallblockierten Datenverkehrs.
Die meisten Angriffe nutzen jedoch den menschlichen Faktor als Einfallstor. Allein über Soziale Medien werden potenziell gefährliche Informationen im Internet veröffentlicht. Warum sollten Angreifer Wochen damit verschwenden, eine Schwachstelle auszunutzen, um sich Zugang zu einem System zu verschaffen, wenn sie einfach einen Mitarbeitenden nach dem Passwort fragen kann? Daher müssen der menschliche Aspekt der Sicherheit sowie die Auswirkungen der Unternehmenskultur darauf genauer betrachtet werden.
Wie verhalten sich die Mitarbeitenden, wenn sie sich selbst überlassen sind?
Kultur beschreibt die Gesamtheit der Normen, Werte, Einstellungen und Annahmen, die im täglichen Betrieb einer Organisation zum Ausdruck kommen und gelebt werden. Mit anderen Worten: Die Sicherheitskultur ist nicht mehr als die gelebte Unternehmenskultur in Bezug auf die Sicherheit: Legt die Führung ein Verhalten an den Tag, das diese fördert oder eher behindert? Welches Ansehen genießt die IT-Abteilung im Unternehmen und wie wird in der Regel auf Anfragen aus dem IT-Sicherheitsteam reagiert?
Die Verbindung zwischen Kultur und Sicherheit wird deutlich, wenn wir uns die Bedrohung durch Social Engineering ansehen. Solche Angriffe nutzen die gleichen Mechanismen und kulturellen Dynamiken wie andere Aspekte unseres Lebens:
- Hierarchischen Druck
- Zeitdruck
- Versprechen einer Belohnung
- Androhung von Strafe
Organisationen, in denen häufig Dynamiken genutzt werden, die den Werkzeugen eines Angreifers gleichen, sind weniger sicher: Wenn beispielsweise Manager kurzfristig und ohne große Erklärungen um die Fertigstellung von Dateien bitten, wird sich ein Phishing-Angriff nicht merklich von einer legitimen Anfrage unterscheiden. Organisationen, in denen die Mitarbeiter für Sicherheitsbedrohungen sensibilisiert sind und ermutigt werden, sich ihre eigenen Gedanken zu eingehenden Anfragen zu machen und ihre eigenen Schlussfolgerungen zu ziehen, sind widerstandsfähiger.
Was ist zu tun? Aufbau einer starken Sicherheitskultur
Jedes Unternehmen hat eine Sicherheitskultur, die entweder bewusst gestaltet oder im Laufe der Zeit gewachsen ist. Die aktive Gestaltung der Sicherheitskultur ist, wenn sie richtig gemacht wird, lohnend und nachhaltig. Dann ändert sich die Sichtweise des Unternehmens auf das Sicherheitsteam von einer “Nein-Sager-Abteilung” zu einem Befähiger des Geschäfts, der eine Investitionsrendite liefert.
Und auf diese vier Eckpfeiler kommt es an:
1. Verständnis
Vielleicht haben Unternehmen bereits ein gutes Verständnis ihrer Kultur. Vielleicht haben sie bereits eine Bewertung durchgeführt, um ihre Kultur und deren Einfluss auf die Sicherheit zu verstehen. Auf jeden Fall sollten sie damit beginnen, die für ihr Umfeld wichtigen Sicherheitsverhaltensweisen zu definieren. Welches Verhalten sollen Führungskräfte an den Tag legen? Welches Wissen muss von allen Mitarbeitenden verinnerlicht werden? Wie können die Unternehmens-Werte eine starke Sicherheitskultur unterstützen? Sobald das gewünschte Verhalten definiert wurde, sollten die notwendigen Änderungen festgelegt werden, um dieses Ziel zu erreichen, und wie Verbesserungen gemessen werden können. Aus diesen Hinweisen können gezielte Schritte abgeleitet werden, um die gewünschten Verhaltensweisen zu erreichen.
2. Spaß & häufig
Unternehmen sollte überlegen, wie sie das Thema Sicherheit für die Mitarbeitenden interessant machen können. Es sollte ein ansprechendes Thema gewählt, die Inhalte in viele kleine Einheiten aufgeteilt und verschiedene Kanäle genutzt werden. Newsletter, Lunch & Learn-Sitzungen, Poster oder Trivia-Wettbewerbe sprechen unterschiedliche Zielgruppen an und helfen dabei, die Botschaften zu vermitteln.
3. Früh & für alle
Sicherheit wird oft als ein Hindernis oder eine zusätzliche Anforderung von “außen” angesehen, die die Teams nicht bewältigen können. Eine nachhaltige Sicherheitskultur sorgt dafür, dass Sicherheit ein Teil der Arbeit eines jeden ist. Hier ist die Einführung eines sicheren Entwicklungslebenszyklus oder eines Konzepts für Sicherheit durch Design im jeweiligen Entwicklerteam anzuraten. Die Sicherheitsverantwortlichkeiten und -ziele sollten in die Zielsetzung und die Überprüfungszyklen eines Managers aufgenommen werden. Zudem sollte der individuelle Bedarf an Sicherheitsschulungen für jede Rolle überprüft werden: Mitarbeitenden, die am Fließband arbeiten, benötigen andere Inhalte und Methoden als Assistenten der Geschäftsführung. Auf diese Weise wird sichergestellt, dass das Thema Sicherheit frühzeitig in der Produktentwicklung berücksichtigt wird und wichtig bleibt.
4. Framing als Investition, nicht als Kosten
Wenn die Sicherheit erst spät in der Produktentwicklung oder nach einem Security-Vorfall in Betracht gezogen wird, ist es kein Wunder, dass sie als Belastung empfunden wird: Es ist teuer und zeitaufwändig, nachträglich Security in ein bestehendes Produkt oder einen laufenden Prozess einzubauen. Eine nachhaltige Sicherheitskultur konzentriert sich darauf, den ROI der Sicherheit zu vermitteln, anstatt sie als Kostenstelle zu betrachten. Ebenso sollte sich die Kommunikation rund um das Thema Sicherheit mehr auf die Rolle der Mitarbeitenden beim Schutz des Unternehmens und ihres Teams konzentrieren und weniger darauf, diesen mit dem Hinweis auf mögliche Schäden Angst zu machen.
Fazit
Die Nutzung verschiedenster IT-Ressourcen ist aus dem modernen Leben nicht wegzudenken, weder privat noch beruflich. Der erfolgreicher Schutz dieser Ressourcen, einschließlich der Effektivität technischer und prozessualer Kontrollen, hängt maßgeblich von der Umsetzung durch Menschen ab.
Das Verhalten von Mitarbeitenden ist also der entscheidende Faktor in der IT-Sicherheit, wird leider aber wegen fehlender Messbarkeit vernachlässigt: Eine stark ausgeprägte Sicherheitskultur sorgt für eine „menschliche Firewall“, während eine schwache zu Unwissen und Nachlässigkeiten und einer größeren Angriffsfläche für mögliche Angriffe führt.
Der erste Schritt auf dem Weg zu einer bewussten Sicherheitskultur ist eine Bestandsaufnahme der aktuellen Lage, um Lücken in der Umsetzung identifizieren zu können. Die beschriebenen Eckpfeiler zeigen, wie dann eine starke Sicherheitskultur kosteneffektiv eingeführt werden kann.
Über den Autor: Christoph Huber ist Senior Consultant bei der Ginkgo Cybersecurity GmbH. Bereits während seines International-Management-Studiums an der Universität Maastricht beschäftigte er sich mit Unternehmensorganisation, -kultur und Kommunikation. Vor seinem Start bei Ginkgo arbeitete Huber am Themenfeld Human Factor Security in der Cybersecurity-Beratung von EY. Er berät Kunden unterschiedlicher Branchen zu Fragestellungen der IT-Security-Strategie, Governance sowie Awareness.