Illustration: Absmeier Geralt

Die Debatte über die menschliche Rolle im Rahmen der Cybersicherheit von Unternehmen bewegt sich zunehmend weg von der Betrachtung der Mitarbeitenden als schwächstes Glied und hin zur Maximierung ihres Potenzials als wertvolle erste Verteidigungslinie. Eva Pleger, Regional Director DACH bei Immersive Labs, erklärt, wie Unternehmen diesen Perspektivwechsel in der Praxis vollziehen können.

Cybersicherheitsverantwortliche. Bürokaufleute. Ingenieure und Ingenieurinnen. HR-Fachleute. Geschäftsführende. Verkaufsberatende. Was haben sie alle gemeinsam?

Ganz einfach: Sie alle spielen eine wichtige Rolle, wenn es darum geht, die Sicherheit in modernen Unternehmen aufrechtzuerhalten – indem sie potenzielle Phishing-E-Mails melden, sichere Codierungspraktiken befolgen, starke Passwörter verwenden und Multi-Faktor-Authentifizierung implementieren oder nur zugelassene USB-Sticks an Firmenrechner anschließen. Das Verhalten jedes Einzelnen macht einen Unterschied.

Immer wieder sehen sich Mitarbeitende in ihrem Alltag aber auch mit einer hohen Arbeitsbelastung und konkurrierenden Prioritäten konfrontiert. Wie also lässt sich eine Kultur der mitarbeiterzentrierten Cybersicherheit, die diesen Herausforderungen Rechnung trägt und Unternehmen gleichzeitig für die Zukunft absichert, etablieren?

Schritt 1: Eine »gerechte Kultur« schaffen

Die Sicherheitswissenschaft befasst sich mit der Unfall- und Katastrophenprävention in Branchen, in denen Sicherheit extrem wichtig ist. In der Vergangenheit versuchten Sicherheitsexperten und -expertinnen, auf das individuelle Verhalten einzuwirken, um Unfälle zu verhindern. Heute weiß man, dass Unfälle häufig das Resultat komplexer Zusammenhänge sind, die durch viele verschiedene Faktoren beeinflusst werden können – darunter auch die Unternehmenskultur.

Das Konzept der »gerechten Kultur« in Unternehmen legt den Schwerpunkt auf die Vielzahl an Faktoren, die Vorfälle am Arbeitsplatz beeinflussen können, und konzentriert sich darauf, aus ihnen und den Zusammenhängen, die zu ihnen geführt haben, zu lernen, anstatt einfach nur Schuldzuweisungen vorzunehmen. Entscheidend ist nicht die Frage, wer einen Vorfall verursacht hat, sondern warum dieser passiert ist.

Denn was genau bedeutet es eigentlich, wenn Mitarbeitende einer Phishing-E-Mail zum Opfer fallen? Haben sie in einer Schulung nicht aufgepasst oder arbeiten sie womöglich in einem Kontext, in dem sie ständig ähnlich schlecht formulierte, aber dennoch legitime E-Mails erhalten? Haben sie Sicherheitsaspekte absichtlich vernachlässigt oder standen sie unter erheblichem Druck, Fristen einzuhalten oder konkurrierende Prioritäten in Einklang zu bringen?

Mitarbeitende können Fehler machen; worauf es ankommt, ist, wie Unternehmen damit umgehen. Zu ermitteln und sich damit zu befassen, welche Rolle das breitere Unternehmenssystem dabei spielt, ist eines der Kernelemente einer »gerechten Kultur«.

Einzelne Mitarbeitende zu stigmatisieren, wird sie nur davon abhalten, künftig Bedenken oder Vorfälle im Zusammenhang mit der Cybersicherheit zu kommunizieren. Sinnvoller ist es, eine offene und verständnisvolle Kultur zu fördern.

Schritt 2: Verständnis fördern

Es gilt eine positive Sicherheitskultur zu entwickeln, die darauf ausgerichtet ist, aus Vorfällen zu lernen, Problembereiche offen zu diskutieren und zu identifizieren und Vorfälle effizient zu melden, wenn sie auftreten. Das ist unerlässlich, wenn es darum geht, ein Unternehmen wirklich widerstandsfähig zu machen. Weg von Schuldzuweisungen, hin zu einem Verständnis für die Wechselwirkungen zwischen Umfeld, technischen Tools und Mitarbeitenden – einschließlich der Frage, wie man diese am besten dabei unterstützen kann, ihre Hauptaufgaben sicher zu bewältigen.

Das braucht Zeit und lässt sich nicht von heute auf morgen bewerkstelligen. Einen proaktiven Austausch darüber anzustoßen, wo potenzielle Risikobereiche, unabhängig von ihrer Ursache, liegen, ist trotz alledem ein guter erster Schritt. Erst dann können Unternehmen beginnen zu verstehen, was diese Risiken beeinflusst und welche Maßnahmen erforderlich sind – und zwar auf allen Ebenen.

Schritt 3: Mitarbeiterzentrierte Cybersicherheit implementieren

Um potenzielle Risikobereiche eingrenzen und identifizieren zu können, benötigen Unternehmen belastbare Daten. Auch wenn sich diese Risiken am ehesten in »unsicheren« Verhaltensweisen auf individueller Ebene manifestieren, ist es hier ebenso wichtig, dass die Daten als Grundlage für eine breitere positive Diskussion darüber dienen, wo die Ursachen dafür liegen und wie sich am besten gegensteuern lässt.

Durch zielgerichtete, praxisbezogene Trainings und Simulationen in regelmäßigen Abständen können Unternehmen nicht nur Compliance mit Richtlinien und Verfahren nachweisen. Sie erhalten auch Transparenz über die Fähigkeiten ihrer Mitarbeitenden und Teams sowie deren Entscheidungsfindung im Umgang mit Bedrohungen. Sie können deren Fortschritt verfolgen, dokumentieren und mit Branchen-Benchmarks abgleichen und so den Wandel hin zu einer Kultur der mitarbeiterzentrierten Cybersicherheit vorantreiben.

Fazit

Dieser Wandel ist ein schrittweiser Prozess. Indem Unternehmen damit beginnen, Sicherheitsvorfälle als Resultat komplexer Zusammenhänge anstatt des Verschuldens einzelner Mitarbeitenden zu betrachten, Lösungsansätze offen und ehrlich zu diskutieren und einen auf kontinuierliches, organisationsübergreifendes Lernen und Kompetenzaufbau ausgerichteten mitarbeiterzentrierten Cybersicherheitsansatz verfolgen, legen sie den Grundstein für echte Widerstandsfähigkeit gegenüber zukünftigen Bedrohungen.

Eva Pleger, Regional Director DACH bei Immersive Labs. Foto: Privat

»Es gilt eine positive Sicherheitskultur zu entwickeln, die darauf ausgerichtet ist, aus Vorfällen zu lernen, Problembereiche offen zu diskutieren und zu identifizieren und Vorfälle effizient zu melden, wenn sie auftreten.«