Am 12. April 2023 hatten wir Dr. Jessica Barker bei uns zu Gast. Barker beschäftigt sich mit der Frage, wie sich Cybersicherheit in der Führungsebene von Unternehmen verankern lässt. Wir sprachen mit Jessica Barker darüber, wie man eine Cybersicherheitskultur einführt und wie ein Unternehmen darüber die Sicherheit und seinen Sicherheitsstatus verbessern kann. Wie sieht Cybersicherheit aus? Warum ist sie wichtig? Wie erreicht man sie? Zu diesen Fragen lieferte unser Gespräch wichtige Impulse.
Wir sprechen von Cybersicherheitskultur, doch was genau ist mit „Kultur“ überhaupt gemeint? Diese Frage klärten wir als Erstes. Eine Kultur basiert auf Verhaltensweisen und Einstellungen. Sie formt sich über gemeinsame Werte, unsere Wahrnehmungen, Gedanken und Gefühle und die Art und Weise, wie wir über Dinge sprechen. Bei Cybersicherheit bedeutet das: Ein Unternehmen muss Sicherheit als wichtig erachten, verstehen, wie das Thema mit den allgemeinen Geschäftszielen zusammenhängt, und es im gesamten Unternehmen offen kommunizieren.
Eine gesunde Kultur mündet in sinnvolles Handeln: Mitarbeiter entwickeln einen Sinn für Verdächtiges im Arbeitsalltag, das Unternehmen hält Schulungen zum Thema ab, die Achtsamkeit nimmt zu. Alle im Unternehmen müssen zielführende Denkweisen und Einstellungen zur Cybersicherheit entwickeln, die letztlich bewirken, dass das Bewusstsein zu einem Handeln führt.
„In jedem Unternehmen gibt es eine Cybersicherheitskultur, unabhängig davon, ob sich aktiv darum gekümmert wird oder nicht.“ – Dr. Jessica Barker
Eine starke Cybersicherheitskultur steht auf zwei Beinen
Jede Kultur vereint viele Aspekte und wird von vielen Menschen beeinflusst. Wie Jessica Barker betonte, sind jedoch allen Unternehmen mit einer starken Cybersicherheitskultur zwei ganz bestimmte Merkmale gemein:
- Das Verhalten der Führungsriege: Die Cybersicherheitskultur hat ihren Ursprung auf der obersten Ebene des Unternehmens, sprich: Die Führungsriege muss das Verhalten, das sie bei den Mitarbeitern des Unternehmens sehen möchte, auch selbst an den Tag legen, wobei mit „Führungsriege“ alles vom Vorstand bis hin zur Teamleitung gemeint ist. Alle Funktionsträger im Unternehmen mit einem einflussreichen Status sollten Sicherheit zu ihrer Sache machen und anderen in ihrem diesbezüglichen Verhalten ein Vorbild sein. Unternehmen mit einer guten Cybersicherheitskultur kommunizieren transparent, geben Fehler zu und diskutieren mögliche Vorgehensweisen zur Ermittlung falscher Schritte und Lösung von Problemen offen.
- Die richtigen Tools: Um ihr Verhalten zu ändern, brauchen Mitarbeiter geeignete Tools, wie Barker betont. Wie können Benutzer beim Thema Sicherheit durch Tools, Technik und Schulungen unterstützt werden? Ein Ansatz, der die Mitarbeiter sinnvoll unterstützt, weist mehrere Elemente auf: Es gibt einen Passwort-Manager und regelmäßige Schulungen zu Sicherheits-Best-Practices. Neue Mitarbeiter werden beim Onboarding ausführlich zum Thema instruiert, und das Unternehmen erklärt der Belegschaft, warum sein Geschäftserfolg als solcher mit der Sicherheit steht und fällt.
Eine funktionierende Cybersicherheitskultur einführen
Eine Kultur zu etablieren oder zu ändern, das passiert nicht von jetzt auf gleich. Es sind eher viele kleinere Einzelmaßnahmen, die hier laut Jessica Barker Wirkung entfalten:- An die Unternehmenskultur anknüpfen: Zur Schaffung einer fruchtbaren Cybersicherheitskultur müssen Unternehmen das Rad gar nicht neu erfinden, sondern lediglich die Bedeutung der Sicherheit herausstreichen, und zwar auf der Basis dessen, was das Unternehmen ausmacht und sein Geschäft voranbringt. Was ist die Mission Ihres Unternehmens? Auf welchen Fundamenten ruht es, welche Werte vertritt es? Heißt beispielsweise einer Ihrer Leitwerte „guter Kundenservice ist das Allerwichtigste“, dann können Sie die Relevanz von Cybersicherheit daran aufzeigen: Für eine positive Kundenerfahrung sind die Sicherheit von Kundendaten und der Datenschutz ganz zentral.
- Die Mitarbeiter fragen: In Umfragen, Evaluierungen und Fokusgruppen können Sie die Einstellung Ihrer Mitarbeiter zum Thema Cybersicherheit herausfinden. Wo sehen sie Lücken? Was würde ihnen das Leben in diesem Punkt erleichtern? Können sie sagen, warum Cybersicherheit ein Thema für sie ist oder inwiefern ihre eigene Rolle im Unternehmen davon betroffen ist?
- „Sicherheits-Guides“ bestimmen: Für Mitarbeiter kann es einfacher sein, mit Ihresgleichen zu sprechen als mit den Vorgesetzten oder mit der Sicherheitsabteilung, die die Regeln aufstellt. Wie Jessica Barker betonte, vermeiden es viele Mitarbeiter, sich an die IT oder die Zuständigen für Sicherheit zu wenden. Sie fürchten, „dumme“ Fragen zu stellen, deren Antwort sie vielleicht kennen müssten. Oder sie wissen generell nicht, wen sie in puncto Sicherheit ansprechen sollen. Barkers Tipp: Unternehmen sollen in jeder Abteilung einen Guide benennen, eine zuständige Person, die Mitarbeiter in allen Sicherheitsfragen ansprechen können. Dieser Guide kann Auskunftssuchenden entweder direkt weiterhelfen oder Anliegen und Fragen an die richtigen Stellen im Sicherheitsteam weiterleiten.
- Tag der offenen Tür in der Sicherheitsabteilung: Laden Sie Mitarbeiter ein, die Sicherheitsabteilung kennenzulernen. Sie können dort erfahren, mit welchen Tools die Techniker arbeiten, auf welche Probleme sie stoßen und wie die Arbeit der Abteilung mit anderen Elementen des Geschäftsbetriebs verflochten ist. Dieser Einblick in den Arbeitsalltag bringt Mitarbeitern das Thema Sicherheit näher und lässt es anschaulicher werden.
- Informieren Sie sich eingehend: Unser E-Book „Von der Cyber-Resistenz zur Cyber-Resilienz“ erklärt ausführlich, welche Fragen, Maßnahmen und KPI für den Aufbau einer starken Cybersicherheitskultur maßgeblich sind.
