An dieser Stelle möchte ich das Pferd einmal von hinten aufzäumen. Stellen Sie sich folgende Situation vor: Sie wurden von Ihrer Geschäftsleitung beauftragt, in Ihrem Unternehmen eine „Awareness“-, also Sensibilisierungs- und Aufklärungs-Kampagne zum Thema Cyber-Security durchzuführen. Welche Maßnahmen Sie in diesem Rahmen durchgeführt haben, vernachlässigen wir an dieser Stelle einmal.
Im letzten Jahr konnten Sie erreichen, dass Ihre Kolleginnen und Kollegen ein viel höheres Maß an Sicherheit im Umgang mit verdächtigen E-Mails an den Tag legen. Die eigens für diesen Zweck eingerichtete Hotline wird regelmäßig genutzt, um sich im Verdachtsfall rückzuversichern, ob es sich wohl um eine gefälschte E-Mail mit gefährlichen Anhängen oder schädlichen Links handelt. So weit, so gut. Gestern jedoch hat ein Kollege aus der Controlling-Abteilung eine solche E-Mail nicht erkannt und den E-Mail-Anhang – eine Excel-Datei mit dem Namen „NachtragBudget-2023.xls“ – geöffnet. Und somit leider auch die Büchse der Pandora. Denn kurze Zeit später öffneten sich zahlreiche weitere Excel-Dateien auf seinem Bildschirm, das Programm stürzte ab, danach der Laptop und dieser ließ sich auch nicht wieder starten. Er ruft daraufhin die IT-Abteilung zur Hilfe, diese leitete sofort die für diesen Fall vorgesehenen Schritte ein
Eine Erfolgsgeschichte, sagen Sie? Dann hören Sie, wie es weiterging. Der Kollege, dem es nach diesem Vorfall wirklich schlecht ging, denn er wusste noch nicht, wie groß der angerichtete Schaden sein würde, wurde von der Geschäftsführung zu einem „Termin“ zitiert. Über den Verlauf des Gespräches weiß man nicht viel, nur so viel: er war sehr blass beim Verlassen des Geschäftsführungsbüros, packte seine Tasche, gab wortlos seinen Betriebsausweis bei der Teamassistenz ab und verließ das Gebäude.
Glauben Sie immer noch, dass das eine Erfolgsgeschichte ist? Wohl kaum, denn nach diesem Vorfall wurde nie wieder ein Sicherheitsvorfall freiwillig gemeldet. Die Wirkung der Awareness-Kampagne ist verpufft. Das Risiko ist sogar noch höher als vor der Awareness-Kampagne. Die Fehlerkultur, ein Teil der Unternehmenskultur, ist der Grund dafür.
Wie Unternehmenskultur auf Cyber-Security wirkt
Die Unternehmenskultur beeinflusst, wie Mitarbeiter mit sensiblen Daten und IT-Systemen umgehen. Eine sicherheitsbewusste Unternehmenskultur schafft das Bewusstsein dafür, dass die Sicherheit von Daten und IT-Systemen von großer Bedeutung ist und dass jede Mitarbeiterin und jeder Mitarbeiter eine wichtige Rolle bei deren Schutz spielt.
Unternehmen sollten neben technischen auch andere Maßnahmen ergreifen, um sicherzustellen, dass Mitarbeiterinnen und Mitarbeiter diese verstehen und die Richtlinien und Verfahren zur Cyber-Sicherheit befolgen, die im Unternehmen gelten. Dies kann auch durch regelmäßige Schulungen und Tests erreicht werden.
Um die Unternehmenskultur und die Cyber-Security Awareness miteinander zu verbinden, müssen Unternehmen sicherstellen, dass die Sicherheit in alle Aspekte des Unternehmens integriert ist und dass sie in allen Entscheidungen und Aktivitäten des Unternehmens berücksichtigt wird.
Es ist also wichtig, eine sicherheitsbewusste Unternehmenskultur zu schaffen, die zum Beispiel akzeptiert, dass Menschen Fehler machen. Dann sollte der Umgang mit Fehlern aber auch adressiert werden. Und am allerwichtigsten: in dem die Unternehmensleitung und das Management dies vorlebt und mit gutem Beispiel voran geht.
Wie erkennt man, dass ein Unternehmen eine gute Cyber-Security-Kultur entwickelt hat? Und dass eine Cyber-Security Awareness-Kampagne ihr Ziel erreicht hat?
- Mitarbeiter*innen kennen die Gefahren und Angriffspunkte von Cyberkriminellen
- Mitarbeiter*innen wissen, wie sie im Zweifelsfall oder Ernstfall handeln müssen
- Mitarbeiter*innen sind Verbündete im Kampf gegen Cyber-Kriminalität und sind dabei motiviert und proaktiv in ihrem Sinne und zum Wohle des Unternehmens
