Mit <kes>+ lesen

Sicherheitskultur, das unbekannte Wesen?

Von Sicherheitskultur sprechen viele – manche haben sie schon, andere wollen sie noch. Aber sprechen alle von derselben Sache? Wozu soll sie eigentlich gut sein und wie kann der Weg zum Ziel aussehen? Die hat dazu verschiedene Experten befragt.

Allgemein
Lesezeit 14 Min.
Sicherheitskultur
Sicherheitskultur

Der Begriff „Sicherheitskultur“ wurde laut Wikipedia erstmals 1986 im Zusammenhang mit der Reaktorkatastrophe von Tschernobyl verwendet, zu der in erheblichem Maße organisatorische Mängel als Unfallursache beigetragen hatten. Auch in anderen Bereichen habe erst eine Vielzahl schwerer industrieller Unfälle die enorme Bedeutung der Einflussgröße „Sicherheitskultur“ erkennen lassen. Die Definition im Onlinenachschlagewerk greift auf Aussagen der 1990er-Jahre zurück und liest sich eher wie eine Annäherung an das Thema: „Sicherheitskultur ist ein Verhaltensmerkmal einer Gruppe oder Organisation, wie mit Fragen zur Sicherheit umgegangen wird. Es unterliegt einem komplexen Lernprozess, in dem sich gemeinsame Ziele, Interessen, Normen, Werte und Verhaltensmuster herausbilden.“

Begriffsbestimmung

In Sachen Informations-Sicherheit erweist sich die deutsche Fassung der Netzenzyklopädie derzeit noch als gänzlich „kulturlos“ – die englische Version führt einen kurzen Abschnitt, der eingangs zur Defi nition auf Gedanken des „Security Culture Framework“ (https://securitycultureframework.net) zurückgreift: „Describing more than simply how security aware employees are, information security culture is the ideas, customs, and social behaviours of an organization that impact information security in both positive and negative ways.“

Die von der angeschriebenen Experten haben auf die Frage, was sie denn im Zusammenhang mit Informations-Sicherheit genau unter einer „Sicherheitskultur“ verstehen, recht unterschiedlich geantwortet (Hervorhebungen durch die Red.). Dietmar Pokoyski, Geschäftsführer von known sense, erläutert: „In der Fachliteratur existieren unterschiedliche Definitionen, denen gemein ist, dass hierunter die Gesamtheit der Überzeugungen und Werte von Individuen und Organisationen verstanden wird, bei denen eine Übereinkunft herrscht, welche Ereignisse Risiken darstellen beziehungsweise wie diesen Risiken strategisch begegnet wird. Sicherheitskultur ist also systemisch und unterliegt einem komplexen Erfahrungsprozess, in dem sich gemeinsame Ziele, Interessen, Einstellungen, Überzeugungen, Normen, Werte, Wahrnehmungen und Verhaltensmuster herausbilden. Sie umfasst unter anderem aber auch Security-Awareness beziehungsweise Brand-Management und ist als ein Teil der Unternehmenskultur zu verstehen, an der spürbar wird, wie Beschäftigte mit Security-Herausforderungen umgehen und Führung und Sicherheitsprotagonisten infolge systemischer und kommunikativer Modellierung Einfluss nehmen.“ Damit beschreibe Sicherheitskultur letztlich auch, wie die Sicherheit am Arbeitsplatz organisiert ist.

Auch Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4, sieht in der Sicherheitskultur einen Teilbestandteil der größeren Organisationskultur: „Sie ist die Kodifizierung der sicherheitsbezogenen Verhaltensweisen, Überzeugungen und Werte des Unternehmens. Es ist wichtig zu beachten, dass die Sicherheitskultur sehr wahrscheinlich von Abteilung zu Abteilung, von Region zu Region und sogar während des Auf- und Abstiegs in der Organisationshierarchie unterschiedlich aussehen wird.“

Agnes Graf, Geschäftsführerin von AMPEG, beschreibt den Begriff prozessorientiert: „Eine aktive Sicherheitskultur legt den Ist-Zustand offen, lotet das Verbesserungspotenzial aus, definiert Ziele und betreibt ein umfassendes Monitoring, um die Wirksamkeit der Sicherheitsmaßnahmen permanent zu prüfen.“

Den Status quo sieht Johannes Wiele, Senior Manager Cyber Risk bei Deloitte, ebenfalls als wesentlich an: „Ich verstehe unter ‚Sicherheitskultur‘ eine Praxis der Zusammenarbeit und Kommunikation in einer Organisation, bei der die Beteiligten sich über Sicherheitsbelange ihres Handelns verständigt haben und Sicherheitsaspekte im Alltag souverän, automatisch und im jeweils angemessenen Maße in ihre Tätigkeiten einfließen lassen.“ Gleichzeitig warnt Wiele davor, zu sehr auf den Schutzbedarf abzustellen, denn: „Leider bietet der Begriff auch die Möglichkeit einer einfacheren Interpretation und wird dann dazu benutzt, eine Kultur übermäßiger Vorsicht und gegenseitiger Überwachung zu installieren, bei der die Freiheit des sozialen und wirtschaftlichen Handelns leidet.“

Sicherheits-Bewusstsein und Zielorientierung

Bewusstsein und Befähigung der Mitarbeiter, aber auch verständnisvollen Umgang betont Richard Werner, Business Consultant bei Trend Micro: „In einem Unternehmen muss jeder verstehen, dass er – sogar persönlich – zu einem Ziel möglicher Cyberangreifer werden kann. Es ist daher wichtig, dass sich Mitarbeiter dieser Tatsache bewusst sind, aber gleichzeitig auch wissen, wie sie mit einer potenziellen Gefahr umgehen können. Hierzu gehört vor allem, Mitarbeitern die Angst zu nehmen, einen Fehler zu begehen. Ein Mitarbeiter, der beispielsweise einen ‚schlechten‘ Link in einer E-Mail angeklickt hat, sollte dies dennoch angstfrei melden können. Im Idealfall schafft man ein Klima des Vertrauens.“

BSI-Präsident Arne Schönbohm erläutert Sicherheitskultur über ihre Ziele und den richtigen Weg dorthin: „Informationssicherheit muss als Enabler verstanden werden, als Möglichmacher. Dazu muss sie in jedem Projekt von vorneherein mitgedacht werden. Sie muss von der Chefetage vorgelebt und die handelnden Personen müssen ernst genommen und unterstützt werden. Informationssicherheit ist die Voraussetzung einer erfolgreichen Digitalisierung. Dieser Gedanke sollte sich in Form einer Sicherheitskultur manifestieren.“

Die Situation am „Ende des Weges“ nutzt Marcus Beyer, Advisory Lead Resilient Workforce NCE bei DXC Technology, für seine Definition: „Wenn wir es geschafft haben, dass Security in IT- und Businessprozessen eine ständige Beachtung findet, ohne als Bremser dargestellt zu werden, wenn Mitarbeitende bei privaten und geschäftlichen Risiko- und Sicherheitsthemen proaktiv und von sich aus das Security-Team kontaktieren, wenn Security nicht nur aus Policies und Regelwerken besteht, sondern als eine positive und wichtige Ergänzung im Arbeitsalltag gesehen wird, wenn Mitarbeitende rechtzeitig Sicherheitsvorfälle melden, ohne Angst haben zu müssen, als Täter klassifiziert und hingestellt zu werden – dann haben wir eine gelebte Sicherheitskultur im Unternehmen.“

Thomas Schlienger, Geschäftsführer der TreeSolution Consulting, beschreibt Sicherheitskultur als einen „Sammelbegriff für pro-aktives und ganzheitliches Vorgehen“, um das Sicherheitsverständnis einer Organisation zu vergrößern: „Die Informationssicherheitskultur umfasst somit die Gesamtheit der kollektiven Werte, Normen und Wissensbestände der Informationssicherheit einer Organisation, welche das Verhalten der Mitarbeitenden und damit letztlich den Erfolg der Informationssicherheit beeinflussen.“ Sicherheitsmaßnahmen und -vorschriften seien sichtbare Indizien für Werte und Normen dieser Kultur: „Solche Leitplanken bestimmen das Verhalten und somit die Art und Weise, wie bestimmte Arbeiten durchgeführt werden. Die Sicherheitskultur beeinflusst die Sensibilität aller Mitarbeitenden gegenüber Risiken und prägt darüber hinaus die Art und Weise, wie Gefahren und Chancen in der Organisation kommuniziert werden, sowie das organisatorische Lernen.“

Metaphorisch und metaphysisch

Als wichtige Schnittstelle in einem organischen Ganzen sieht Michael Klatte, PR Manager DACH von ESET Deutschland, die Sicherheitskultur: „Angenommen, Sie müssten als Chef in ihrem Unternehmen Tausende von Mitarbeitern zu einer gemeinsamen Handlung bewegen – und zwar in Bruchteilen einer Sekunde. Kaum vorstellbar, oder? Doch unser Körper ‚lebt‘ genau das vor – mit spektakulärer Performance. Etwa 86 Milliarden Neuronen müssen an einem Strang ziehen und miteinander kommunizieren, damit wir fühlen, denken und handeln können. Das ist nur möglich, weil zwischen den Nervenzellen wortwörtlich die Chemie stimmt. Beim Thema Security sollte es ähnlich laufen: Das Unternehmen ist dabei das zentrale Nervensystem, die Sicherheitskultur die Synapse, die als Verbindungsstelle zwischen den Nervenzellen fungiert, jeder Mitarbeiter bildet eine hochspezialisierte Zelle, wovon selbst die kleinste zu einem funktionierenden ‚Abwehrsystem‘ beiträgt. Soll heißen: Security muss die rein technische Sicht verlassen und das (Zwischen-)Menschliche überordnen. Wenn ein CEO-Fraud Erfolg hat, sollte eher die Sicherheitskultur hinterfragt als der Mitarbeiter entlassen werden.“

Der Mensch steht auch für Sebastian Klipper, Geschäftsführer von CycleSEC, im Mittelpunkt: „Eine Sicherheitskultur bezüglich der Informationssicherheit ist zunächst einmal nicht per se gut oder schlecht. Kultur bezeichnet im lateinischen Wortursprung ‚cultura‘ auch den Ackerbau – und wie in der Landwirtschaft gibt es sowohl weniger entwickelte oder ‚verdorrte‘ Kulturen als auch solche, die man mit positiven Begriffen beschreiben würde. Bei der Frage, ob eine Kultur gedeiht oder nicht, steht bei landwirtschaftlichen Methoden im Mittelpunkt, welchen Boden man bestellt und in welcher Umwelt man das tut. Eine Kultur, die am einen Ort gut gedeiht, trägt andernorts oder mit anderen Methoden keine Früchte. Ebenso müssen die Methoden der Informationssicherheit zu den beteiligten Menschen und ihrer Umwelt passen. Kultur im Allgemeinen ist das, was Menschen hervorbringen – Sicherheitskultur als Spezialfall wäre demnach das, was Menschen bei der Bekämpfung von Gefahren durch Sicherheitsanstrengungen erreichen. Menschen sind der zentrale Aspekt einer Sicherheitskultur. Daher muss menschliches Handeln und Unterlassen im Mittelpunkt jeder Sicherheitsbetrachtung stehen.“

Etablierung, Reifegrade etc.

Unsere zweite Frage lautete: Welche Schritte sind zur Etablierung einer solchen Kultur in einer Organisation wesentlich? Gibt es wichtige Meilensteine, Prüfpunkte, Reifegrade oder Ähnliches?

Zwei Antworten haben darauf abgestellt, dass die Frage eigentlich nicht sein kann, ob es eine Sicherheitskultur gibt, sondern nur, wie sie aussieht und gestaltet wird. So sagt Pokoyski (known sense): „Die sogenannte Etablierung ist ein Paradox, denn es existiert keine Organisation ohne Sicherheitskultur, die dynamisch ist und deren Ausprägung sich mit jedem sicherheitsrelevanten Ereignis in der Organisation verändert.“ Allerdings könne man auf die Sicherheitskultur „aktiv Einfluss nehmen – oder eben nicht“.

Auch Carpenter (KnowBe4) konstatiert: „Eine Sicherheitskultur lebt und atmet in jedem Unternehmen. Die Frage ist jedoch, wie stark, ‚absichtlich‘ und nachhaltig diese Kultur ist und was der IT-Sicherheits-Verantwortliche dafür tun muss.“ Der wichtigste Aspekt sei die Erkenntnis, dass man Kultur nicht dem Zufall überlassen sollte: „Ich bin ein großer Fan von dem, was ich ‚Kulturträger‘ nenne. Wir Sicherheitsleute haben mehrere verschiedene Bezeichnungen für dieses Konzept – von ‚Botschaftern‘ und ‚Verbindungen‘ über ‚Champions‘ und ‚Wächter‘ bis hin zu ‚Abteilungsvertretern‘ und mehr.“ Doch der Begriff „Kulturträger“ beschreibe besonders gut den Zweck dahinter: „Menschen überall in der Organisation und auf allen Ebenen zu gewinnen und zu engagieren, und diese Menschen fit zu machen, zu aktivieren und zu motivieren, eine Stimme für die Sicherheit in der Organisation zu sein“, erklärt Carpenter. So würden Kulturträger „auf eine virale und nachhaltige Weise“ zu einem „Kraft-Multiplikator für das Sicherheitsteam“. Von entscheidender Bedeutung sei, dass diese Kulturträger aktiv und engagiert bleiben – daher müsse man Unterstützungssysteme für sie entwickeln, damit sie sich einbezogen und wichtig fühlen.

Nicht zuletzt seien die Chefs gefordert, äußerte Graf (AMPEG): „Wichtig für die Etablierung einer aktiven Sicherheitskultur ist die Einbeziehung aller Akteure – und dies ist eine Managementaufgabe.“ Und für Werner (Trend Micro) gehört es beim Aufbau einer Sicherheitskultur dazu, sich dem Thema auch „von hinten“ zu nähern, also davon auszugehen, dass der Ernstfall eintritt: „Welches Verhalten meiner Mitarbeiter möchte ich erzeugen?“ In der Realität herrsche häufig Unsicherheit: Ist eine E-Mail echt oder ein Fake? „Für solche Fälle gilt es zunächst, eine Struktur zu schaffen, in der Mitarbeiter angstfrei Bedenken äußern und auch zweifelhafte Vorfälle überprüfen lassen können. Sobald diese Basis besteht, ist der nächste Schritt, einen Trainingsplan zu erstellen“, unterstreicht Werner.

Passgenau, verständlich und begründet

Beyer (DXC Technology) ergänzt: „Das Wichtigste ist, zuzuhören und mit dabei zu sein. Wo drückt der Schuh? Was sind Themen, die Mitarbeitende, Projektleiter, Führungskräfte und das Management bewegen und treiben?“ Neben ständigen Schulungen und Trainings gehöre dazu auch eine vernünftige Kommunikation, und zwar nicht nur auf der Ebene „gemeinsam für mehr Sicherheit“ zu sorgen, sondern konkret und auf die Bedürfnisse bezogen. Als Beispiele nennt er Awareness-Maßnahmen: „Die sind wichtig, weil der einfachste Weg, um Risiken zu mitigieren – aber nicht um jeden Preis.“ Wo keine Weisungen und Policies, organisationale Strukturen und prozessuale Ebenen existieren, sollten diese erst einmal geschaffen werden – aber in einer Form, die auch jeder Mitarbeitende versteht! Nicht zuletzt brauche man Verantwortliche vor Ort: „Zu 100 % und nicht ‚mal so nebenher‘“, wie Beyer betont.

„Die Beteiligten oder Betroffenen müssen in die Lage versetzt werden, alle Aspekte des Themas zu verstehen“, mahnt Wiele (Deloitte). Am Anfang stehe als wichtigster Meilenstein eine gemeinschaftliche Einigung darüber, wie viel Sicherheit in einem bestimmten Umfeld überhaupt notwendig ist und wie sie umgesetzt werden soll. Hinzu kommt: „Wenn mit sicherem Verhalten Einschränkungen gewohnter Handlungsfreiheiten einhergehen, müssen diese Regelungen hinreichend gerechtfertigt werden. Es gilt also, viel zu erklären, gut zuzuhören und professionell zu kommunizieren. Eine hohe Akzeptanz dessen, was die Sicherheitskultur ausmachen soll, ist entscheidend. Manager, die eine Sicherheitskultur ‚par ordre du mufti‘ aufsetzen wollen, scheitern zwangsläufig.“

Alles perfekt zu schützen, funktioniert ohnehin nicht, mahnt Klatte (ESET): „Sicherheitskultur fängt damit an, die Idee einer ‚Supersicher‘-Technologie aus den Köpfen der Mitarbeiter zu bekommen. Außerdem darf Technik nicht zur Spaßbremse werden und der Mensch nicht nur als Rädchen in der Prozesskette verstanden sein. Charlie Chaplins ‚Moderne Zeiten‘ zeigt, wie der Mensch durch Anpassung an die Technik abstumpft – das ist heute vor dem PC nicht anders als damals am Fließband. Entscheidend ist am Ende auch, dass Sicherheitskultur nicht zur kurzfristigen Marketing-Farce mit Buzzword-Charakter verkommt, sondern dem Ganzen Zeit und Raum gegeben wird.“

Von Risiko zu Reife

Informationssicherheit muss vor allem strukturiert und gut organisiert umgesetzt werden“, kommentiert Schönbohm (BSI): „Von besonderer Bedeutung ist dabei das Risikomanagement. Jede Organisation muss für sich Risiken und nötige Schutzmaßnahmen definieren und dann entsprechende Prozesse etablieren. Meilensteine gibt es viele – das kann eine passende IT-GrundschutzZertifizierung sein oder eine Krisenreaktionsübung. Diese Entwicklung darf allerdings nie zu Ende gehen, sondern muss sich stets mit dem Stand der Technik weiterentwickeln. Gelebte Sicherheitskultur wird sie dann, wenn sie im Bewusstsein aller Mitarbeiterinnen und Mitarbeiter – auch der Führungskräfte – fest verankert ist.“

Für die Qualitätsbeurteilung einer Sicherheitskultur empfiehlt Schlienger (TreeSolution) das Capability-Maturity-Model (Reifegradmodell), das fünf Stufen vorsieht, die er hier wie folgt interpretiert:

  • nicht vorhanden: Es existiert kein Programm zur Förderung der Sicherheitskultur.
  • wiederholbar: Das Programm ist in erster Linie darauf ausgerichtet, spezifische Compliance- oder AuditAnforderungen zu erfüllen – Investitionen und Qualität unterliegen starken Schwankungen
  • definiert: Die Ziele der Sicherheitskultur sind definiert und zielen auf eine Verhaltensveränderung ab, eine spezielle Organisationseinheit ist für die Umsetzung verantwortlich, Investitionen sind einigermaßen zuverlässig bewertbar – die Qualität ist immer noch Schwankungen ausgesetzt.
  • gesteuert: Notwendige Prozesse, Ressourcen und Führungsunterstützung für einen langfristigen Lebenszyklus der Sicherheitskultur sind vorhanden – Investitionen und Qualität sind zuverlässig kontrollierbar
  • optimierend: Die Sicherheitskultur wird gemessen, um Fortschritte zu verfolgen und die Auswirkungen zu quantifizieren – dadurch verbessert sich die Sicherheitskultur kontinuierlich und kann einen Return-on-Investment (RoI) nachweisen.

Das SANS Institute hat letztes Jahr eine Studie durchgeführt, um herauszufinden, auf welcher Stufe sich Unternehmen befinden: „Das erschreckende Resultat ist, dass die meisten Unternehmen nicht über Stufe 3 [definiert] hinauskommen“, resümiert Schlienger.

Auswirkungen

Auf unsere Frage, was man mit einer etablierten und „gelebten“ Sicherheitskultur erreichen könne, antwortete Wiele (Deloitte): „Das wichtigste Ergebnis ist eine Entlastung der Sicherheitsverantwortlichen und der Sicherheitstechnik, die wichtigste Folge ist eine Risikominderung. Und: Wo Mitarbeiter über Sicherheit selbstständig nachdenken und mitentscheiden können, ist die Wahrscheinlichkeit hoch, dass auch völlig unvorhergesehene Bedrohungen gemeistert werden können. Ein rein deterministisches System aus technischen Vorkehrungen und in Stein gemeißelten Regeln schafft das nicht.“

Pokoyski (known_sense) sieht stets Risiken als Treiber für Sicherheitsmaßnahmen – psychologisch seien diese wiederum angstgetrieben: „Eine aktiv modellierte Sicherheitskommunikation verringert Unsicherheiten, erklärt den Sinn von Sicherheitsmaßnahmen und trägt somit zum allgemeinen Wohlbefinden und zur Compliance bei.“ So würden Organisationen gleichzeitig die Sinnstiftung und Orientierung im Sinne eines Konsens über den gelebten Regelkanon bei ihren Mitarbeitern unterstützen.

„Ziel ist es, dass sich auch Mitarbeiter sicherer fühlen“, unterstreicht Klatte (ESET): „Schafft man so ein Umfeld, geht auch Sicherheitskultur bei den Mitarbeitern langsam, aber sicher in Fleisch und Blut über. Dann können aus Einzelkämpfern echte Security-Netzwerker werden, die mit offenen Augen durch die Cyberwelt gehen.“ – „Eine aktive Sicherheitskultur nimmt alle beteiligten Mitarbeiter mit auf den Weg zu mehr gelebter Sicherheit und verhilft somit dem Unternehmen zu einem deutlich höheren Schutzniveau“, ergänzt Graf (AMPEG). Und Werner (Trend Micro) hebt hevor: „Mitarbeiter sind [mit einer gelebten Sicherheitskultur] in der Lage, Cyberangriffe zu erkennen und wissen, wen sie im Zweifel fragen können. Dadurch steigt die Wahrscheinlichkeit, solche Angriffe rechtzeitig zu erkennen.“

Carpenter (KnowBe4) beschreibt ebenfalls sehr positive Effekte: „Die Kulturträger einer Organisation werden zu einem Netzwerk von Detektions- und Warnsensoren – sie sind wie das körpereigene Immunsystem, das rote Fahnen hisst, wenn es Bedenken gibt, und proaktiv daran arbeitet, erkannte Probleme zu beseitigen.“ Und statt Rufer in der Wüste zu sein, könne man mit einer gelebten Sicherheitskultur eine „Stimme der Sicherheit“ aufbauen, die sich mit dem Unternehmen anpasst – Sicherheits-Verantwortliche erhalten so ein „Megafon und einen Chorus“. Als wichtigste Vorteile nennt Carpenter die Verstärkung sicherheitsrelevanter Botschaften, Überzeugungen und Werte sowie eine große Nachhaltigkeit.

Digitalisierung sorgt für Veränderung

Die schnelle technologische Entwicklung in der IT hat zu einer Veränderung der traditionellen Arbeitsformen geführt –Verhaltensweisen, die vor ein paar Jahren noch harmlos waren, können heute erheblichen Schaden anrichten“, warnt Schlienger (TreeSolution). „Die Rolle einer Sicherheitskultur ist, diesen Veränderungsprozess sicher begleiten zu können. Das heißt, die grundlegenden Annahmen gegenüber aktuellen und potenziellen zukünftigen Gefahren im Prozess zu sehen und – noch viel wichtiger – in die Organisationskultur zu integrieren. Nur durch eine solche Integration der Sicherheitskultur kann sich eine Organisation auf das Unvorhersehbare vorbereiten, pro-aktiv Schäden vermeiden respektive reduzieren und zukunftsgerichtet entwickeln.“

Angesichts der hohen Bedeutung der IT „brauchen wir gute präventive Maßnahmen, damit es gar nicht erst zu einem Ausfall oder Missbrauch kommt – und etablierte Prozesse für den Krisenfall, um schnell wieder einsatzfähig zu sein. Diese Sicherheitskultur sorgt für eine umfassende Sicherheit, auf der wir die fortschreitende Digitalisierung weiter aufbauen und von den vielen damit verbundenen Vorteilen profitieren können“, folgert Schönbohm (BSI).

Gerade bei Themen der digitalen Transformation lasse sich die Sicherheit jedoch derzeit „mächtig die Butter vom Brot nehmen“ warnt Beyer (DXC Technology): Das Business bestimme, wo es hingeht – mit oder ohne Security(-Abteilung). Hier brauche es einen Wandel – auch in der Security: „Wir müssen weg vom ‚Gärtchendenken‘ und Abgrenzungen zwischen physischer Sicherheit, ITSicherheit, Datenschutz und Compliance. Das Thema geht alle an – alle, die für die Sicherheit von Daten, Informationen, Personen und IT Sorge tragen!“ Man könnte daher hier vielleicht besser von „Group- oder CorporateSecurity“ sprechen, doch: „Davon sind viele Unternehmen noch weit entfernt.“

Diesen Beitrag teilen: