Ein Blick in die Praxis zeigt: IT-Sicherheit scheitert nicht an Technologien oder Fehlverhalten, sondern bereits grundsätzlich an einem Mangel an Unternehmenskultur. Wenn Cybersicherheit in einer Organisation nur als eine schlecht durchgesetzte Aufgabe von anderen für andere verstanden wird, entsteht vielleicht eine oberflächliche Compliance, aber keine wirkliche Cyberresilienz. […]
Eine Widerstandsfähigkeit gegen die vielfältigen Cybergefahren entwickelt sich nur, wenn die zugehörigen Prozesse in der Unternehmenskultur verankert sind. Resilienz nur auf Tools und auf eine Aufgabe für die IT-Abteilung zu reduzieren, greift zu kurz. Kataloge von Einzelmaßnahmen scheitern, wenn nicht ein Sicherheitsbewusstsein und eine Selbstverpflichtung der Mitarbeiter auf allen Hierarchieebenen hinzukommen.
Viele Unternehmen gehen bereits einen Schritt in die Richtung „Kultur“ und setzen etwa auf Sicherheitsaufklärung. Aber auch aus Wissen entsteht noch keine gelebte Sicherheit. Eine Teilnahme der Mitarbeiter an jährlichen E-Learning-Kursen, Phishing-Simulationen oder eine obligatorische Bestätigung der Kenntnisnahme von Richtlinien kann schnell zu einer Schulübung verkommen. Natürlich sind Trainings wichtig. Wer aber nur im regelmäßigen Test die Fragen richtig beantwortet und einen Fragebogen besteht, hat vielleicht die oberflächlichen Compliance-Richtlinien erfüllt. Er verfügt auch theoretisch über das nötige Wissen. Viele Absolventen einer solchen oberflächlichen Übung ziehen aber nicht die Konsequenzen und verändern nicht ihr Verhalten. Cybersicherheit ist für sie lediglich ein weiteres To-Do, das sie gerne auf ihrer Liste abhaken.
Sicherheitskultur geht über Compliance hinaus
Mit Compliance-Programmen erfüllen Organisationen zunächst nur Vorgaben. Sie haben also nur eine Teilstrecke auf dem Weg zu einer Kultur der Cybersicherheit absolviert. Erst ein Verständnis der Relevanz cybersicheren Verhaltens macht diese zu einem…
