Sicherheits-Policies in Schriftform oder E-Learning-Kampagnen reichen längst nicht mehr aus, um Ihre Mitarbeiter für IT-Security-Themen zu sensibilisieren. Wir sagen Ihnen, wie Sie kreativ und nachhaltig für mehr Sicherheitsbewusstsein in Ihrem Unternehmen sorgen. 

43,4 Milliarden Euro – so hoch ist der Schaden, der der deutschen Industrie in den vergangenen zwei Jahren durch Sabotage, Datendiebstahl oder Spionage zugefügt wurde. Sieben von zehn Industrieunternehmen sind in diesem Zeitraum Opfer geworden, jedes fünfte Unternehmen vermutet dies – obwohl Unternehmen erhebliche Summen in die IT-Security investieren.

Was also tun? Noch mehr in Hard- und Software investieren, um die Unternehmens-IT besser gegen Angriffe abzuschotten? „Wer seinen Fokus weiterhin ausschließlich auf die Technik legt, vernachlässigt den Faktor Mensch“, weiß Marcus Beyer, Advisory Lead Resilient Workforce bei DXC. Der stellt schließlich regelmäßig die Achillesferse sämtlicher Security-Bemühungen dar. Deshalb sollten CISOs im Cloud- und Mobile-Zeitalter der nachhaltigen Sensibilisierung Ihrer Mitarbeiter besonderen Stellenwert einräumen.

„Lancierte Phishing-Tests helfen nicht weiter“

Damit Ihre Belegschaft gegen externe Angriffe widerstandsfähiger wird, ist es vor allem wichtig, eine Sicherheitskultur im Unternehmen zu etablieren. Um diese zu fördern, sollten Maßnahmen zielgruppen- und bedarfsgerecht konzipiert werden. „Dazu muss das Team um den CISO aber erst einmal herausfinden, wie die Haltung der Mitarbeiter zu Sicherheitsthemen ist“, so der DXC-Experte. „Mit einer Auswertung von Antworten auf Wissensfragen in E-Learnings – eine weit verbreitete quantitative Messmethode – ist das kaum in Erfahrung zu bringen. Auch lancierte Phishing-Tests helfen hierbei nicht weiter.“

Bei beiden Methoden erfahre der CISO nämlich kaum etwas über die Einstellung der Mitarbeiter zum Thema Sicherheit. Will er eine Verhaltensänderung erreichen, braucht er andere, mehr qualitative Analysemethoden oder eine Kombination aus beiden Welten – nur so kann er die Sicherheitskultur im Unternehmen erfahren und verbessern. Über Interviews und Workshops oder Messungen und Befragungen, die den organisationalen Kulturaspekt in den Vordergrund stellen, erfährt er, wo das Sicherheitsbewusstsein Lücken aufweist.

IT-Security: Kreativität schlägt Technik

Mit dem gewonnenen Wissen über bestehende Wissensdefizite, unternehmensorganisatorische Mängel und laxe Sicherheitseinstellungen kann man eine Sensibilisierungskampagne zielgruppenorientiert und bedarfsgerecht konzipieren und anbieten, um eine Bewusstseinsveränderung in Gang zu setzen. Welche Maßnahmen das im Einzelnen sind, hängt vom jeweiligen Unternehmen und der eigenen Organisationskultur ab. Stellt sich bei der Analyse beispielsweise heraus, dass nur wenige Mitarbeiter den Namen des Sicherheitsbeauftragten kennen, muss dieser mehr ins Rampenlicht gestellt werden. Das geht mit einfachsten Maßnahmen wie einer Kontaktseite mit Namen und Portrait im Intranet oder aufwändigeren Edutainment-orientierten Veranstaltungen, bei der die Person auf der Bühne steht.

„Wichtig ist, dass die Maßnahmen zur bestehenden Unternehmenskultur passen und dass diese die Mitarbeiter ansprechen und zum Mitmachen animieren“, erläutert Beyer. „Für den Aufbau einer Sicherheitskultur ist daher weniger technisches Wissen gefragt als vielmehr Kreativität. So bewirkt beispielsweise eine gamifizierte Kampagne weit mehr als eine Belehrung über Sicherheitsrisiken.“

Wege aus der Security-Betriebsblindheit

Um eine solche Maßnahme wirksam im ganzen Unternehmen umzusetzen, sind neben der Kreativität Kenntnisse über Change Management und interne Kommunikationsmethoden gefragt. „Deshalb bringen wir von Anfang an die Stakeholder im Unternehmen an einen Tisch, die der CISO benötigt: IT Helpdesk, HR, Legal & Compliance, Unternehmenskommunikation und Marketing. Ein derart multidisziplinäres Team nutzt die ganze im Unternehmen vorhandene Expertise, die es für ein solches Vorhaben braucht. Hinzu kommen unsere externen Berater, die ihr Wissen frei von Betriebsblindheit einbringen können“, erklärt Beyer.

Ein bis zwei Jahre nach den ersten Messungen zur Sicherheitskultur empfiehlt sich eine Wiederholung der quantitativen und qualitativen Analyse, um den Erfolg der Maßnahme zu untersuchen und festzustellen, inwieweit die Mitarbeiter ihr Verhalten geändert haben. Neben der Erfolgsmessung erhält der CISO außerdem neue Daten, die er für die Planung einer Folgekampagne nutzen kann. Denn, stellt DXC-Experte Beyer klar: „Der Aufbau einer Sicherheitskultur ist kein Projekt, sondern ein fortdauernder Prozess, den man immer wieder neu befeuern muss.“

Autoren: Stefan Gneiting & Marcus Beyer // Quelle: THRIVE