Blog

Ist Ihre Cybersicherheitskultur stark genug?

3 Min. Lesezeit

Eine Cybersicherheitskultur in einem Unternehmen ist weit mehr als das Durchsetzen von Richtlinien und die wiederholte Aufforderung der Mitarbeitenden, ihre Passwörter regelmässig zu ändern. Sie ist fest im Grundgerüst Ihres Unternehmens verankert und lässt sich anhand von Metriken messen.

Vier Eckpfeiler einer Cybersicherheitskultur

Damit Sie die Cybersicherheitskultur Ihres Unternehmens richtig einschätzen, müssen Sie die verschiedenen Elemente kennen, die die Widerstandsfähigkeit gegen Cyberbedrohungen stärken, unterstützen oder auch behindern. Eine gesunde und fest verankerte Cybersicherheitskultur ist jedoch ein komplexes Gerüst. Um dieses zu verstehen, ist es ein guter Anfang, die vier Grundelemente davon zu kennen:

1 – Das von Auge erkennbare

Hierzu gehören die Komponenten im Unternehmen, die leicht fassbar und von Auge sichtbar sind. Dazu zählen beispielsweise Organisationsstrukturen, formelle Prozesse oder schriftliche Richtlinien zur Informationssicherheit. 

Eine Cybersicherheitskultur ist jedoch weit mehr als das Durchsetzen von Richtlinien ohne angemessene Erklärung und die wiederholte Aufforderung der Mitarbeitenden, ihre Passwörter regelmässig zu ändern. Zu einer gesunden Cybersicherheitskultur gehört, dass Sicherheit auf allen Unternehmensebenen gefordert und gefördert und nicht nur als Aufgabe des IT-Services angesehen wird. Cybersicherheit kann nur funktionieren, wenn sie als eine gemeinsame Verantwortung verstanden wird, die für das gesamte Unternehmen gilt. Sicherheitsrelevante Richtlinien sollen nicht nur 1:1 aus einem Lehrbuch übernommen werden, sie sollen auf Ihr Unternehmen zugeschnitten sein und sich nahtlos in die Arbeitsroutinen und Unternehmenspraktiken einfügen. Mitarbeitende auf allen Ebenen müssen auf Risiken sensibilisiert und darin geschult werden, wie sich ihr Handeln (oder eben Fehlverhalten) auf das gesamte Unternehmen auswirken kann. 

2 – Offizielle Stellungnahmen

Eine zweite essenzielle Komponente sind die offiziellen Stellungnahmen Ihres Unternehmens zu Werten, Überzeugungen und Grundsätzen. Das können z.B. Unternehmensleitbilder (Mission Statements) oder eine Verpflichtung sein, den Datenschutz der Nutzer zu respektieren.

3 – Unsichtbare, geteilte Annahmen

An dritter Stelle folgen unsichtbare, geteilte und stillschweigende Annahmen, die mindestens genauso wie die sichtbaren Komponenten zu jeder Unternehmenskultur gehören. Sie sind der Grund, warum Unternehmenskulturen im Allgemeinen nicht einfach durch die Neuformulierung oder Veröffentlichung eines neuen Leitbildes verändert werden können. Solche unsichtbaren, aber dominanten Annahmen entstehen im Laufe der Zeit und spiegeln die gesammelte Erfahrung und das Wissen eines Unternehmens wider. Wenn Sie Ihre Cybersicherheitskultur tief im Unternehmen verankern wollen, kommen Sie an dieser Ebene nicht vorbei. 

4 – Das Wissen um Risiken

Last but not least soll die vierte und vielleicht wichtigste Komponente einer soliden Cybersicherheitskultur erwähnt werden: das Wissen um Cyberrisiken und Informationssicherheit. Denn nur wenn alle Mitarbeitenden sich der verheerenden Folgen von Cyberangriffen bewusst sind, werden sie verstehen, warum sie bei ihrer täglichen Arbeit Sicherheitsrichtlinien und -verfahren strikt befolgen müssen und wieso Awareness-Schulungen und Security-Trainings für die Informationssicherheit des Unternehmens notwendig sind.  

Wie soll nun mit dem erlangten Wissen festgestellt werden, welche Elemente der Cybersicherheit in Ihrem Unternehmen bereits vorhanden sind und welche noch fehlen? Und wie können allenfalls weiterführende Massnahmen zur Stärkung der Cybersicherheitskultur getroffen werden? Um festzustellen, wie es um Ihre Cybersicherheit steht, gibt es verschiedene Methoden: 

Fünf Stufen einer starken Cybersicherheitskultur

Ein Modell zur Evaluierung der Cybersicherheitskultur wurde vom SANS Institute entwickelt. Dieses erlaubt es, den aktuellen Stand Ihres Awareness-Programms zu ermitteln und dessen Fortschritt zu verfolgen. Das SANS Institute unterscheidet dabei die folgenden fünf Stufen:

1. Nicht existent: Ein Programm zur Förderung des Sicherheitsbewusstseins existiert nicht. Die Mitarbeitenden haben keine Ahnung, dass sie potenziell eine Zielscheibe sind und dass ihre Handlungen einen direkten Einfluss auf die Sicherheit des Unternehmens haben. Folglich kennen oder befolgen sie die Unternehmensrichtlinien nicht und werden leicht Opfer von Angriffen.

2. Auf die Einhaltung der Vorschriften ausgerichtet: Das Programm Ihres Unternehmens ist in erster Linie darauf ausgerichtet, bestimmte Compliance- oder Audit-Anforderungen zu erfüllen. Die Schulungen werden nur jährlich oder ad hoc angeboten. Die Mitarbeitenden sind unsicher über die Unternehmensrichtlinien und über ihre Rolle beim Schutz der Informationen Ihres Unternehmens. 

3. Förderung von Bewusstsein und Verhaltensänderung: Das Programm ermittelt die unterschiedlichen Zielgruppen und Schulungsthemen, die den grössten Einfluss haben. Das Programm geht über eine jährliche Schulung hinaus und die Schulungsinhalte werden auf eine ansprechende und positive Weise vermittelt, wodurch Verhaltensänderungen gekonnt gefördert werden. Das Ergebnis sind Mitarbeitende, die Sicherheitsrichtlinien verstehen und befolgen und Vorfälle erkennen, verhindern und melden.

4. Langfristige Aufrechterhaltung und Kulturwandel: Das Awareness-Programm Ihres Unternehmens verfügt über Prozesse, Ressourcen und Führungsunterstützung, die für einen langfristigen Lebenszyklus erforderlich sind, einschliesslich einer jährlichen Überprüfung und Aktualisierung des Programms. Infolgedessen ist das Programm ein etablierter Teil der Unternehmenskultur. Das Programm geht über eine Verhaltensänderung hinaus: Es verändert die Überzeugungen, Einstellungen und Wahrnehmungen der Mitarbeitenden in Bezug auf Sicherheit.

5. Metrischer Rahmen: Ihr Unternehmen verfügt über ein auf Ihr Unternehmen abgestimmtes solides Programm, das Fortschritt messen und Auswirkungen nachverfolgen kann. Infolgedessen wird das Programm kontinuierlich verbessert und kann nachweislich Erfolge erzielen. 

Wie steht es um die Cybersicherheitskultur in Ihrem Unternehmen?

Sind Sie sich nicht sicher oder wollen erfahren, wie Sie diese stärken können? Dann lesen Sie unser eBook «Mehr Sicherheit dank einer gesunden Cybersicherheitskultur» oder kontaktieren Sie unsere Sicherheitsexperten: Angebot zu Cybersicherheit von Adnovum.

 

eBook «Mehr Sicherheit dank einer gesunden Cybersicherheitskultur»

Mehr erfahren

Publiziert am 19 Okt 2021

Autor

Picture of Georges Eloundou Eloundou
Georges Eloundou Eloundou

Senior Security Consultant