Eine starke Unternehmenskultur minimiert Cyberrisiken

Die Zahl der Cyberangriffe wächst seit Jahren kontinuierlich. Besonders dramatisch ist seit Ausbruch der Corona-Pandemie der weltweite Anstieg der Social-Engineering-Attacken, bei denen Cyberkriminelle Mitarbeitende manipulieren, um Zugang zu IT-Systemen und Daten von Unternehmen zu erhalten. Laut einer Studie der Bitkom aus Juli 2021 hat sich der durch Cyberangriffe verursachte Schaden binnen eines Jahres auf 223 Milliarden Euro verdoppelt. Waren früher vor allem Großkonzerne und staatliche Institutionen betroffen, ziehen sich Cyberangriffe heute durch die gesamte deutsche Industrie: insgesamt gaben 9 von 10 Firmen an, im vergangenen Jahr Opfer von Cyberangriffen geworden zu sein. Den größten Beitrag zu dieser Entwicklung leisten Ransomware-Attacken, bei denen der Zugang der Nutzer*innen zu den infizierten Systemen durch Verschlüsselung blockiert und nur gegen Zahlung von Lösegeldern wieder entsperrt wird.

Die Ausweitung der Tätigkeit im Homeoffice im Rahmen der Corona-Pandemie leistet einen substanziellen Beitrag zum Anstieg der Cyberkriminalität. Bedenklich ist dabei vor allem, dass die Erfolgsquote der Attacken, die mit dem Homeoffice in Verbindung stehen bei über 50 % liegt.

Teilgebiet der Informationssicherheit ist. Während sich Cybersecurity auf die Absicherung des Cyberraums beschränkt, umfasst die Informationssicherheit den Schutz von Informationen und Informationssystemen zur Sicherstellung von deren Integrität, Vertraulichkeit und Verfügbarkeit. Im Folgenden zeigen wir auf, welche Rolle der Faktor Mensch dabei spielt.

Angesichts der wachsenden Bedrohungen investieren immer mehr Unternehmen in eine Informationssicherheits-Strategie. Allerdings beobachten wir im Kontext dieser Entwicklung, dass die meisten Informationssicherheits-Strategien auf technologische Vorkehrungen fokussieren und den Faktor Mensch außer Acht lassen. Denn fatalerweise kann bereits ein einziger Fehler einer einzelnen Person die technologischen Sicherheitsvorkehrungen eines Unternehmens aushebeln. Ein Mindeststandard jeder Strategie sollte daher sein, dass die Informationssicherheits-Awareness durch individuelle Trainings- und Weiterbildungsmaßnahmen etabliert und kontinuierlich ausgebaut und an neue Bedrohungen angepasst wird.

Der Mensch als Teil der Organisation mit ihrer gelebten Kultur spielt die eigentliche Hauptrolle in der Informationssicherheit. Während die Organisation in Sachen Digitalisierung bereits eine akzeptierte Komponente ist, wird sie in der Informationssicherheit noch sträflich vernachlässigt. Dabei wird das Verhalten von Menschen im Job maßgeblich von der vorherrschenden Organisationskultur beeinflusst. Die Kultur führt dazu, dass bestimmte Dinge auf eine bestimmte Art und Weise getan werden, ohne dass dies irgendwo geschrieben steht.

Spricht man über Organisationskultur im Zusammenhang mit Informationssicherheit, kommt schnell ein Eindruck von ausschließlichem „müssen“ und „sollen“ auf. Auch wenn regelhaftes Verhalten ein wichtiges Element einer Informationssicherheits-Kultur ist, lässt sich mit erhobenem Zeigefinger nur selten etwas erreichen. Im Strategieprozess sollte man stattdessen betonen, wie eine solche Kultur Mitarbeitende, Teams und Führungskräfte ermutigt, die richtigen Entscheidungen zu treffen und ihren Arbeitsalltag im Einklang mit den Sicherheitsrichtlinien zu gestalten. Letztlich ist die Informationssicherheits-Kultur eine Untermenge der allgemeinen Unternehmenskultur. Wir plädieren deshalb dafür, dass Unternehmen ihre individuelle Strategie unter breiter Partizipation aller Ebenen entwickeln. Dazu eignen sich Vorgehensmodelle aus der agilen Welt, insbesondere Objectives and Key Results (OKR) – ein agiles Strategie-Framework das v.a. durch seine Anwendung bei Google berühmt wurde. Dabei werden die mittelfristigen Ziele einer Strategie in einem vierteljährlichen Review auf qualitative Objectives heruntergebrochen („Unsere Mitarbeitenden werden besser im Erkennen von Gefahren“), die durch quantitative Key Results („Der Anteil der erfolgreichen Phishing-Attacken ist um 10% gesunken“) messbar gemacht werden. Die OKR können dann auf Business Units oder Teams heruntergebrochen werden, wo dann zentrale Maßnahmen zum Erreichen der Ziele (z.B. Schulungen) um dezentrale Maßnahmen (z.B. Einführung von Informationssicherheits-Weeklys) ergänzt werden können. Im Review wird das Erreichte evaluiert und die Priorisierung angepasst, z.B. wenn neue Bedrohungen auftauchen, die in der Strategie nicht berücksichtigt wurden.

Angesichts der wachsenden Bedrohungen und der Komplexität des Themas Informationssicherheit geht es in erster Linie darum, dass die gesamte Organisation neue, sicherheitsrelevante Verhaltensweisen verinnerlicht. Agile Methoden dienen hier als besondere Unterstützung, da sie die Thematik durch die iterative Vorgehensweise präsent halten, den regelmäßigen Austausch und den offenen Umgang mit Fehlern fördern und die Organisation so besser lernen lässt. Diese Art von Kulturentwicklung ist notwendig, um auf die Bedrohungen der Zukunft schnell reagieren zu können.