So etablieren Sie in Ihrem Unternehmen eine IT-Sicherheitskultur

Wer dachte, das Thema IT-Sicherheit sei vor allem für große, internationale Konzerne von Bedeutung, irrt sich: Eine aktuelle Studie zeigt das zunehmende Risiko für Cyberangriffe auch in kleinen bis mittelgroßen Unternehmen: 80 Prozent der befragten Unternehmen waren im vergangenen Jahr von einem Angriff auf ihre IT-Systeme betroffen. Insgesamt nahmen diese Angriffe stark zu, insbesondere solche, die über E-Mails ins System gelangten.

Fehlende IT-Sicherheitskultur

Da in den meisten Unternehmen mittlerweile viele verschiedene Arbeitsplatz-Tools genutzt werden, wird es für die Mitarbeiter immer schwieriger, Sicherheitsrisiken zu erkennen und richtig einzuschätzen. Strenge Sicherheitsrichtlinien helfen hier nur bedingt: Generell wird versucht, die Arbeitsabläufe möglichst einfach zu halten – werden diese durch Sicherheitshürden oder Kontrollen verkompliziert, wird es wahrscheinlicher, dass Mitarbeiter versuchen, diese zu umgehen. Damit die Sicherheitsstrategie des Unternehmens nicht fehlschlägt, müssen die Mitarbeiter ein Bewusstsein für Sicherheit am Arbeitsplatz entwickeln.

Hier die Checkliste für eine IT-Sicherheitskultur im Unternehmen

1. IT-Sicherheit fängt oben an. Wird IT-Sicherheit bei der Geschäftsleitung großgeschrieben und respektiert, werden sich die Mitarbeiter ebenfalls ernsthafter mit dem Thema auseinandersetzen und ihr eigenes Nutzerverhalten eher hinterfragen. Auf diesen Zusammenhang weist eine Untersuchung zu Sicherheitsverletzungen in britischen Unternehmen hin. Führungskräfte müssen bei der Sicherheit mit ihrem eigenen Verhalten als gutes Beispiel vorangehen, um Mitarbeitern eine Orientierung zu geben und ihnen mögliche Sicherheitsrisiken bewusst zu machen.
2. Sicherheit liegt in der Verantwortung aller Mitarbeiter. Das Thema Sicherheit geht nicht nur einige wenige etwas an, sondern betrifft das gesamte Unternehmen. Deshalb sollte jedes Teammitglied in die Thematik eingeführt werden. Setzen Sie sich mit jedem Mitarbeiter zusammen, um das Bewusstsein für die Rolle der IT-Sicherheit im Arbeitsalltag zu schärfen. Es ist wichtig über die Risiken zu informieren, welche die vielen verschiedenen Tools, Inhalte und das eigene Nutzerverhalten bergen können. Gewohnheiten, die sich über die Zeit eingeschlichen haben und problematisch für die Sicherheit des Unternehmens sind, können so erkannt und verändert werden.
3. Kontext ist der Schlüssel. Sicherheit scheint nicht unmittelbar für alle Mitarbeiter relevant zu sein. Dennoch gilt es, alle Abteilungen einzubeziehen – nur so kann eine Sicherheitskultur für das gesamte Unternehmen geschaffen werden. Um Mitarbeitern aus unterschiedlichen Teams vor Augen zu führen, in welchen konkreten Situation das Thema Sicherheit relevant ist, können praktische Beispiele aus ihrem Arbeitsalltag hilfreich sein.
4. Wählen Sie Head-Ofs. Das IT-Team kann nicht die Verantwortung für die gesamte Sicherheitsstrategie eines Unternehmens übernehmen. Daher sollten Mitarbeiter aus den verschiedenen Abteilungen bestimmt werden, die als Bindeglied zwischen IT und den jeweiligen Teams fungieren. Sie sind näher an den täglichen Entscheidungen und haben ein detaillierteres Verständnis der Arbeitsabläufe, bzw. sind direkt verantwortlich. Speziell ernannte Sicherheitsverantwortliche in jedem Team können die Entscheidungsfindung vor Ort besser unterstützen.
5. Sicherheitstraining ist ein ständiger Lernprozess. Einmal im Jahr eine einstündige Schulung für die Mitarbeiter abzuhalten, genügt oft schon, um den Compliance-Anforderungen gerecht zu werden – eine nachhaltige Sicherheitskultur kann auf diese Weise aber nicht aufgebaut werden. Um ein neues Sicherheitsverständnis und -bewusstsein bei den Mitarbeitern zu verankern, ist es wichtig, das Thema langfristig auch in den regulären Meetings aufzugreifen. Hier kann man auch darüber nachdenken, spielerische Elemente einzubauen und zwischendurch zum Beispiel ein Quiz zu veranstalten.

Fazit: Keine Technologie kann eine Sicherheitskultur im Unternehmen ersetzen

Auch wenn von den Entwicklern immer neue Sicherheitsvorkehrungen für Geschäftsanwendungen und Tools bereitgestellt werden, können auch diese ein durch falsches Nutzerverhalten erhöhtes Risiko nicht verhindern. Daher ist es zentral, ein Bewusstsein für IT-Sicherheit im Unternehmen zu schaffen, die von der Geschäftsleitung bis zu den Mitarbeitern alle Abteilungen umfasst. Nur wenn alle gemeinsam an einem Strang ziehen, kann eine IT-Sicherheitskultur entstehen, die das gesamte Unternehmen vor Cyber-Angriffen schützt.

Über den Autor:
Morten Brøgger ist der CEO von Wire. Wire ist eine sichere Kommunikations- und Kollaborationsplattform. Business-Chats, Telefonkonferenzen und Dateifreigaben – alle Inhalte werden durch Ende-zu-Ende-Verschlüsselung geschützt.