Deutsch
kontakTenglish
GRATIS
Whitepaper
Wie man das Sicherheitsverhalten ändert
XDOWNLOAD

06.11.2019

Wie man eine Cybersicherheitskultur managen kann

Den Erfolg einer Sicherheitskultur steigern

Die meisten Unternehmen investieren in eine gute und funktionierende IT Sicherheit. Trotzdem sind sie oft nicht gefeit vor Sicherheitsvorfällen. Woran liegt das? In der Regel wird dem Sicherheitsaspekt „Mitarbeiter“ zu wenig Beachtung geschenkt:

  • Die Mitarbeitenden wissen ungenügend über Sicherheit, sicheres Verhalten und Sicherheitsgefahren Bescheid.
  • Sie sehen Sicherheit als ‚Verhinderer‘.
  • Sicherheitsrelevante Themen werden durch die Mitarbeitenden nicht oder zu wenig umgesetzt.
  • Dadurch verhalten sich die Mitarbeitenden, oft bis in die Führungsetage, nicht sicher.

Damit auch der Faktor ‚Mensch‘ seinen Beitrag zur Informations- und Cybersicherheit beisteuern kann, muss dieser geschult werden.

Unsere Erfahrung zeigt, dass Sicherheit nur dann gewährleistet ist, wenn die Menschen, die Technik anwenden, nicht nur richtig informiert und geschult sind, sondern wenn auch das Umsystem, sprich die Unternehmenskultur, sicheres Verhalten fördert. Wir bezeichnen dies als TreeSolution Security Awareness ABC:

A) Awareness

wissen, warum Informationssicherheit wichtig ist

B) Behaviour (Verhalten)

als Mitarbeitende tätig sein, die die Informationssicherheit aufrechterhalten

C) Culture (Unternehmenskultur)

Informationssicherheit internalisieren, damit sie zur natürlichen Arbeitsweise wird

Eine Kultur der Informationssicherheit zu schaffen, ist nicht durch einmalige Informationsveranstaltungen oder Rundmails zu technischen Neuerungen möglich. Es bedarf mehr. Eine Cybersicherheitskultur muss gut gemanagt werden, damit sie erfolgreich ist. In diesem Beitrag zeigen wir Ihnen, wie man dafür vorgehen kann.

Weshalb es wichtig ist, eine Cybersicherheitskultur zu managen

Starten wir mit einem kurzen Beispiel. Stellen Sie sich vor, Sie sichern eine Burg – hohe Mauern, ein Burggraben und das Neuste vom Neuen in Sachen Zugangskontrollen. Es ist theoretisch unmöglich, auch nur einen Schlitz im Mauerwerk zu finden, denn technisch ist Ihr Sicherheitskonzept perfekt.

Gleichzeitig stehen drei Türen ständig weit offen:

  • Weil Paket-Lieferungen Teil des funktionierenden Betriebs Ihrer Burg sind,
  • zum Lüften eines stickigen und dunklen Flurs
  • und weil jemand sich an eine Proklamation zu erinnern glaubt, die „Geschlossene-Tür-Massnahme“ gelte wegen der Windrichtung nur im Ost-Flügel.

Da haben es natürlich auch Angreifer nicht schwer, trotz allem einzudringen und ihrer Burg zu schaden. Das Sicherheitskonzept hat Lücken übersehen, die ganz selbstverständlich im Alltag jeder Organisation entstehen. Ein notwendiger Teil der täglichen Arbeit durch Mitarbeitende wurde nicht voll berücksichtigt und dadurch entsteht eine Schwachstelle im Konzept. Auch wenn Sicherheitsmassnahmen die Arbeit erschweren, entstehen Gefahrenstellen durch Vernachlässigung von unliebsamen Regeln. Zuletzt entstehen nicht selten Lücken, weil Informationen zur Notwendigkeit von Massnahmen in einer Flut von Fortbildungswissen verloren gehen.

Das passiert oft, wenn Mitarbeitende nicht in die Konzeption und vor allem auch alltägliche Implementierung der Sicherheitsmassnahmen einbezogen werden. Es passiert aber auch, weil Mitarbeitende den Nutzen nicht sehen, sondern nur die Einschränkungen für ihre Arbeit.

Oft wird für alle – Mitarbeitende wie Chefs – ein Kampf oder sogar fast ein Spiel daraus, die Sicherheitsvorgaben zu umgehen und im Zweifel nicht an etablierten Arbeitsweisen zu rütteln.

Wie Sie anhand des Beispiels sehen, ist es wichtig, ein gutes Sicherheitskonzept zu haben, dass nicht nur auf technischen Lösungen besteht, sondern auch die Komponente ‘Mensch’ miteinbezieht.

Das Verhalten von Menschen zu verändern, ist eine Herausforderung. Umso mehr, wenn es nicht ausreichend verstanden wird. Deswegen baut unser Ansatz für nachhaltige Verhaltensänderungen auf dem Verständnis dieses Themenkomplexes durch wissenschaftliche Modelle auf.

Das COM-B-Modell nach Michie et al., 2011 und das B=MAT Modell nach Fogg, 2009 sind zwei wissenschaftliche Modelle zur Analyse von Sicherheitsmassnahmen in Unternehmen. Sie bieten eine Basis, die Gründe für Fehlverhalten zu verstehen und dann angemessene Massnahmen zu Behebung auszuwählen. Wir haben diese Modelle in unserem Whitepaper «So erreichen Sie eine echte und nachhaltige Verhaltensveränderung» (1) kurz beschrieben.

Sie können nachhaltige Verhaltensänderungen in Ihrem Unternehmen herbeiführen, wenn Sie dieses Verständnis nutzen und darauf aufbauend die Massnahmen auswählen, die am effektivsten Sicherheitslücken schliessen.

Der Sicherheitskultur Management Prozess

Für das Managen einer Sicherheitskultur schlagen wir die Methode des TreeSolution Sicherheitskultur-Management Prozesses vor, um sichereres Verhalten zu verankern. Dieser Prozess beinhaltet drei Schritte, die wiederkehrend angewendet werden.

  1. Messen: Sicherheitskultur messen
  2. Planen: Sicherheitskultur planen
  3. Transformieren: Sicherheitskultur einführen und verankern

TreeSolutions Sicherheitskultur-Management-Prozess
Abbildung 1: TreeSolutions Sicherheitskultur-Management-Prozess

Der laufende Prozess, der stetig von vorne beginnt und auf dem letzten Zyklus aufbaut, hilft so, das korrekte Verhalten zu verinnerlichen. Ein Zyklus dauert in der Regel 1-3 Jahre.

Schritt 1: Messen - mit dem Security Awareness Radar® den Stand der Informationssicherheit messen und Massstäbe setzen

Der Security Awareness Radar® erlaubt es Ihnen, den aktuellen Stand der Informationssicherheit in Ihrem Unternehmen zu messen. Dies kann zu Beginn gemacht werden, wenn Sie noch keine Sicherheitskultur implementiert haben oder Sicherheitstrainings durchgeführt haben. Oder wenn Sie bereits ein grundlegendes Bewusstsein für Sicherheit geschaffen haben. Die Analyse mit dem Security Awareness Radar® ermöglicht Ihnen, Schwachstelle und Probleme zu sehen und diese zielgerichtet anzugehen. Die vielfältigen Faktoren, welche das Verhalten der Mitarbeitenden beeinflussen, müssen regelmässig analysiert werden, damit auf Abteilungsebene und auf Mitarbeiterstufe eruiert werden kann, welche Massnahmen erforderlich sind. Mit der Hilfe des Security Awareness Radar® kann Sicherheit in der Kultur in Ihrem Unternehmen verankert werden und so im alltäglichen Denken und Handeln aller Mitarbeiter bis in die Führungsebene einfliessen.

Durch das wiederkehrende Befragen, Analysieren und Massnahmen definieren entwickelt sich Ihre Sicherheitskultur stetig weiter.

Schritt 2: Planen - darauf aufbauend eine Sicherheitskultur planen

Nach der Messung und Analyse der Sicherheitskultur muss ein Plan erstellt werden, wann welche Massnahmen in welcher Abteilung wie umgesetzt werden. Zudem definieren Sie, wie das richtige Verhalten sein muss, wo Sie jetzt stehen und wie Sie das Ziel erreichen können. Die Strategie sollte auf die Pfeiler Awareness, Verhalten und Kultur abzielen, sodass alle Punkte berücksichtig und gestärkt werden.

Mit einer Sicherheitsstrategie erreichen Sie ein erhöhtes Sicherheitsbewusstsein und mehr Verständnis Ihrer Mitarbeiter. So können Sie Risiken besser erkennen und wissen, wie sie sich sicher und entsprechend der Sicherheitsanforderungen verhalten.

Effektive Changemanagement-Strategie

Damit die Mitarbeitenden ein neues Verhalten lernen können, ist es wichtig, darauf zu achten, dass die Veränderungen lernbar, ausführbar und akzeptierbar sind. Zudem ist es hilfreich, wenn ein gewünschtes Verhalten vom Management vorgelebt wird. Bspw. zeigt das McKinsey Influence Model (2) auf, welche Schlüsselfaktoren das Verhalten und die Gedanken der Mitarbeitenden Beeinflussen, wenn es darum geht, das Verhalten zu verändern. Auch der ENISA Report (3) kommt zu der Erkenntnis, dass ein sicheres Verhalten nur erreicht werden kann, wenn das gewünschte Verhalten im täglichen Arbeitsalltag anwendbar und umsetzbar ist. Daher sollten diese Punkte bei der Entwicklung der Sicherheitsstrategie beachtet werden. Das Engagement der Mitarbeiter verändert sich im Laufe der Zeit in Bezug auf ein Thema von Aufmerksamkeit, über Akzeptanz hin zur Verankerung. Dieser Prozess sollte in der Entwicklung der Strategie ebenfalls mitberücksichtigt werden, da jede Stufe andere Trainings-Massnahmen erfordert.

TreeSolutions Change Management Strategie
TreeSolutions Change-Management Strategie

Schritt 3: Transformieren - eine Sicherheitskultur einführen und Schulen

Nach der Entwicklung und Festlegung der Sicherheitsstrategie muss diese umgesetzt werden. Eine einfache und effiziente Möglichkeit dafür sind E-Learnings. Sie erlauben es, den Mitarbeitenden die Schulung zeitlich flexibel durchzuführen. Zudem muss dafür der Arbeitsplatz nicht verlassen werden. Neue E-Learnings mit Ansätzen von Gamifizierung sind effizienter als herkömmliche E-Learnings, da sie die Nutzer durch Abzeichen, Rankings und spielerische Elemente stärker motivieren. Ganze Sicherheitskampagnen, welche den Fokus auf unterschiedliche Lerntypen legen, sind auch eine gute Möglichkeit das Thema Informationssicherheit in der Organisation zu verankern. Kampagnen können bspw. aus Plakaten, E-Mails, Stickern, E-Learnings, Broschüren etc. bestehen und durch eine Rahmengeschichte zusammengehalten werden.

Die Schulung auf unterschiedlichen Ebenen und Themen dient auch dazu, die verschiedenen Phasen des Change-Managements zu erreichen. Denn jede Phase benötigt andere Massnahmen, damit die nächst höherer Phase herbeigeführt, und die aktuelle Phase gelebt werden kann. Die Trainings dienen dazu, die Mitarbeitenden mit Hintergrundwissen zu versorgen, Erklärungen zu liefern und sich an sicherheitsrelevantes Verhalten zu erinnern. Weiter sollen sie dadurch an sicheres Verhalten gewöhnt werden, sowie dazu motiviert werden, es auch umzusetzen.

Übergang zu einer effizienten Sicherheitskultur

Die Transformation zu einer Sicherheitskultur muss ständig gefördert, angepasst und geändert werden, um eine nachhaltige Verbesserung zu erreichen und gleichzeitig die kontinuierlichen Veränderungen der sozialen Zusammenarbeit und der Risiken der Informations- und Kommunikationstechnologie abzudecken. Somit ist das Management einer Sicherheitskultur ein kontinuierlicher Verbesserungs- und Anpassungsprozess.

Auch die Führungskräfte müssen entsprechend geschult werden, damit sie weiterhin Ihre Mitarbeiter motivieren und täglich die richtigen Informationssicherheitsprinzipien anwenden. Durch die Teilnahme der Führungskräfte auf allen Ebenen wird die Wirksamkeit der Informationssicherheit gesteigert.

Um langfristige Veränderungen herbeizuführen, müssen Sie Sicherheit in der Kultur Ihres Unternehmens verankern. Dazu müssen Sie natürlich technische Lösungen finden, um Sicherheit möglich zu machen. Damit sie allerdings tatsächlich umgesetzt wird, sind Ihre Mitarbeitenden der entscheidende Ansatzpunkt. Die Etablierung einer eigenen Sicherheitskultur ist hierfür ratsam, damit die technischen wie auch die Awarenesslösungen für Mitarbeitende sauber geplant, eingeführt, gelebt und überprüft werden können.

(1) TreeSolution Consulting (2019): Whitepaper «So erreichen Sie eine echte und nachhaltige Verhaltensveränderung» https://www.treesolution.com/gratis-whitepaper-so-erreichen-sie-eine-echte-und-nachhaltige-verhaltensveranderung

(2) McKinsey Quarterly (2016): The four building blocks of change. April 2016. https://www.mckinsey.com/business-functions/organization/our-insights/the-four-building-blocks--of-change

(3) ENISA Report (2018): Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. Seite 21. https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.