08.07.2024 | Markus Günther
Sicherheitskultur ist mehr als Awareness
In seinem neusten Bericht hat das Cyber Safety Review Board (CSRB), eine Sonderkommision der US-Regierung, Microsoft eine «unzureichende Sicherheitskultur» attestiert. Diese wurde als eine wichtige Ursache für einen massiven, weltweiten Sicherheitsvorfall im Jahr 2023 identifiziert. Während diese klare, öffentliche Anklage überrascht, zeigt sie auf, was passieren kann, wenn dieser Teil der Unternehmenskultur zu niedrig priorisiert wird
Was hinter dem Begriff «Sicherheitskultur» steckt
Sicherheitskultur ist ein integraler Bestandteil der Unternehmenskultur. Sie existiert in jedem Unternehmen, kann jedoch in verschiedenen Ausprägungen vorliegen, sowohl positiv als auch negativ. Eine hochentwickelte Sicherheitskultur zeichnet sich durch eine hohe Präsenz von positiven Merkmalen aus. Eine hochentwickelte Sicherheitskultur zeichnet sich durch eine Vielzahl positiver Merkmale aus. Diese Merkmale können sichtbar oder unsichtbar sein und hängen von der Grösse und Art der Organisation ab. Zu den sichtbaren Merkmalen gehören beispielsweise regelmässige Sicherheitsübungen, klare und dokumentierte Sicherheitsrichtlinien sowie Schulungen und Fortbildungen für die Mitarbeiter. Unsichtbare Merkmale umfassen eine ausgeprägte Sicherheitsbewusstseinsmentalität und eine offene Kommunikationskultur bezüglich Sicherheitsfragen. Eine Bundesbehörde weist dabei andere Merkmale auf als ein KMU, da sie unterschiedlichen Risiken ausgesetzt ist.
Merkmale werden zudem in ihrer Wirkungsweise unterschieden: Es gibt lenkende wie auch resultierende Merkmale.
Eine schriftliche Aussage der Geschäftsführung zum Stellenwert von Informationssicherheit für die Organisation hat beispielsweise eine lenkende Wirkung, da sie Orientierung gibt und als Referenz für Entscheidungen dient.
Dem entgegen kann ein fahrlässiger Umgang mit Berechtigungen als Resultat angesehen werden.
Sicherheitskultur geht also weit über die blosse Einhaltung von Vorschriften hinaus. Sie umfasst die Werte, Einstellungen, Überzeugungen und Verhaltensweisen einer Organisation in Bezug auf Sicherheit. Eine positive Sicherheitskultur fördert ein Umfeld, in dem sich Führungskräfte und Mitarbeiter aktiv um Sicherheit bemühen, Risiken erkennen und melden. Zudem ergreifen sie proaktiv Massnahmen zur Risikominderung, anstatt diese zu ignorieren und kleinzureden. Dreh- und Angelpunkt ist die kommunizierte Haltung des Topmanagements. Ebenso ist eine positive Fehlerkultur präsent, die allen Mitarbeitern eine Weiterentwicklung ermöglicht.
Kultur fördern statt nur Awareness schaffen
Awareness, also das Bewusstsein für spezifische Risiken, ist ein wichtiger Bestandteil einer guten Sicherheitskultur, jedoch nicht der einzige. Weitere zentrale Säulen sind effektive Kommunikation, gut definierte Prozesse und engagierte Führung. Eine positive Kultur führt zu Awareness, Awareness wiederum begünstigt die Weiterentwicklung einer solchen Kultur. Dafür muss jedoch die individuelle Situation der Mitarbeiter berücksichtigt werden. Der Leitsatz «One size fits all» wirft alle Mitarbeiter in einen Topf und geht nicht auf unterschiedliche Bedürfnisse ein, wodurch in der Praxis kaum Risiken reduziert werden und Sicherheit zu einer blossen Pflichtübung wird.
Die Versuchung des «One size fits all»-Ansatzes
Die Versuchung ist gross, auf einen «One size fits all»-Ansatz zu setzen: Es werden einmalige Massnahmen plus Phishingsimulationen umgesetzt, um die Awareness bei den Mitarbeitern als «erledigt» zu markieren. In homogenen Umgebungen mit standardisierten Arbeitsplätzen mag dies funktionieren. In heterogenen Umgebungen führt dies jedoch weder zu hoher Maturität noch zu tatsächlicher Risikoreduzierung, sondern zu einer reinen Compliance-Massnahme ohne Wirkung.
Zwei Ausprägungen des «One size fits all»-Ansatzes:
- Oberflächlich: Alle Themen werden oberflächlich behandelt, um Zeit zu sparen. Relevante Themen bleiben unvermittelt, irrelevante Themen verwirren.
- In die Tiefe: Intensive Vermittlung aller Themen, jedoch zeitaufwendig und ohne Berücksichtigung individueller Lernbedürfnisse.
Herausforderung: Mehr als 50’000 Beschäftigte
Genau diese Herausforderung stand bei einem unserer Kunden mit über 50’000 Mitarbeitern in verschiedenen Sprach- und Kulturregionen und einer sich wandelnden IT-Landschaft im Vordergrund. Wir fanden eine maximale Heterogenität der jeweiligen Arbeitsumfelder vor – von Mitarbeitern im Büro über Zugführer, die nur mit Mobilgeräten ausgestattet sind, bis hin zu Spezialisten für Bahntechnik in Industriewerken.
Lösung: Adaptive Awareness
Wir implementierten erfolgreich das Prinzip der adaptiven Awareness über die 1st Line.
Erfolgsfaktoren:
- Verantwortungsbewusste Führungskräfte
- Klare Erwartungshaltung des Unternehmens
- Dashboard für transparentes und messbares Risiko-Management/Monitoring
- Unkomplizierte Risikomanagement-Tools für Führungskräfte
- Individuelle Lernprofile für interessierte Mitarbeiter
- Kontinuierliche Weiterentwicklung von Lerninhalten
Vorteile:
- Individuelle Zielgruppenansprache
- Gezielte Massnahmen an Risikohotspots
- Effektive und effiziente Risikoreduzierung
- Autonomie für Führungskräfte
- Interner Wettbewerb durch Vergleichbarkeit
Was hat der Kunde erhalten?
Durch das Gesamtpaket entstand eine Kulturbewegung, die das Unternehmen nachhaltig beeinflusst hat und die Frage «Wie sieht sicheres Verhalten aus?» in den Vordergrund gerückt hat.
Durch die konsequente Anwendung der bereitgestellten Prozesse und Werkzeuge werden die Mitarbeiter dauerhaft zu gut vorbereiteten Sensoren, die ungewöhnliche Beobachtungen frühzeitig erkennen und melden. Dies ermöglicht eine rasche Reaktion auf potenzielle Bedrohungen und erhöht die Gesamtsicherheit im Betrieb erheblich, ohne dass die anfallenden Kosten unverhältnismässig steigen.
Was ist der Beitrag von Temet?
Wir haben die Konzeption einer neuen Lösung übernommen. Einer tiefgehenden Analyse der Kundensituation folgte das massgeschneiderte Lösungsdesign, die Begleitung durch verschiedenste Gremien und die Umsetzung bis schlussendlich eine Kulturbewegung spürbar war.
Sicherheitskultur – eine Reise
Kultur umfasst, was Menschen in einer Organisation glauben, für wichtig oder unwichtig halten, auch wenn sie keiner durchgehenden Kontrolle unterliegen. Keine Organisation ist statisch. Neue Mitarbeiter bringen zwar neue Ideen ein, müssen aber auch von bestehenden Wertvorstellungen überzeugt werden.
Besonders herausfordernd, aber auch fördernd, können Veränderungen in der Führungsetage sein. Eine Verschiebung von Prioritäten und Budgetkürzungen können erheblichen Druck auf eine Kulturbewegung ausüben. Technische Veränderungen, wie beispielsweise ein Umbau der IT-Infrastruktur auf Clouddienste, können neue Risiken, aber auch Chancen mit sich bringen.
Regulatorische Anforderungen, die beispielsweise durch die FINMA in Form von Vor-Ort-Kontrollen eingefordert werden, können neue Schwerpunkte setzen und für eine begrenzte Zeit dafür sorgen, dass Ressourcen anderweitig gebunden sind.
Sicherheitsvorfälle können Rückschläge darstellen, da sie Schwachstellen aufdecken, die als geschlossen oder nicht vorhanden galten. Gleichzeitig bieten sie jedoch die Chance, bislang unentdeckte Lücken zu erkennen und zu schliessen und die Organisation auf die Bedeutung kontinuierlicher Weiterentwicklung hinzuweisen.
Auf Grund dieser Dynamik empfehlen wir, in regelmässigen Abständen zu untersuchen, ob und wie sich die eigene Sicherheitskultur entwickelt, um diese zu fördern und damit aktiv Sicherheitsrisiken zu reduzieren. Somit kann die Organisation ihre Aufgabenbereiche ungestört ausüben.
Wo steht ihre Sicherheitskultur? Drei Fragen, die Sie sich stellen sollten:
- Was ist die schriftliche Haltung der Geschäftsführung zum Thema Sicherheit?
- Wie geht mein Vorgesetzter damit um?
- Traue ich mich, eine Frage zu stellen oder eine Beobachtung zu melden?
Notiz am Rande: Anfang Mai hat der Microsoft CEO Satya Nadella auf die festgestellten Mängel reagiert und in einem internen Memo klar gestellt, dass Sicherheit für das Unternehmen zukünftig bei allen Entscheidungen an erste Stelle stehen soll.
Markus Günther ist seit fast 10 Jahren in der Cybersecurity tätig. Nach Stationen als SOC-Analyst und IT-Sicherheitsbeauftragter konzentriert er sich nun hauptsächlich auf die Weiterentwicklung der Sicherheitskultur. Für unsere Kunden führt er zudem Audits und Assessments durch.
Markus Günther, Senior Security Consultant