Im vergangenen Jahr waren 74 % aller Datenschutzverletzungen mit menschlichen Faktoren verbunden – sei es, weil Anwender sich riskant verhielten oder böswillige Aktionen durchführten. Es ist durchaus schwierig, alle Arten von Insider-Bedrohungen abzuwehren. Dabei spielt es keine Rolle, ob dahinter ein versehentlicher Fehler oder böswillige Absicht steht. Mit einer starken Sicherheitskultur lässt sich die Zahl dieser Zwischenfälle allerdings erheblich reduzieren.
Der Aufbau einer starken Sicherheitskultur ist jedoch alles andere als einfach. Erstens kann das Konzept einer Sicherheitskultur als sehr vage wahrgenommen werden, weil es keine standardisierte Methode zu deren Messung gibt. Einige Unternehmen analysieren ihre Kultur mithilfe von Phishing-Simulationen, Klickraten oder Meldungsraten, während andere die Abschlussquoten bei Schulungen oder die Geschwindigkeit auswerten, mit der Schulungseinheiten abgeschlossen werden.
In diesem Blog-Beitrag zeigen wir, was Sicherheitskultur wirklich bedeutet, warum sie für Ihr Unternehmen unverzichtbar ist und wie Sie vorgehen müssen, um eine starke und nachhaltige Kultur zu implementieren.
Was bedeutet „Sicherheitskultur“?
Nach der Proofpoint-eigenen Definition umfasst Sicherheitskultur die Überzeugungen, Werte und Einstellungen, die die Grundlage für das Verhalten von Angestellten beim Schutz ihres Unternehmens vor Cyberangriffen bilden.
Dieses Konzept wurde zum ersten Mal im Jahr 2019 von den MIT-Forschern Keman Huang und Keri Pearlson beschrieben. Dabei gilt die Sicherheitskultur eines Unternehmens als schwach, wenn die Mitarbeiter keinen Nutzen in bewährten Sicherheitsverfahren sehen oder Cybersicherheit sogar als etwas Negatives betrachten, z. B. als Hindernis für die Produktivität.
Welche Methode eignet sich zum Messen einer Sicherheitskultur?
Wir wollen das Konzept der Sicherheitskultur konkreter definieren und haben es daher in drei Kernaspekte aufgeteilt:
- Verantwortung: Die Mitarbeiter sind der Meinung, dass sie sich proaktiv an der Verhinderung von Sicherheitszwischenfällen beteiligen sollten.
- Bedeutung: Die Mitarbeiter sind der Ansicht, dass Cyberbedrohungen nicht nur ein schwerwiegendes Risiko für das Unternehmen sind, sondern sie auch direkt und persönlich betreffen können.
- Unterstützung: Die Mitarbeiter werden dabei unterstützt, verantwortungsvoll zu handeln, da sie sich ausreichend mit Cybersicherheit und Vorschriften auskennen. Wenn sie eine falsche Entscheidung treffen, können sie darauf vertrauen, dass ihr Unternehmen mögliche Probleme schnell löst.
Das Proofpoint-Modell der Cybersicherheitskultur steht im Mittelpunkt dieser drei Faktoren.
Ein Unternehmen, das seine Sicherheitskultur bewerten will, kann dazu eine entsprechende Umfrage durchführen und ermitteln, wie zuverlässig die Mitarbeiter sicherheitsbewusste Entscheidungen treffen und die richtigen Maßnahmen treffen.
Das letztendliche Ziel besteht darin, positive Verhaltensänderungen zu erreichen. Die Mitarbeiter sollten motiviert sein, ihr Unternehmen durch das Befolgen empfohlener Vorgehensweisen zu schützen.
Warum ist eine Sicherheitskultur so wichtig?
Der Proofpoint State of the Phish-Bericht für 2024 zeigte, dass 96 % der berufstätigen Erwachsenen, die riskante Aktivitäten einräumten, sich über die damit verbundenen Gefahren im Klaren waren. Dieses Ergebnis widerspricht der klassischen Annahme, dass Menschen riskantes Verhalten an den Tag legen, weil ihnen die entsprechenden Sicherheitskenntnisse fehlen. Gleichzeitig erklärt es aber auch, warum Schulungen allein nicht genügen und eine starke Sicherheitskultur unverzichtbar ist.
Zur Sicherheitskultur gehört, wie Mitarbeiter die Sicherheitsverfahren und -richtlinien wahrnehmen, umsetzen und befolgen. Sie beeinflusst ihre Entscheidungen, beispielsweise den Umgang mit vertraulichen Daten oder die Reaktion bei potenziellen Phishing-E-Mails. Diese Entscheidungen wiederum wirken sich direkt auf die Sicherheitslage des gesamten Unternehmens aus.
Eine starke Sicherheitskultur minimiert personenbezogene Risiken, da die Mitarbeiter die richtigen Tools und die notwendigen Kompetenzen erhalten, um Risiken zu erkennen und gefährliches Verhalten zu vermeiden. Gleichzeitig werden sie motiviert, Sicherheitsverfahren zu befolgen, da sie sich des Nutzens der Sicherheitsmaßnahmen, der potenziellen Risiken sowie der Konsequenzen von Compliance-Verstößen bewusst sind.
Eine robuste Sicherheitskultur fördert auch das Verantwortungsbewusstsein der Mitarbeiter. In unserem State of the Phish-Bericht für 2024 waren 60 % der Befragten sich nicht sicher oder glaubten nicht, dass sie für den Schutz ihres Unternehmens mitverantwortlich sind. Wenn Mitarbeiter der Auswirkungen ihrer Aktivitäten auf die Sicherheitslage ihres Unternehmens bewusst sind, steigt die Wahrscheinlichkeit, dass sie sich verantwortungsbewusst verhalten. Dieses Bewusstsein für die eigene Verantwortung ist enorm wichtig.
Aus welchen zentralen Elementen besteht eine starke Sicherheitskultur?
Dies sind einige der zentralen Elemente einer starken Sicherheitskultur:
- Engagierte Unternehmensführung: Die Führungskräfte wissen, dass Sicherheit von größter Wichtigkeit ist, was auch in ihre geschäftlichen Entscheidungen einfließt. Das wirkt sich auf das gesamte Unternehmen aus und gewährleistet, dass Sicherheitsmaßnahmen proaktiv und nicht nur im Nachgang umgesetzt werden.
- Motivierte und sicherheitsbewusste Mitarbeiter: Mitarbeiter sind nicht nur sicherheitsbewusst, sondern beteiligen sich aktiv an Security-Awareness-Schulungen. Da sie die Risiken und potenziellen Konsequenzen von Verstößen gegen etablierte Sicherheitsverfahren kennen, sind sie motiviert zu lernen und sie anzuwenden.
- Klare Zuständigkeit: Mitarbeiter auf allen Unternehmensebenen wissen, dass sie beim Schutz ihres Unternehmens eine zentrale Rolle spielen. Sie betrachten Sicherheit nicht als Zuständigkeit anderer Personen.
- Vertrauen und Offenheit: Die Mitarbeiter haben das Gefühl, Sicherheitsprobleme melden zu können, ohne Nachteile erleiden zu müssen. Sie haben keine Angst vor dem Zugeben von Fehlern, weil sie nicht bestraft werden. Stattdessen wissen sie, dass ihnen das Sicherheitsteam bei Bedarf hilft.
Wie können Sie eine starke Sicherheitskultur implementieren?
Folgende drei Prinzipien sind für die Implementierung einer starken Sicherheitskultur zentral:
- Kennen Sie Ihr Unternehmen. Zu Beginn müssen Sie die wichtigsten Risiken für Ihr Unternehmen sowie potenziell problematische Mikrokulturen identifizieren. Dadurch können Sie gewährleisten, dass Ihre Mitarbeiter funktionsübergreifend zusammenarbeiten. In dieser Phase sollten Sie zudem verhaltensbezogene Risiken identifizieren und Rückmeldungen zu wichtigen Faktoren wie dem Vertrauen der Angestellten in das Sicherheitsteam einholen.
- Bauen Sie Beziehungen auf. In der nächsten Phase arbeiten Sie funktionsübergreifend mit Führungskräften und Einflussnehmern zusammen. Dabei besteht Ihr Ziel im Aufbau eines Netzwerks, das Mitarbeiter aus wichtigen internen Abteilungen wie der Personalabteilung, Rechtsabteilung, Compliance und Unternehmenskommunikation verbindet. Anschließend bemühen Sie sich, Unterstützung durch die Unternehmensführung sowie Zugang zu Ressourcen zu erhalten.
- Machen Sie Mitarbeiter zu Verantwortlichen. Es ist wichtig, den Nutzen und die Ziele einer Sicherheitskultur sowie Ihre Erwartungen regelmäßig zu kommunizieren. Ein Teil dieses Prozesses besteht darin, Kanäle zum Einholen positiver und negativer Mitarbeiter-Rückmeldungen aufzubauen. Zeigen Sie Ihren Mitarbeitern auf verschiedene Weise, dass Cybersicherheit für sie persönlich wichtig ist, und schaffen Sie eine sichere Umgebung zum Lernen und für die Weiterentwicklung.
Diese Prinzipien werden im Proofpoint ZenGuide™ detailliert beschrieben. Dieser umfassende Leitfaden bietet einen Kommunikationsplan, mit dem Sie Ihre Ziele beim Aufbau einer Cybersicherheitskultur erreichen.
Auszug aus dem Kommunikationsplan im Proofpoint ZenGuide™.
Überwindung typischer Probleme
Die Implementierung einer starken Sicherheitskultur ist kein Kinderspiel. Deshalb hier einige Vorschläge dazu, wie Sie typische Hindernisse überwinden können:
- Stärken Sie das Bewusstsein im Unternehmen. Nicht alle Mitarbeiter verfügen über die gleichen Sicherheitskenntnisse. Gestalten Sie Ihr Programm wie eine Marketing-Kampagne: Nutzen Sie verschiedene Kommunikationskanäle und Medien, um Ihre Zielgruppe zu erreichen. Dabei sollten Sie Ihre Botschaften an die jeweilige Position und möglicherweise sogar an die jeweilige Person anpassen.
- Nutzen Sie quantitative und qualitative Erkenntnisse. Wenn Sie überzeugende Argumente für die Investition in eine starke Sicherheitskultur suchen, sind Daten aus Branchenberichten eine große Hilfe. Eine gut erzählte Geschichte bleibt häufig besser bei den Zuhörern hängen als eine Aufzählung von Fakten. Wenn Sie versuchen, die Kosten zu rechtfertigen oder zusätzliche Ressourcen anzufordern, sollten Sie also Fakten und Geschichten verbinden.
- Die Kommunikation muss in beiden Richtungen funktionieren. Mit bidirektionaler Kommunikation ist gemeint, dass Mitarbeiter dazu motiviert werden, ihre Meinung und Ideen zu äußern. Wenn sie Fragen stellen oder Bedenken über Sicherheitsinitiativen anbringen können, fördert das die Beteiligung und gewährleistet, dass die Mitarbeiter nicht das Gefühl haben, die Maßnahmen würden ihnen von oben aufgezwungen werden. Es gibt kaum bessere Möglichkeiten zur Steigerung der Motivation.
Fazit
Eine starke Sicherheitskultur ist unverzichtbar, um Unternehmen vor Cyberangriffen zu schützen. Diese Kultur wird von den Mitarbeitern geprägt und gestaltet – von ihren Ansichten über Sicherheit, von ihrer Einstellung über die Zuständigkeit sowie von ihren Möglichkeiten und Handlungsoptionen. Im Gegenzug wirkt sich die Kultur auch direkt auf die Mitarbeiter und darauf aus, wie sie Sicherheitsverfahren wahrnehmen und befolgen.
Sicherheitsteams können nur dann eine starke Sicherheitskultur aufbauen, wenn sie ihr eigenes Unternehmen verstehen. Zudem müssen sie abteilungsübergreifende Beziehungen knüpfen und die Mitarbeiter aktiv in den Schutz des Unternehmens einbinden. Diese Maßnahmen können klein anfangen, aber wenn sie kontinuierlich vorangetrieben werden, werden sie im Laufe der Zeit an Fahrt aufnehmen.
Wie kann Proofpoint Ihnen helfen?
Der Aufbau einer starken Sicherheitskultur ist eine Gemeinschaftsarbeit. Sie erreichen den Wunschzustand aber schneller, wenn Sie auf eine umfassende Lösung sowie einen strategischen Partner zurückgreifen können.
Proofpoint nutzt einen flexiblen personenzentrierten Risikoansatz, um Verhalten und Kultur nachhaltig zu ändern. Unsere einzigartige DICE-Methodik – Englisch für Detect, Intervene, Change Behavior, Evaluate (Erkennen, Intervenieren, Verhalten ändern, Evaluieren) – bietet Unternehmen einen bewährten Rahmen für die Korrektur unsicherer Verhaltensweisen und den Aufbau einer sicherheitsbewussten Kultur.
Proofpoint ZenGuide™ nutzt die bewährte DICE-Methodik.
Suchen Sie Unterstützung bei der Schulung Ihres Mitarbeiterstamms? Dann bieten sich die Proofpoint Premium-Services an. Unsere Programme zur Verbesserung des Sicherheitsbewusstseins sowie zur Risikominimierung sind keine Checklisten-Features, sondern helfen Ihnen, eine starke Sicherheitskultur zu implementieren und Risiken nachhaltig zu reduzieren.
Das macht Proofpoint zu einem strategischen Partner mit Mehrwert, der Sie bei der Implementierung von Best Practices unterstützt. Zudem helfen wir Sicherheitsteams, Mitarbeiter effektiver anzusprechen und zu motivieren. Dazu nutzen wir Informationen zum Thema Cybersicherheit, die auf aktuellen Bedrohungsdaten und Erkenntnisse zu Risiken basieren.
Mit Proofpoint ZenGuide können schlanke Sicherheitsteams personalisierte Lernpfade automatisieren und skalieren, die auf dem individuellen Risikoprofil, dem Verhalten und der Rolle jedes einzelnen Mitarbeiters basieren. Weitere Informationen erhalten Sie auf der Produktseite zu Proofpoint ZenGuide.
Weitere Tipps zum Aufbau einer nachhaltigen Sicherheitskultur erhalten Sie in unserem E-Book Mehr als nur Cybersicherheits-Schulungen.