Die Bedrohungslage steigt. Was können Unternehmen tun, um sich besser vor Cyberangriffen zu schützen? Ein zentraler Punkt in der Informationssicherheit bildet der Aufbau der menschlichen Firewall durch die konsistente Kreation von Awareness bei allen Mitarbeitenden. Eines wird dabei jedoch häufig übersehen: die unterschätzte Rolle der Führungskräfte.
Der Inhalt im Überblick
- Ausgangslage: Gestiegene Bedrohungslage
- Führen durch Vorbild
- Tonalität der Ansprache
- Regelmäßige Kommunikation mit den Mitarbeitenden
- Zielgruppengerechte Informationen
- Vertrauen gewinnen
- Fehlerkultur (zugeben)
- Verhalten im Team besprechen und loben
- In den Alltag integrieren und Zeitfenster ermöglichen
- Gespräche statt Abmahnung
- Hilfestellungen geben
- Führungskräfte als Schlüsselfaktor für den Awareness-Erfolg
Ausgangslage: Gestiegene Bedrohungslage
Der Markt ist in Bewegung, Änderungen in den Normen (ISO 27001, ISO 27002) und der Regulatorik stehen an. Gleichzeitig steigt die Bedrohungslage von Jahr zu Jahr, wie der aktuelle Bericht zur Lage der IT-Sicherheit in Deutschland 2022 des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt.
Wir erleben tatsächlich in Kundengesprächen eine steigende Tendenz zur intrinsischen Motivation das Unternehmen sicherer aufzustellen. Wichtige Themen: Resilienz und Awareness. Dazu stehen verschiedene Möglichkeiten zur Verfügung. Unsere Tipps zur Konzeption haben wir bereits im Artikel 10 Erfolgsfaktoren bei der Konzeption eines IT-Security-Awareness-Programms geteilt. Im Mittelpunkt dieses Artikels sollten nun jedoch die Führungskräfte als Vorbild stehen.
Führen durch Vorbild
Mitarbeitende merken schnell, wie das Thema Informationssicherheit im Unternehmen gelebt wird. Als Konsequenz wirkt sich die Einstellung des Managements entscheidend auf das Verhalten jedes Einzelnen aus. So merken die Mitarbeitenden sehr schnell, wie es um die Motivation des Managements bestellt ist. Ist man tatsächlich intrinsisch motiviert und will das Thema vorantreiben? Oder will man einfach nur Punkte der Norm oder Regulatorik erfüllen, ohne den Sinn dahinter verstehen (zu wollen)? Beides Kerneinstellungen, die entsprechende Verhaltensweisen bedingen.
Tonalität der Ansprache
Ganz entscheidend ist die Tonalität in der Ansprache. Wenn Sie beispielsweise als Führungskräfte zu einer Awareness-Schulung einladen, sollten sie sich überlegen, welche Überschrift mehr bringt: „Pflichttraining“ oder „Tipps zur Informationssicherheit“. Bei der ersten Wahl können Sie oftmals davon ausgehen, dass der Inhalt wenig wahrgenommen werden wird. Bei der zweiten Wahl erscheint der Termin schon wesentlich interessanter. Als zusätzlichen Benefit kann noch verdeutlicht werden, dass das erworbene Wissen über die Grenzen des beruflichen geht und man auch im Privatleben davon profitiert.
Regelmäßige Kommunikation mit den Mitarbeitenden
Die Kommunikation der Führungskräfte zum Thema Informationssicherheit kommt eine große Bedeutung zu. Wir empfehlen eine regelmäßige Kommunikation in geplanten Intervallen, und zwar auf Augenhöhe. Natürlich immer passend zur jeweiligen Unternehmenskultur.
Unter „Augenhöhe“ definieren wir eine Vermeidung von Belehrungen „von oben herab“ und empfehlen die Schaffung einer Kultur des wechselseitigen Dialogs. Die Mitarbeitenden sollten eine offene Kommunikationskultur erleben und ermutigt werden, ihre Themen zu platzieren.
Zielgruppengerechte Informationen
Selbstverständlich ist es wünschenswert und vorteilhaft, wenn vom Management Informationen zum Thema Informationssicherheit zur Verfügung gestellt werden. Allerdings sollte auch hier beachtet werden, dass die Informationen nicht nur wegen der Norm oder Regulatorik zur Verfügung gestellt werden. Im Berateralltag haben wir oft erlebt, dass Inhalte für den Auditor und nicht für die Mitarbeitenden erstellt werden. Sehr lange Texte, die keiner liest, liefern jedoch keinen signifikanten Beitrag zur Informationssicherheit. Das bedeutet: Die Inhalte der Informationen sollten sich an den Bedürfnissen der Mitarbeitenden orientieren, nicht primär an den Anforderungen der Auditoren.
Vertrauen gewinnen
Sie merken an den vorher genannten Punkten: Es geht darum, Vertrauen bei den Mitarbeitenden zu gewinnen. Um die menschliche Firewall im Unternehmen zu installieren, brauchen wir selbstbewusste Mitarbeitende, die nicht von Angst getrieben sind. Führungskräfte sind angehalten, diesen Prozess für sich selbst zu verdeutlichen und zu fördern. Strategisch wie taktisch. Und das natürlich in jeder Verhaltensweise und Situation, denn Authentizität ist sehr wichtig.
Wenn es Ihnen gelingt, ein Klima des Vertrauens zu schaffen, ist das die Grundlage für Ihre Aktivitäten. Aber Vorsicht: Eine solche Situation ist erstrebenswert, aber nicht von Dauerhaftigkeit geprägt. Darüber sollten Sie sich bewusst sein. Um in Bildern zu sprechen: Diese zarte Pflanze sollte täglich gegossen werden.
Fehlerkultur (zugeben)
Daraus ergibt sich, dass ein Umfeld der Fehlerkultur generiert werden sollte. Ich habe einen Fehler gemacht! Und? Ja, mit etwas mehr Aufmerksamkeit und etwas weniger Druck hätte ich ihn vermeiden können. Oder auch nicht. Wir haben über Jahre doziert, dass die Mitarbeitenden die Gefahren erkennen sollten und welche Merkmale und Ausprägungen die Angriffe der Kriminellen haben. Nun hat sich die Situation geändert: Niemand ist mehr davor gefeit, auf Angriffe und Phishingversuche hereinzufallen. Die Professionalisierung der Kriminellen steigt stetig. Deshalb sollte es für Mitarbeitende selbstverständlich sein, Fehler zuzugeben und zu melden.
Wir sagen den Mitarbeitenden unserer Kunden immer: Bitte seien Sie wachsam und konzentriert. Sollten Sie aber in einem Moment der Unkonzentriertheit einen Fehler begangen haben, dann melden Sie dies. Nur so kann Ihr Unternehmen entsprechende Gegenmaßnahmen ergreifen. Sie haben keine Konsequenzen zu befürchten. Als Führungskraft sollten Sie dieses Klima unterstützen und auch eigene Fehler zugeben können. Das unterstreicht Ihre Glaubwürdigkeit.
Verhalten im Team besprechen und loben
Dazu gehört auch, die Themen der Informationssicherheit und deren Auswirkungen im Arbeitsalltag in Meetings mit Ihrem Team zu besprechen. Angst, Druck, Gier, Neugier, Vertrauen, Schmeichelei, Hilfsbereitschaft, Autorität – das alles sind menschliche psychische Faktoren, die sich die kriminellen Angreifer zunutze machen und dadurch die menschliche Firewall überwinden möchten.
Deshalb macht es Sinn, im Vorfeld präventiv auf diese Situationen einzugehen und gemeinsam Lösungen zu erarbeiten. Und Regelungen festzulegen. Beispielsweise könnten Sie Ihrem Team klar kommunizieren, dass Sie niemals eine dringende, vertrauliche Überweisung per E-Mail anfordern würden. Oder das externe Service-Mitarbeitende von Software-Dienstleistern sich immer an das IT-Team zu wenden haben. Fragen Sie auch aktiv nach den Erfahrungen Ihres Teams und besprechen Sie mögliche Situationen. Zu guter Letzt: Sparen Sie nicht mit Lob, wenn ein Mitarbeiter achtsam war und so einen Angriff vereitelt hat. Das sollten Sie dann vor dem gesamten Team kommunizieren.
In den Alltag integrieren und Zeitfenster ermöglichen
Die Themen der Informationssicherheit sollten bestenfalls in den Alltag Ihrer Mitarbeitenden integriert werden. Das bedeutet, idealerweise begleiten kommunikative Mittel (Poster, Plakate, etc.) flankierend die Awareness-Konzeption Ihres Unternehmens.
Sie, als Führungskraft können jedoch auch noch zusätzliche Möglichkeiten schaffen: Wie wäre es, wenn Sie zumindest einmal um Monat das Thema „Aktueller Stand und neueste Entwicklungen zur Informationssicherheit“ auf die Agenda nehmen? Und keine Sorge, Sie müssen bei diesem Punkt nicht recherchieren und referieren, sondern moderieren und eine mögliche Diskussion anstoßen. Aber so geben Sie Ihrem Team aktiv die Chance, sich auszutauschen, wenn Themen bestehen.
Auch wichtig: Führungskräfte sollten ihren Mitarbeitenden Zeit einräumen, um sich zu informieren. Der bestmöglich angelegte Confluence-Bereich bringt wenig, wenn man bei der Bewältigung seiner Aufgaben keine Zeit findet, diesen Inhalt zu lesen.
Gespräche statt Abmahnung
Ein heikles Thema: Sollten Mitarbeitende wiederholt und auf nicht nachvollziehbarer Art und Weise gegen Grundsätze der Gefahrenabwehr verstoßen haben und eventuell auf den ersten Blick nahezu vorsätzlich gegen einige Grundsätze verstoßen haben: Bitte nicht vorschnell die Abmahnung versenden. Dies ist zwar ein legitimes und auch gegebenenfalls ein vertraglich verankertes Mittel als Gegenmaßnahme zu vorsätzlich verursachten Informationssicherheitsvorfällen, sollte aber als eines der letzten Mittel angesehen werden. Besser: Das Gespräch suchen, Zuhören und versuchen, das Verhalten und die Sicht des Mitarbeitenden ergründen, um anschließend gemeinsam Lösungen für die Zukunft zu finden.
Hilfestellungen geben
Mitarbeitende wollen generell dem Unternehmen helfen, die menschliche Firewall zu generieren. Oftmals können sie es jedoch nicht. Warum? Weil die Welt komplexer geworden ist. Geben Sie als Führungskraft Orientierungshilfen. Auch hier ist der Grad und die Balance zwischen Bevormundung und Orientierungshilfe schmal. Nur, wenn Sie ein gewisses Vertrauen geschaffen haben, werden Ihre Mitarbeitenden diese annehmen. Andernfalls wird die gleiche Maßnahme oder Vorgabe als „Gängelei“ eingeordnet. Erkennen Sie den Unterschied. Geben Sie den Mitarbeitenden Orientierung, zum Beispiel beim Thema Passwortsicherheit. Lassen Sie auch Fragestellungen zu.
Führungskräfte als Schlüsselfaktor für den Awareness-Erfolg
Das Verhalten von Führungskräften ist ein Schlüsselfaktor für den Awareness-Erfolg und somit die Grundlage für die Schaffung von Informationssicherheit. Ohne das entsprechende Verhalten der Führungskräfte wird es schwer sein, die dringend benötigte menschliche Firewall in Ihrem Unternehmen aufzubauen.
Neben aller Technik und Organisation wird diese dringlich benötigt. Die Berücksichtigung der erwähnten Punkte kann entscheidend sein, alle Mitarbeitenden mitzunehmen und eine gute Basis der Angriffsabwehr zu schaffen. Unterschätzt werden sollte dieser Faktor nicht.
