Die teuerste IT-Sicherheitsausrüstung ist nichts wert, wenn das Thema Cybersecurity nicht in der Unternehmenskultur und somit auch im Handeln der Mitarbeiter verankert ist. Wie sich die Unternehmenskultur Schritt für Schritt zu mehr IT-Security Bewusstsein entwickeln kann und welche Abteilung dabei besonders wichtig ist, erfahrt ihr in diesem Artikel.

Eine im Jahr 2020 vom Bundeswirtschaftsministerium geförderte Studie offenbart, dass viele Unternehmen trotz IT-Security-Maßnahmen Opfer von Cyberangriffen werden. Daraus kann abgeleitet werden, dass die Einführung von IT-Maßnahmen nicht ausreicht, sondern auch die Akzeptanz und Annahme der Mitarbeiter sehr wichtig sind. Die besten IT-Sicherheitsrichtlinien bringen nichts, wenn sie nicht von den Menschen in dem Unternehmen gelebt und aktiv angewendet werden.

Aussagen der Belegschaft wie „Eine IT-Security-Software brauchen wir doch nicht, bisher ist doch alles gut gegangen“ oder „Mein Passwort mit dem Namen meiner Katze können die gar nicht kennen“ sind brandgefährlich und können bei einem erfolgreichen Cyberangriff Schäden in Millionensumme verursachen.

Langfristig muss somit die gesamte Unternehmenskultur dahingehend verändert werden, bei allen Mitarbeitern ein Bewusstsein für IT-Security zu schaffen.

Nur wie kann das erreicht werden?

Der Treiber des Change Process: Das Management

In vielen Unternehmen ist das Thema IT-Sicherheit vor allem in der IT-Abteilung verankert. Von dort aus wird mühselig versucht, alle Mitarbeiter zum sorgsamen IT-Verhalten zu erziehen. Unternehmenskultur-Veränderungen können jedoch nicht einzig allein von der IT-Abteilung angestoßen und vorangetrieben werden. IT-Security umfasst das Managen von Risiken und sollte demnach auch in der Management-Ebene positioniert werden. Es bringt nichts, wenn die IT-Abteilung Prozesse und teure Technik implementiert, diese für alle Mitarbeiter verpflichtend macht und der CEO trotzdem seine Passwörter in einem Buch auf seinem Schreibtisch aufbewahrt.

Als erster Schritt zur Veränderung der Kultur kann es sinnvoll sein, die Kultur-Veränderung als Langzeit-Projekt in der Management-Abteilung zu verankern.

Mit gelebtem Password Behaviour vorangehen: Der Vorgesetzte als Vorbild

Einen großen Einfluss auf die Einstellung und das Verhalten von Mitarbeitern haben die Vorgesetzten, da sie eine Vorbildfunktion für Mitarbeiter ausmachen.  Dabei sollte vor allem der CEO ein sicherheitsbewusstes Verhalten vorleben und somit die Mitarbeiter indirekt zu dem gleichen Verhalten inspirieren. Diese Sichtweise belegt auch eine Studie der Jobplattform Stepstone in Zusammenarbeit mit dem Kienbaum Institut ISM, welche 13.500 Personen zu dem Thema befragt hat. Demnach adaptieren Führungskräfte oftmals das Verhalten ihrer Vorgesetzten und übertragen dieses auf ihre eigenen Mitarbeiter.

Vorgesetzte sollten demnach die Nutzung von IT-Security-Software ihren Mitarbeitern vorleben und die Wichtigkeit in Meetings und Gesprächen kommunizieren. Ein weiteres wichtiges Mittel zur anhaltenden Verhaltensänderung sind schriftliche Richtlinien. Da reicht es jedoch nicht, dass das Management diese einmal definiert, ebenso wichtig ist die Kommunikation und die Kontrolle der Einhaltung dieser Richtlinien.

Passwort-Richtlinien

Ein weiterer wichtiger Schritt von Unternehmen zu mehr IT-Sicherheit ist die Definition von Passwort-Richtlinien. Unternehmen, die ihren Mitarbeitern Mindestanforderungen für Passwörter vorschreiben, werden signifikant seltener zum Ziel von Cyberangriffen.  Diese Richtlinien müssen klar formuliert und für jeden Mitarbeiter klar verständlich und nachvollziehbar sein. Gezielte Schulungen, um die Akzeptanz der Mitarbeiter zu erhöhen und die Sinnhaftigkeit der Software deutlich zu machen, sollten von allen Mitarbeitern – unabhängig von Position oder Abteilung – verpflichtend durchgeführt werden.

Durch eine Passwort-Management-Software zu mehr Passwort-Kontrolle und Spaß

Zur Unterstützung bei der Generierung von komplexen Passwörtern kann die Einführung einer Passwort-Management-Software sehr hilfreich sein. Dennoch kann diese Veränderung bei vielen Mitarbeitern zuerst auf Ablehnung und Desinteresse stoßen, da organisatorische Abläufe neu strukturiert werden müssen und in der Anfangsphase Mitarbeiter ihr Verhalten umstellen müssen.

In dem Fall ist es wichtig, dass neben der vorbildhaften Nutzung des Vorgesetzten die Software eine hohe Benutzerfreundlichkeit aufweist und das Design ansprechend ist. Zudem müssen die Mitarbeiter bei der Einführung der Software von der IT-Abteilung eine Einführung erhalten und die Sinnhaftigkeit und Wichtigkeit der einzelnen Funktionen verstehen. Auch hier sollte das Management deutlich kommunizieren, welche finanziellen Folgen einfache Passwörter in Falle eines Cyberangriffs haben können, um die Relevanz dieses Themas bei jedem Einzelnen zu verdeutlichen.

Aber auch der individuelle Nutzen eines neuen Tools sollte für jeden Mitarbeiter klar ersichtlich sein: Bei der Verwendung einer Password-Management-Software wandelt sich das Desinteresse der Mitarbeiter oftmals in Interesse oder sogar Spaß um, da beispielsweise das lästige Ausdenken, Merken, Abtippen und Suchen von Passwörtern entfällt. So wird nach und nach den Mitarbeitern ein besseres Passwort-Verhalten antrainiert, die Mitarbeiter können ungestörter und produktiver arbeiten und das gesamte Risiko für Cyberangriffe wird geringer.

Change-Management ist ein Marathon, kein Sprint

Und so muss nach und nach – denn die Veränderung einer Unternehmenskultur bedarf Zeit, das ganzheitliche Handeln aller Mitarbeiter eines Unternehmens zu mehr IT-sicherem Handeln verändert werden. Während dieses Prozesses ist auch die Fehlerkultur von besonderer Wichtigkeit, da Mitarbeiter dahingehend ermutigt werden müssen, und zwar vom Management und der IT-Abteilung, Fehler schnell und ohne schlimme Konsequenzen melden zu können. So können Sicherheitsangriffe eher verhindert werden, als wenn Sicherheitsverstöße von Mitarbeitern unter den Tisch gekehrt werden, in der Hoffnung, es wird schon nichts Schlimmes passieren …

Die Password-Management-Software Password Safe von MATESO bietet ein ganzheitliches Password Management für Unternehmen unabhängig von Branche, Größe und Ländergrenzen.

Besuchen Sie die MATESO Webseite, um mehr zu erfahren!