Sicherheitskultur in Unternehmen
Keine Bürde, sondern gelebte Geschäftspraxis
Wer langfristig erfolgreich sein will, braucht eine gelebte Kultur der Sicherheit. Aber was bedeutet das in der Praxis? Welche wirksamen Leitprinzipien gibt es, um das Thema Sicherheit fest im Unternehmen zu verankern? Und was können Firmen tun, um eine positive Sicherheitskultur zu fördern?
Die Verantwortung für das Thema Sicherheit obliegt heute nicht mehr nur einem Team, sondern dem gesamten Unternehmen. Im Idealfall ist der Sicherheitsgedanke ein fester Bestandteil der Firmenkultur, das heißt: Jeder Mitarbeiter begreift und nutzt ihn als positiven Rahmen für das eigene Verhalten, beim Einsatz von Technologien und für die Entscheidungsfindung. Übertragen auf die gesamte Organisation kann dieser optimistische, proaktive Ansatz die Effizienz und die Sicherheit eines Unternehmens deutlich erhöhen.
Was macht eine Sicherheitskultur aus?
Eine positive Sicherheitskultur bedeutet, dass das Security-Team mit der restlichen Belegschaft eng zusammenarbeitet. Und dass es allen Mitarbeitern leicht gemacht wird, den Sicherheitsgedanken in das individuelle Handeln ständig zu integrieren. Das heißt: Egal, woran sie gerade arbeiten – die sichere Option sollte immer die einfachste und bevorzugte sein. Gemeint sind also nicht nur die Technologien an sich, sondern auch die Menschen, die sie nutzen.
Lange Zeit galt das Thema Sicherheit als eine Art Tor, durch das die Verantwortlichen durchgehen müssen, oder als Bürde, die ihnen am Ende eines Projekts auferlegt wird. Die Umsetzung übernahmen Personen, die qua Berufsbezeichnung für die Sicherheit zuständig waren. In erfolgreichen Unternehmen sind Themen wie Security und Resilienz dagegen positiv besetzt: Sie gehören zur Firmenkultur und gehen damit alle an – unabhängig von der Rolle oder Position in der Firma. Damit ist Sicherheit auch ein zentraler Bestandteil der täglichen Geschäftsprozesse. Das erhöht die Widerstandsfähigkeit von Unternehmen und versetzt sie in die Lage, bei Problemen schnell zu reagieren.
Die Grundprinzipien
Um eine Sicherheitskultur zu etablieren, empfiehlt es sich, dass Unternehmen folgende fünf Grundprinzipien befolgen:
1. Aus- und Weiterbildung
Alle Mitarbeiter sollten die Möglichkeit haben, sich mit den verfügbaren Technologien vertraut zu machen. Wichtig ist, dass sie von den Sicherheitsexperten geschult werden – auch zu den geltenden Security-Richtlinien und -Vorschriften. Damit dienen alle Mitarbeiter als erste Verteidigungslinie des Unternehmens. Das senkt die Wahrscheinlichkeit, dass selbst einfache Fehler zum Sicherheitsproblem werden. Wichtig ist in diesem Zusammenhang auch, sämtliche Geschäftsanforderungen klar zu definieren – sei es die Implementierung einer Sicherheitskonfiguration durch die Anwendungsentwickler oder das Einspielen von Patches durch die Produktverantwortlichen.
2. Sicherheitshygiene
Um zu verhindern, dass einzelne Fehler zu Bedrohungen werden, sind fest verankerte Sicherheitsroutinen unerlässlich. Den Mitarbeitern müssen die Gefahren durch schlechte Angewohnheiten wie die gemeinsame Nutzung von Benutzerkonten und Passwörtern immer bewusst sein. Hierzu müssen die Unternehmen dafür sorgen, dass die bestehenden Zugangssysteme ein sicheres Verhalten ermöglichen. Bestimmte Dienste bieten beispielsweise temporäre Anmeldedaten, die nur wenige Minuten oder Stunden gültig sind, anschließend ist der Zugang mit diesen Anmeldedaten nicht mehr möglich. Dieses verstärkte Verfahren senkt die Wahrscheinlichkeit eines unbeabsichtigten Zugriffs auf Geschäftsdaten erheblich.
3. Fehlerkultur
Probleme in der Softwareentwicklung wird es immer geben. Wichtig ist, daraus zu lernen und entsprechende Maßnahmen zu ergreifen. Eine Kultur, in der die Ursachen für Probleme objektiv und ohne Schuldzuweisungen analysiert werden, trägt dazu bei, dass das Unternehmen lernen kann. Es geht nicht darum, wer für den Fehler verantwortlich ist, sondern darum, beim nächsten Mal die richtige Entscheidung zu treffen. Es sollte eine Kultur herrschen, in der die Mitarbeiter Sicherheitsprobleme offen ansprechen, weil sie wissen, dass die Experten und die Verantwortlichen sie immer unterstützt.
4. Zusammenarbeit von Entwicklungs- und Security-Teams
Durch eine enge Zusammenarbeit mit den Entwicklern lernen die Sicherheitsverantwortlichen die Prozesse kennen, die bei der Erstellung und Freigabe von Software ablaufen. Damit können sie den Entwicklern helfen, die richtigen Sicherheitsmaßnahmen zu ergreifen und sich auf das eigentliche Programmieren zu konzentrieren. Wird beispielsweise eine Cloud-Plattform mit dem Corporate-Identity-Provider föderiert, können die Entwickler Berechtigungen in Form von verständlichen Richtlinien erstellen. Damit lässt sich erreichen, dass die Umsetzung von Sicherheitsmaßnahmen weniger als Last empfunden wird. Über automatische Tests erhalten die Entwicklungsabteilungen frühzeitig Rückmeldung und können die gewünschte Sicherheitslage einrichten.
5. Leistungsmessung für mehr Eigenverantwortung
Durch geeignete Datenerfassung von sicherheitsrelevanten Ereignissen kann ein Unternehmen anhand von Informationen erkennen, in welchen Bereichen besonders effizient und sicher gearbeitet wird. Wenn einzelne Teams die Vorgaben einfach erreichen, oder innovative Lösungen entwickeln, sollten diese im gesamten Unternehmen implementiert werden. Wichtig ist, dass die Mitarbeiter genau wissen, was gemessen wird und dass sie über Werkzeuge verfügen, mit denen sie ihre erreichte Qualität nachverfolgen können. Das stärkt die Eigenverantwortung und fördert damit eine positive Sicherheitskultur.
Mit einer Kultur der Sicherheit geben Unternehmen den Mitarbeitern klare Richtlinien vor, nach denen sie sich verantwortungsvoll verhalten, Technologien entwickeln und Entscheidungen treffen. Das erhöht die Sicherheit der gesamten Organisation. Die erfolgreiche Einführung einer Sicherheitskultur setzt allerdings eine strukturierte Vorgehensweise voraus. Die Basis bilden dabei auch
- Aufklärung,
- feste Routinen,
- eine Modellierung der Bedrohungen und
- die Beteiligung aller Mitarbeiter.
Unternehmen, die diese Punkte berücksichtigen, können die eigene Sicherheit verbessern, sich von der Konkurrenz abheben und ihre Daten schützen.
Lesen Sie mehr zum Thema
