Sicherheitskultur, Motivation und Verhalten hängen zusammen

Ist Nichtbefolgung eine Frage der Motivation?

Die vermeintliche Antwort auf diese Herausforderung lautet oft mangelndes Bewusstsein oder mangelnde Durchsetzung. Eine weitere Beobachtung, dass Menschen mit einem geringeren Zugehörigkeitsgefühl zu einer Organisation eher Opfer von Social Engineering werden, veranlasste ein Forscherteam der University of Warwick zu einer genaueren Untersuchung mit dem Titel „The impact of an employee's psychological contract breach on compliance with information security policies: intrinsic and extrinsic motivation“.

Die Motivation zur Einhaltung einer Sicherheitsrichtlinie wird oft als „Gentlemen’s-Agreement“ zwischen Unternehmen und ihren Mitarbeitern angesehen. Die andere Seite der Vereinbarung sind Vergünstigungen und Vorteile. Solange die Mitarbeiter das Gefühl haben, dass diese Vereinbarungen eingehalten werden zum Beispiel flexible Arbeitszeiten, Boni oder die Weihnachtsfeier, herrscht gegenseitiger Respekt und Verständnis. Beide Seiten halten sich an die geschriebenen und ungeschriebenen Regeln des Arbeitsverhältnisses.

Im Laufe des Arbeitsverhältnisses entstehen jedoch weitere Erwartungen, wie die Möglichkeit, an bestimmten Tagen vormittags von zu Hause aus zu arbeiten, um die Kinder zur Schule zu bringen. Wenn etablierte Erwartungen nicht erfüllt werden, können Mitarbeiter unzufrieden oder sogar verärgert werden – und das ist der heikle Punkt, da die Einhaltung ungeschriebener und stillschweigender Vereinbarungen von Natur aus schwierig ist

Verletzung des psychologischen Kontexts führt zur Nichteinhaltung

Eine Verletzung des psychologischen Kontextes kann zur Nichteinhaltung führen, wenn Erwartungen nicht erfüllt werden und Unzufriedenheit entsteht. Die Forscher der University of Warwick untersuchten die Auswirkungen von Verstößen gegen psychologische Verträge (im Englischen spricht man vom Psychological Contract Breach, PCB) auf die Absicht, Informationssicherheitsrichtlinien (im Englischen Information Compliance Index, ICI) einzuhalten. Sie berücksichtigten dabei intrinsische Motivation (Einstellungen, Selbstwirksamkeit und wahrgenommene Fairness) und extrinsische Motivation (subjektive Normen, Schwere der Sanktionen und Sanktionssicherheit). Unter psychologischen Verträgen spricht man in diesem Kontext von gegenseitigen Erwartungen und Angeboten von Arbeitnehmer und Arbeitgeber als Bestandteil der Arbeitsbeziehung.

Die Ergebnisse der Studie sehen wie folgt aus: Je höher der PCB-Wert, desto niedriger der ICI-Wert. PCB hat einen negativen Einfluss auf die Einstellung und die wahrgenommene Fairness (intrinsische Motivation), aber keinen Einfluss auf die Schwere und Sicherheit von Sanktionen (extrinsische Motivation). Menschen mit einem hohen PCB-Wert sind viel schwieriger zu coachen oder zu schulen, da ihnen die intrinsische Motivation fehlt. Ein hoher PCB-Wert öffnet die Büchse der Pandora des Social Engineerings, er fördert negative Überzeugungen gegenüber der eigenen Organisation.

„Eine gute Kultur bedeutet, dass Mitarbeiter von sich aus motiviert sind, sich mit Cybersicherheit auseinandersetzen und Sicherheit auch als ihre Verantwortung betrachten. Unternehmen mit einer gesunden Sicherheitskultur sind weniger anfällig für Phishing-Angriffe, da sich die Benutzer eher sicher verhalten. Eine gute Kultur fördert sicheres Verhalten.“

Dr. Martin J. Krämer, KnowBe4

Maßnahmen zur Verringerung des PCB-Wertes

Die Studienautoren kommen zu dem Schluss, dass Unternehmen mit einer gut etablierten Sicherheitskultur den PCB reduzieren, indem sie sich bemühen, die psychologischen Verträge ihrer Mitarbeiter zu erfüllen und die Einstellung zur Einhaltung von ISP zu verbessern. Die folgende Liste enthält eine Reihe von Maßnahmen, die Unternehmen bei der Umsetzung helfen können:

• Offene Kommunikation und Vertrauen fördern: Vertrauen in Vorgesetzte aufbauen und konkrete Verpflichtungen in Bezug auf Arbeitsinhalte, Karriereentwicklung, Unternehmensrichtlinien, Führung, soziale Kontakte, Work-Life-Balance, Arbeitsplatzsicherheit und Belohnungen klar definieren.
• Durch Unterstützung und Interaktion stärken: Eine hohe soziale Interaktion, wahrgenommene Unterstützung durch das Unternehmen und Vertrauen fördern.
• Überzeugendes Management: Unternehmen sollten eher auf einen überzeugenden als auf einen durchsetzungsstarken Führungsstil setzen.
• Wahrgenommene Ungerechtigkeit beseitigen: Sie sollten die Gründe identifizieren, warum Anforderungen zur Umsetzung an die Informationssicherheitsrichtlinie als ungerecht empfunden werden.
• Eine robuste Cybersicherheitskultur pflegen: Darüber hinaus sollten sie eine Sicherheitskultur etablieren, um Verhaltensweisen zu minimieren, die aus einer hohen PCB resultieren.
• In kulturelle Transformation investieren: Dafür sind Investitionen nötig, die getätigt werden müssen, um die kulturelle Transformation zu erleichtern.

Fazit

Der Aufbau einer Sicherheitskultur ist ein entscheidender Faktor für die IT-Sicherheit eines Unternehmens. Sicheres Verhalten wird durch benutzerfreundliche Tools und Richtlinien, die die Grenzen für wünschenswertes Verhalten definieren, und die intrinsische Motivation, zur Sicherheit eines Unternehmens beizutragen, ermöglicht. Gute Sicherheitsprogramme sind ganzheitliche Programme, die Menschen, Prozesse und Technologien zusammenbringen, um ein Unternehmen zu schützen.

Unternehmen sollten sich für eine größere Bedeutung des menschlichen Risikomanagements einsetzen, um eine Sicherheitskultur im Unternehmen zu fördern. Sicherheitskultur ist das immaterielle Ergebnis einer gesunden Cybersicherheitsmentalität, die zum Schutz des Unternehmens beiträgt. Eine gute Kultur bedeutet, dass Mitarbeiter von sich aus motiviert sind, sich mit Cybersicherheit auseinandersetzen und Sicherheit auch als ihre Verantwortung betrachten. Unternehmen mit einer gesunden Sicherheitskultur sind weniger anfällig für Phishing-Angriffe, da sich die Benutzer eher sicher verhalten. Eine gute Kultur fördert sicheres Verhalten.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.