5second - stock.adobe.com

Tipp

Eine Sicherheitskultur im Unternehmen aufbauen und pflegen

Eine solide Sicherheitskultur ist ein entscheidender Erfolgsfaktor, um den Geschäftsbetrieb eines Unternehmens abzusichern. Folgende Tipps helfen bei Aufbau und Pflege der Kultur.

von
Zuletzt aktualisiert:13 Aug. 2025

sie leiten, strukturierten Rollen, die sie ausfüllen, und gemeinsamen Praktiken und Werkzeugen, die sie zur Ausübung ihrer Rollen verwenden. Gut geführte Unternehmen verfügen über eine allgemeine Unternehmenskultur und spezifische Kulturen in wichtigen Geschäftsbereichen, einschließlich der Cybersicherheit. Eine Sicherheitskultur ist die Gesamtheit der Normen, Rollen, Praktiken und Tools eines Unternehmens, die auf die Sicherung von IT-Systemen und Geschäftsdaten ausgerichtet sind.

Die Etablierung einer erfolgreichen Sicherheitskultur in einem Unternehmen ist entscheidend für den Schutz gegen die sich ständig verändernde Bedrohungslandschaft. Da sich die Herausforderungen im Bereich der Cybersicherheit ständig weiterentwickeln, müssen auch die Bemühungen zu ihrer Bekämpfung zunehmen. Eine starke Cybersicherheitskultur ist für die Festlegung und Umsetzung effektiver Cybersicherheitsstrategien unerlässlich. Der Aufbau einer solchen Kultur sollte daher für CISOs, CSOs und andere Sicherheitsverantwortliche höchste Priorität haben. Durch Investitionen in Maßnahmen zur Entwicklung einer internen Kultur, die Cybersicherheitsinitiativen unterstützt, können Unternehmen Netzwerke, Systeme und Daten besser vor Cyberbedrohungen schützen und die Widerstandsfähigkeit ihres Unternehmens verbessern.

Warum ist eine starke Cybersicherheitskultur so wichtig?

Die ständige Bedrohung durch ausgeklügelte Cyberangriffe erfordert einen gut informierten und proaktiven Ansatz, der damit beginnt, das Unwissen über Sicherheitsrisiken und den Zusammenhang zwischen solider Cybersicherheit und Geschäftserfolg zu beseitigen. Alle Mitarbeiter müssen erkennen, welche Rolle sie beim Schutz des Unternehmens spielen: Jeder ist Teil der Bedrohungsfläche, und jeder muss sich an der Abwehr von Angriffen beteiligen.

Zum Beispiel muss jeder Mitarbeiter die Gefahren von Phishing-Angriffen und die möglichen Folgen von schwachen Passwörtern und riskantem Online-Verhalten kennen. Ein breit gefächertes Bewusstsein für Cybersicherheit und eine verbesserte Cyberhygiene unter den Mitarbeitern tragen dazu bei, die digitale Verteidigung eines Unternehmens zu stärken. Durch die Einführung besserer Sicherheitspraktiken im gesamten Unternehmen schafft eine starke Cybersicherheitskultur ein Umfeld, in dem jeder in jedem Teil des Unternehmens aktiv an einer ganzheitlichen Verteidigungsstrategie mitwirkt.

Typische Herausforderungen beim Aufbau einer Sicherheitskultur

Zwar sind sich die meisten Führungskräfte heute über die Bedeutung einer effektiven Cybersicherheit einig, doch der Aufbau einer unternehmensweiten Sicherheitskultur ist mit Herausforderungen verbunden. Im Folgenden werden einige der wichtigsten Hürden aufgeführt:

  • Mangelndes Bewusstsein und Verständnis für Cybersicherheit. Viele Mitarbeiter sind sich nicht darüber im Klaren, wie ihre Handlungen die Sicherheitslage des Unternehmens beeinträchtigen oder verbessern können. Infolgedessen lassen sie sich auf potenziell gefährliche Verhaltensweisen ein, wie beispielsweise das Klicken auf Links in E-Mails von unbekannten Absendern, die Verwendung schwacher Passwörter für persönliche E-Mail-Konten auf ihren Arbeitsgeräten oder die Weitergabe sensibler Informationen ohne Einhaltung der entsprechenden Verfahren. Dies erschwert die Bemühungen, eine umfassende Kultur der Cybersicherheit zu schaffen.
  • Verstärkter Einsatz von KI im Bereich der Cybersicherheit. Während KI und maschinelles Lernen Sicherheitsteams dabei helfen können, Cyberbedrohungen effizienter zu erkennen und darauf zu reagieren, birgt die Integration von KI in Cybersicherheitspraktiken auch Herausforderungen. Dazu gehören der Bedarf an qualifiziertem Personal, das sich sowohl mit Cybersicherheit als auch mit KI auskennt, das Risiko von KI-Halluzinationen, die zu falsch positiven Ergebnissen oder fehlerhaften Empfehlungen bei der Erkennung von Bedrohungen führen, sowie potenzielle Schwachstellen in KI-Systemen, die Angreifer ausnutzen könnten. Darüber hinaus kann ein zu starkes Vertrauen in KI zu Selbstgefälligkeit führen, da Unternehmen wesentliche Aspekte der Stärkung der Cybersicherheit vernachlässigen könnten, wie zum Beispiel die Schulung der Mitarbeiter.
  • Geschäftsabläufe, die die Cybersicherheit nicht als ihre Verantwortung ansehen. Die vielleicht größte Herausforderung besteht darin, eine Sicherheitskultur zu schaffen, die alle Ebenen eines Unternehmens durchdringt. Aufgrund des technischen Charakters und der zunehmenden Komplexität der Cybersicherheit wird sie oft als alleinige Aufgabe der IT-Abteilung und des Cybersicherheitsteams angesehen, anstatt als gemeinsame organisatorische Aufgabe. Dies kann dazu führen, dass sich die Mitarbeiter nicht an bewährte Sicherheitsverfahren halten - oder schlimmer noch, sie aktiv umgehen, wenn sie der Meinung sind, dass „es richtig zu machen“ zu viel zusätzliche Arbeit erfordert oder zu langsam ist. Darüber hinaus können Widerstände gegen Veränderungen, Budgetbeschränkungen und konkurrierende Prioritäten die Bemühungen behindern, Cybersicherheitskompetenz zu einem wesentlichen Bestandteil der Unternehmenskultur zu machen.

Wie man eine Kultur der Cybersicherheit aufbaut: 5 bewährte Verfahren

Um die Herausforderungen zu meistern, sind die Zustimmung und Unterstützung der Führungskräfte unerlässlich. Geschäftsführung, Bereichsleiter und Führungskräfte müssen mit gutem Beispiel vorangehen und durch ihr Handeln und ihre Entscheidungen ihr Engagement für die Cybersicherheit unter Beweis stellen. Im Folgenden finden Sie fünf Schritte, die sie gemeinsam mit den Sicherheits- und IT-Teams unternehmen können, um eine effektive Sicherheitskultur aufzubauen.

1. Eine Kultur der Verantwortung und Zuständigkeit fördern

CISOs, CSOs und Führungskräfte müssen ein Umfeld schaffen, in dem sich jeder Mitarbeiter für die digitale Sicherheit des Unternehmens verantwortlich fühlt. Dazu gehört, dass die Rolle, die jeder Einzelne bei den Bemühungen um die Cybersicherheit spielt, klar kommuniziert und eindeutige Richtlinien und Protokolle für die Meldung potenzieller Sicherheitsvorfälle festgelegt werden.

Die Führungskräfte müssen auch ein Gefühl der Verantwortlichkeit fördern, damit die Mitarbeiter die Konsequenzen von Nachlässigkeiten im Bereich der Cybersicherheit verstehen und motiviert sind, sich an die besten Sicherheitsverfahren zu halten. Dazu gehört auch, dass proaktives Verhalten im Bereich der Cybersicherheit anerkannt und belohnt wird, um die Bedeutung von Wachsamkeit und Verantwortung im gesamten Unternehmen zu stärken.

2. Eine Kultur des ständigen Lernens durch fortlaufende Sicherheitsschulungen schaffen

Angesichts der dynamischen Natur von Cyberbedrohungen muss beim Aufbau einer Sicherheitskultur im Internet der Schwerpunkt auf kontinuierliches Lernen und Anpassung gelegt werden. Fortlaufende Sicherheitstrainingsprogramme, die auf die besonderen Bedürfnisse der verschiedenen Rollen innerhalb einer Organisation zugeschnitten sind, sind ein Muss. Diese Programme sollten über eine grundlegende Schulung des Sicherheitsbewusstseins hinausgehen und praktische Simulationen, Rollenspiele und szenariobasierte Schulungen umfassen, die reale Angriffe nachahmen.

Sicherheitsschulungen, die relevant, informativ und motivierend sind, fördern eine positive Einstellung der Mitarbeiter und damit eine proaktive Haltung zur Cybersicherheit. Solche Schulungen können mit KI und Tools für maschinelles Lernen ergänzt werden, um personalisierte Lernerfahrungen zu bieten und sicherzustellen, dass alle Mitarbeiter, unabhängig von ihrer Rolle, ihre Rolle beim Schutz des Unternehmens verstehen.

Abbildung 1: Diese Schritte können einer Organisation helfen, eine starke Kultur der Cybersicherheit zu schaffen.
Abbildung 1: Diese Schritte können einer Organisation helfen, eine starke Kultur der Cybersicherheit zu schaffen.

3. KI nutzen, um die Fähigkeiten zur Erkennung von und Reaktion auf Bedrohungen zu verbessern

Trotz der oben genannten Herausforderungen kann KI die Art und Weise, wie Unternehmen an die Cybersicherheit herangehen, erheblich verändern. Dank ihrer Fähigkeit, riesige Datenmengen in noch nie dagewesener Geschwindigkeit zu analysieren, können Sicherheitsteams Bedrohungen und Anomalien erkennen, die für Menschen unmöglich rechtzeitig zu entdecken sind. Die Einbindung von KI in Cybersicherheitsstrategien hilft Unternehmen, flexibler und reaktionsfähiger auf neue Bedrohungen zu reagieren.

KI-gesteuerte Tools können auch Routineaufgaben automatisieren, so dass sich Cybersicherheitsexperten auf komplexere Sicherheitsfragen konzentrieren können. Bei gezielter Anwendung verbessert diese Effizienz nicht nur die Verteidigungsfähigkeiten eines Unternehmens, sondern fügt sich auch nahtlos in eine Kultur der kontinuierlichen Verbesserung und Innovation von Cybersicherheitsverfahren ein.

Achtung: Auch wenn die KI sehr schnell Fortschritte macht, empfehlen wir, sich mehr auf die Erkennung von Bedrohungen und die Datenfilterung zu konzentrieren als auf automatische Aktionen wie das Abschalten von Servern und Netzwerken oder Stromversorgung, wenn ein möglicher Cyberangriff erkannt wird. Für die Überwachung der KI-Tools und die Interpretation ihrer Ergebnisse wird nach wie vor geschultes Personal benötigt.

4. Abteilungsübergreifende Zusammenarbeit fördern

Cybersicherheit ist ein funktionsübergreifendes Problem, das alle Aspekte eines Unternehmens betrifft. Die Förderung der Zusammenarbeit zwischen den Abteilungen kann zu einem ganzheitlicheren Verständnis und einer umfassenderen Bewertung von Cybersicherheitsrisiken sowie zu einer konsequenteren Verteidigungsstrategie führen.

Regelmäßige Treffen und Workshops, bei denen IT, Sicherheit, Geschäftsabläufe und Führungskräfte zusammenkommen, erleichtern beispielsweise den Austausch von Erkenntnissen und bewährten Verfahren. Dieser kooperative Ansatz gewährleistet, dass Überlegungen zur Cybersicherheit in alle Geschäftsentscheidungen einfließen, von der Produktentwicklung bis hin zu Marketingstrategien.

5. Die Zusammenarbeit von Sicherheits- und Netzwerkteams für eine einheitliche Sicherheitsstrategie optimieren

Ein Security Operations Center (SOC) ist das Nervenzentrum für Cybersicherheitsinitiativen, das die kontinuierliche Überwachung und Analyse der Sicherheitslage eines Unternehmens gewährleistet. SOCs ermöglichen es Unternehmen, Sicherheitsbedrohungen in Echtzeit zu erkennen, zu analysieren und darauf zu reagieren. Diese proaktive Fähigkeit ist in der heutigen digitalen Welt, in der sich die Bedrohungen schnell weiterentwickeln, unerlässlich.

Während sich ein SOC auf die Identifizierung, Bewertung und Reaktion auf Sicherheitsvorfälle konzentriert, verwaltet ein Network Operations Center (NOC) Netzwerke und gewährleistet die Verfügbarkeit der IT-Infrastruktur. Die Integration von SOCs und NOCs kann ein komplexer Prozess sein. Sie haben historisch gesehen unterschiedliche Rollen, und oft ergeben sich Herausforderungen aufgrund von Unterschieden bei Tools, Prozessen und Zielen. Auf diese Weise wird jedoch eine einheitliche Sicherheitsposition und Verteidigung gegen Cyberbedrohungen geschaffen.

Die Kombination der Funktionen des SOC und des NOC eines Unternehmens kann zu einer verbesserten Kommunikation, einer schnelleren Reaktion auf Zwischenfälle und einem besseren Verständnis der Sicherheitsprobleme des Unternehmens führen. Dadurch wird sichergestellt, dass sowohl die Sicherheit als auch die Netzwerkleistung optimiert werden, und es wird eine Cybersicherheitskultur gefördert, die sich schnell an neue Herausforderungen anpassen kann.

Die eigene Sicherheitskultur auf den Prüfstand stellen

Nach der Etablierung einer Sicherheitskultur sollten die Sicherheitsverantwortlichen deren Reifegrad kontinuierlich überwachen. Dazu gehört die Verfolgung allgemeiner Kennzahlen zur Cybersicherheit, wie beispielsweise der Anzahl der Datendiebstähle oder der durchschnittlichen Zeit für die Erkennung und anschließende Behebung von Sicherheitsvorfällen. Darüber hinaus müssen die Reichweite und Effektivität der Kultur auch anhand von Kennzahlen zur Vorbereitung der Mitarbeiter und zur Sicherheitsleistung gemessen werden.

Was die Vorbereitung betrifft, so ist eine wichtige Kennzahl der rechtzeitige Abschluss neuer und aktualisierter Schulungsmodule zur Cybersicherheit. Eine weitere Kennzahl ist die Teilnahme an Sensibilisierungsmaßnahmen.

Zu den wichtigsten Leistungskennzahlen gehören die folgenden Beispiele:

  • Die Klickraten auf gefälschte Test-Phishing-E-Mails, die an Mitarbeiter verschickt wurden, sollten mit der Verbesserung der Kultur sinken.
  • Meldung von echten und gefälschten Phishing-Versuchen, die zunehmen sollte.
  • Von DLP-Tools (Data Loss Prevention) erkannte Datenlecks, die abnehmen sollten.

Wer spielt eine Rolle bei der Sicherheitskultur in einem Unternehmen?

Jeder in einem Unternehmen muss eine Rolle bei der Stärkung der Sicherheitskultur im Internet spielen. Im Folgenden finden Sie eine Übersicht über die wichtigsten Rollen und Verantwortlichkeiten.

  • Unternehmensleitung. Die Kultur beginnt ganz oben, bei der Geschäftsführung oder Vorstand des Unternehmens und dem Einfluss auf die hochrangigen Unternehmensprioritäten sowie auf die Zuteilung von Ressourcen zu deren Umsetzung. Indem sie die Führungskräfte auf der C-Ebene dazu bringen, dem Aufbau einer Cybersicherheitskultur Priorität einzuräumen und diese zu finanzieren, kann die Geschäftsführung sicherstellen, dass das gesamte Unternehmen erkennt, wie wichtig Cybersicherheit ist. Sie können auch selbst ein gutes Verhalten vorleben, indem sie zum Beispiel an Sicherheitsschulungen teilnehmen.
  • Führungskräfte des Unternehmens. Führungskräfte haben Verantwortung gegenüber der Geschäftsführung, untereinander und gegenüber dem Rest des Unternehmens. Sie sollten mit der Geschäftsführung kontinuierlich über die potenziellen Auswirkungen von Sicherheitsvorfällen auf das Geschäft und die Rentabilität von Cybersicherheitsinitiativen kommunizieren. Führungskräfte in Unternehmen müssen sich gemeinsam mit ihren Kollegen für die Förderung der Cybersicherheitskultur einsetzen und die Ressourcen für den Aufbau der Kultur aufteilen. Sie müssen ihren direkten Untergebenen Zeit und Mittel für Schulungen zur Verfügung stellen, die Verwendung sicherer Methoden und angemessener Protokolle durch die Geschäftsbereiche fördern und Konsequenzen durchsetzen, wenn die Benutzer dies nicht tun. Außerdem sollten sie Bemühungen zur Verbesserung von Sicherheitsprotokollen und -instrumenten unterstützen, um den betrieblichen Anforderungen besser gerecht zu werden.
  • CISO oder CSO. Diese Positionen haben unter den Führungskräften der C-Ebene eine besondere Verantwortung, da die Cybersicherheit ihr Schwerpunkt ist. Sie müssen die Einführung von Schulungsprogrammen und anderen Aktivitäten vorantreiben, die zur Entwicklung einer breit angelegten Cybersicherheitskultur beitragen, und gleichzeitig die Verwaltung dieses Prozesses beaufsichtigen. Darüber hinaus müssen CISOs und CSOs die Bedeutung der Förderung der Kultur in ihre eigenen Prozesse, die Definition von Richtlinien, die Entwicklung von Teams und die Auswahl von Sicherheitstools oder -diensten einbeziehen.
  • Security-Team. Diese Mitarbeiter helfen bei der Gestaltung des Lehrplans für Sicherheitsschulungen auf der Grundlage ihrer Kenntnisse der IT-Umgebung des Unternehmens und der Cybersicherheitsmaßnahmen. Sie sollten auch hinter den Kulissen arbeiten, um es allen anderen so einfach wie möglich zu machen, die Dinge aus Sicht der Cybersicherheit richtig zu tun. Das kann zum Beispiel bedeuten, dass sie eine passwortlose Authentifizierung implementieren oder dafür sorgen, dass die DLP-Überwachung gut darauf abgestimmt ist, wie Geschäftsanwender intern und extern Informationen austauschen, um fehlerhafte Warnungen und Abfangvorgänge zu vermeiden. Das Sicherheitsteam ist in der Regel auch für die Erfassung von Metrikdaten verantwortlich.
  • IT-Abteilung. Wie das Sicherheitsteam besteht auch die Hauptaufgabe der IT-Abteilung bei der Förderung einer starken Sicherheitskultur darin, es allen anderen so einfach wie möglich zu machen, sicher zu arbeiten, während sie die Netzwerke, Systeme und Anwendungen des Unternehmens nutzen.
  • Personalabteilung, Rechtsabteilung und Compliance-Verantwortliche. Zu den Hauptaufgaben des HR-Teams gehört es, ein Schulungs- und Bewertungsprogramm zur Cybersicherheit für die Mitarbeiter zu entwickeln und zu pflegen. Zusammen mit den Rechts- und Compliance-Teams muss die Personalabteilung sicherstellen, dass die Schulungsinhalte, -häufigkeit und -methoden den Unternehmensanforderungen sowie den rechtlichen und behördlichen Anforderungen entsprechen. Die Rechts- und Compliance-Teams sind auch mitverantwortlich dafür, dass die Informationssicherheitsrichtlinien und die Datennutzung mit den geltenden Gesetzen zum Datenschutz und zur Privatsphäre übereinstimmen.
  • Alle Mitarbeitenden. Jeder Mitarbeiter spielt eine Rolle bei der Cybersicherheit, indem er wachsam, aufmerksam und vorsichtig ist und ordnungsgemäße Verfahren im Umgang mit Informationen und bei der Nutzung von Systemen befolgt. Sie sind auch dafür verantwortlich, ehrliches Feedback zu Sicherheitsprozessen zu geben, bei denen korrektes Verhalten mit der rechtzeitigen Erledigung von Aufgaben kollidiert. Solches Feedback hilft IT- und Sicherheitsteams, einen Weg zu finden - zum Beispiel durch die Neugestaltung einer Schnittstelle oder den Austausch eines Tools -, um die Cybersicherheit zu einem echten Erfolgsfaktor für das Unternehmen zu machen und nicht zu einem Störfaktor.
Abbildung 2: Hier werden die verschiedenen Rollen und Verantwortlichkeiten bei der Förderung einer Sicherheitskultur erläutert.
Abbildung 2: Hier werden die verschiedenen Rollen und Verantwortlichkeiten bei der Förderung einer Sicherheitskultur erläutert.

Erfahren Sie mehr über IT-Sicherheits-Management