+49 (0) 3546 934 74 42 post@krisensicher-werden.de

Cultural Firewall: Warum IT-Sicherheit kein IT-Thema ist

14.03.2025 | Krisenstab, Notfall- und Krisenmanagement

Im heutigen Beitrag von KRISENSICHER, dem Blog rund um Organisationale Resilienz in der Polykrise, beschäftigt sich Christian F. Hirsch damit, dass IT-Sicherheit kein IT-Thema ist sondern eines der Unternehmenskultur.

Täglich lesen wir davon, dass Unternehmen von Cyberangriffen heimgesucht werden. Und in vielen Umfragen, die derzeit gemacht werden, sagen Führungskräfte immer wieder, dass sie Angriffe auf die IT-Systeme als eine der größten Gefahren für ihr Unternehmen sehen. In Business Impact Analysen, die wir als Krisenmanager für und zusammen mit Unternehmen machen, steht das Thema Aufrechterhaltung der IT-basierten Prozesse für alle Abteilungen immer an oberster Stelle.

Der Erkenntnis der Relevanz einer nicht kompromittierten und funktionierenden IT steht allerdings in den meisten Unternehmen die Aufgabenzuteilung im Widerspruch, wer für IT-Sicherheit zuständig ist. Da hören wir immer wieder: „Um unsere IT-Sicherheit kümmert sich die IT-Abteilung. Die ganzen Tekkies können das schon. Dafür sind sie ja da.“

Dieser Aussage muss ich ganz eindeutig widersprechen. Nein, denn Haus-Tekkies sind keine Experten für IT-Sicherheit an sich. Es ist ganz wichtig, da zu differenzieren. Denn IT-Sicherheit ist ein sehr weites Feld, schon was die Technik an sich angeht.

So sind die wenigsten Systemadministratoren in Unternehmen nur selten von ihrem Wissen und Erfahrung her in der Lage, nach einer Cyberattacke festzustellen, was wirklich passiert ist. Dazu braucht es IT-Forensiker. Wer die Aufgabe der IT-Sicherheit an die hauseigene IT abschiebt, sollte auch wirklich sicher sein, dass die eigenen Tekkies das auch wirklich können.

Hier liegt denn auch schon meistens der erste Fehler, den Geschäftsführer und Führungskräfte von Unternehmen machen: Ihr blindes Vertrauen in die allesumfassende Kompetenz der Haus-Tekkies. Die Unternehmensführung sollte schon vorher wissen, was ihre ITler im Falle einer Krise können und was nicht. Das gehört unbedingt zur Stärkung der proaktiven Widerstandsfähigkeit. Langes versuchsbasiertes Herumbasteln an den Computersystemen in einer Krise kann den Untergang des Unternehmens herbeiführen.

Der andere Fehler, den viele Unternehmenslenker machen, ist der, IT-Sicherheit nicht als Teil der Gesamtsicherheit ihres Unternehmens zu sehen. Sie trennen die Unternehmenssicherheit von der IT-Sicherheit und definieren es mental als zwei unterschiedliche Bereiche.

Ich gehe sogar noch weiter: Sie sehen IT-Sicherheit als Nischenthema der IT und nicht als ein Teil des großen, die Fundamente des Unternehmens betreffenden Themas Unternehmenskultur. Das birgt aber sehr große Gefahren. Denn Unternehmenssicherheit – und als deren Teilthema IT-Sicherheit – ist vornehmlich ein menschliches, vor allem aber ein unternehmenskulturelles Thema.

Natürlich gibt es Bereiche der IT-Sicherheit, die zutiefst IT sind. So sollten die Computersysteme technisch so gut abgesichert sein, wie es der Stand der Technik ist und wie es sich ein Unternehmen leisten kann. Wieviel finanzielle Mittel ein Unternehmen in die technische Absicherung der IT steckt, ist aber keine Frage der IT-Abteilung und auch nicht der Mitarbeiter.

Die Bereitstellung von Mitteln für IT-Sicherheit ist eine strategische Entscheidung der Unternehmensführung. IT-Sicherheit ist, wenn man sie schon alleine und unabhängig von der Unternehmenssicherheit betrachtet, in erster Linie immer auch eine Führungsaufgabe.

Vor allem aber sollten die Mitarbeiterinnen und Mitarbeiter des Unternehmens nicht mit technischen Fragen belästigt werden. Sie sollen in ihrem jeweiligen Aufgabenbereich ihre Aufgaben erledigen. Dafür wurden sie eingestellt. Dafür werden sie bezahlt. Ein Unternehmen, das mit Fragen der IT-Sicherheit Mitarbeiter belästigt, macht grundsätzlich etwas falsch. Leider ist das aber die Tagesordnung in deutschen Unternehmen.

Bei der IT-Sicherheit ist es wie mit dem Autofahren. Wenn ich in ein Auto steige, verlasse ich mich darauf, dass die Bremsen funktionieren und alles auf einem technischen Stand ist, der das Fahren sicher macht. Mich interessiert aber nicht, wie das alles funktioniert.

Ich vertraue darauf, dass die Ingenieure, die das Auto gebaut haben, und Mechaniker, die den Wagen warten, einen guten Job machen. Genauso muss es bei der IT sein. Ich möchte als Mitarbeiter nicht mit Details belästigt werden und ich möchte auch nicht die Arbeit der ITler machen.

Die Bereiche der IT-Sicherheit, die zutiefst IT sind, darum sollen, dürfen und müssen sich die Tekkies kümmern. Das ist ihr Job. Und in dieser Hinsicht ist IT-Sicherheit sicherlich eine IT-Aufgabe. Doch wenn es um die menschlichen und kulturellen Aspekte von IT-Sicherheit geht, dann müssen sich die Tekkies in die Reihe aller anderen Mitarbeiter einreihen. Menschliches und Kulturelles sind normalhin nicht die Kernkompetenzen von Tekkies.

Leider ist unter dem Begriff Human Firewall derzeit eine Entwicklung im Gange, die in eine andere Richtung geht. Aus der richtigen Erkenntnis heraus, dass Sicherheit ein zutiefst menschliches Thema ist, wird jetzt auch für den Bereich Cybersecurity mehr und mehr auf die menschliche Seite fokussiert. Und das mehrheitlich von Tekkies.

Dafür steht heute der Begriff Human Firewall. Eine menschliche Brandmauer soll Unternehmen vor Cyberbedrohungen schützen, indem sich ein Mitarbeiter digital sicher verhält, sensibel gegenüber Cybergefahren ist und mit den Tekkies kommuniziert, wenn er auf Probleme stößt.

Durch den Aufbau einer menschlichen Firewall wollen Tekkies den Versuchen von Cyberkriminellen entgegentreten, Mitarbeiter als Einfallstor in die Systeme des Unternehmens zu nutzen. Denn Cyberkriminelle bauen darauf, dass Menschen Fehler machen und nutzen verschiedene Social Engineering-Techniken und andere Angriffsformen um sie in die Falle zu locken.

Das ist erst einmal ein sehr sinnvolles Unterfangen. Alles, was unter dem Begriff Human Firewall fällt, betrifft auch die sonstige Unternehmenssicherheit. Auch andere Kriminelle nutzen Mitarbeiter als Einfallstore. Alle Kriminellen bauen darauf, dass Menschen Fehler machen und nutzen Social Engineering. Das ist überhaupt nichts Spezifisches für den Cyberbereich.

Der Begriff Human Firewall ist ein fantastischer Begriff, fokussiert er doch auf die soo wichtige menschliche Seite von Sicherheit. Doch durch die Verengung nur auf Cybersicherheit wird es gefährlich. Der Begriff sollte eigentlich für alle menschlichen Maßnahmen benutzt werden, um die Sicherheit von Unternehmen zu erhöhen. Fast alles, was uns derzeit unter dem Begriff Human Firewall verkauft wird, hat erst einmal alleine nichts mit Cyber zu tun.

Doch leider ist das Kind schon in den Brunnen gefallen. Eine große Industrie von Beratern vornehmlich aus dem IT-Bereich hat sich des Begriffes bemächtigt und verkauft unter diesem Label menschliche Cybersecurity-Maßnahmen. Oft beauftragt von IT-Abteilungen. Der Markt dafür ist riesig, denn auch die Angst sowohl der Unternehmensführungen als auch der Tekkies, Opfer eines Cyberangriffes zu werden, wächst von Tag zu Tag. Die Summen, die für Cybersecurity ausgegeben werden, steigen deshalb immer höher. Ein lukratives Feld.

Durch den Erfolg der hauptsächlich von Tekkies getriebenen Human Firewall-Industrie wird allerdings zum einen der Eindruck erweckt, dass Cybersecurity in erster Linie ein menschliches Problem ist. Und man nur auf die rein technische Seite fokussieren muss, anstatt sich Gedanken über oft deutlich teurere technische Absicherungen zu machen.

Zum anderen wird durch den Erfolg verschleiert, dass alle Maßnahmen rund um Human Firewall eigentlich etwas sind, was hauptsächlich Unternehmenskulturelles betrifft. Denn sie greifen tief in die Werte, das Verhalten und die Kommunikationsstrukturen eines Unternehmens ein.

Denn: Eine Human Firewall funktioniert nur, wenn alle Mitarbeitenden verstehen, dass Sicherheit eben nicht allein die Aufgabe der IT ist. Eine offene Fehlerkultur soll helfen, nicht nur Cyberangriffe schneller zu erkennen und zu melden. Sie hilft, die Sicherheit auch in anderen Bereichen zu erhöhen.

Social Engineering nutzt oft Unsicherheiten oder unklare Kommunikationswege aus. Eine Kultur, in der sich Mitarbeitende sicher fühlen, verdächtige Aktivitäten zu melden, verringert die Erfolgswahrscheinlichkeit solcher Angriffe. Klare Sicherheitsrichtlinien und offene Kommunikation verhindern, dass Mitarbeitende aus Angst vor Konsequenzen Angriffe verschweigen.

Eine sicherheitsbewusste Unternehmenskultur stellt sicher, dass Mitarbeitende grundsätzlich skeptisch bleiben, verdächtige Mails oder Anrufe hinterfragen und sich nicht leicht manipulieren lassen. Das gilt nicht nur in Bezug auf Cybersachen.

Wenn Sicherheitsregeln als hinderlich oder unnötig wahrgenommen werden, werden sie umgangen. Eine positive Sicherheitskultur – als Teil der Unternehmenskultur – fördert die Akzeptanz von Maßnahmen wie Multi-Faktor-Authentifizierung, sichere Passwörter oder Verifizierungsprozesse.

Sicherheitskultur beginnt ganz oben: Wenn das Management die Regeln nicht befolgt oder lax mit Sicherheit umgeht, werden Mitarbeiter das Gleiche tun. Führungskräfte, die Sicherheit als Teil der Unternehmenskultur vorleben, stärken das Engagement aller – nicht nur in Bezug auf Cybersicherheit.

Maßnahmen gegen Social Engineering sind nicht nur technische oder organisatorische Fragen, sondern beeinflussen direkt, wie Menschen in einem Unternehmen handeln, denken und kommunizieren. Eine Unternehmenskultur, die Sicherheit als gemeinschaftliche Aufgabe begreift, ist der Schlüssel, um ein Unternehmen krisenresilienter zu machen.

Da der an sich gute Begriff Human Firewall jetzt leider schon belegt und er durch die Verengung nur auf Cybersicherheit zwar finanziell einträglich aber eigentlich unbrauchbar ist, wird der neue Begriff Cultural Firewall vorgeschlagen. Mit diesem neuen Begriff wird die gefährliche Verengung auf Cyber durchbrochen und ein Raum geschaffen, Sicherheit weiterhin unter dem sehr sinnvollen Label Firewall zu diskutieren.

Zugleich werden die Sicherheitsdiskurse aber durch den Begriff Cultural Firewall dort verortet, wo sie eigentlich hingehören, wenn man Unternehmenssicherheit sinnvoll betrieben will: In die Denkwelt der Unternehmenskultur. Den Sicherheitskultur ist ein extrem wichtiger Teilbereich der Unternehmenskultur eines jeden Unternehmens.

Christian F. Hirsch ist Chief of Staff der KR Krisensicher Risikoberatung GmbH. Im Blog KRISENSICHER schreibt er unter anderem über Krisenmanangement und Krisenkommunkation, Kommunikationsresilienz, Akzeptanzkommunikation oder die Social License to Operate.

 

Kontakt aufnehmen

5 + 1 =

Wir benutzen technisch notwendige Cookies um die Funktionsfähigkeit unserer Webseite zu gewährleisten und die Nutzerfreundlichkeit der Webseite zu verbessen. Klicken Sie auf den Button für mehr Informationen.
Weitere Informationen