InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Cyber Security in der Organisationskultur zu verankern, ist das Bedürfnis der meisten Sicherheitsverantwortlichen. Um dieses Ziel zu erreichen, werden die naheliegenden Methoden wie Kommunikationsmaterialien und Security Awareness-Trainings ausgerollt. Vom Konzept der «Kultur» können aber noch weitere Ansätze entlehnt werden, die zur Beobachtung, Messung und idealerweise zur Stärkung der menschlichen Komponente in der Informationssicherheit herangezogen werden können.
Das Konzept hinter einer Organisationskultur zielt darauf ab, die tägliche Zusammenarbeit in die Verhaltensweisen, Wertvorstellungen, Einstellungen und Überzeugungen zu überführen. In den 80er-Jahren entwickelte sich das Organisationskultur-Konzept zum Managementtrend. Ziel war die aktive Gestaltung der Organisationskultur. Der Soziologe Martin Parker sprach damals sogar von «Kulturalismus» im Management und von der Instrumentalisierung des Kulturbegriffs für Kontrollzwecke. Das grundlegende Managementziel war (und ist) meist die Stärkung der Selbstverpflichtung und des Engagements der Mitarbeitenden. Dieser Ansatz hatte auch seine Auswirkungen in die Entwicklung der gängigen Managementsysteme und Standards der Informationssicherheit. Security Awareness gilt mehr denn je als elementarer Kontrollpunkt.
Als Cyber Security Consultants und Auditor*innen beobachten wir bei InfoGuard – neben den technologischen und prozessualen – auch die sozialen Elemente einer Organisation. Bei lokalen Besuchen, während Gesprächsinterviews, aus Fragebögen und Auditberichten erleben wir auch immer einen Teil der Organisationskultur.
Die Messung von Security Awareness und die Bewertung der Cyber Security Culture (Sicherheitskultur) ist bekanntlich nicht so einfach in Kennzahlen und Barometern festzuhalten. Als übersichtliches Dashboard wünscht sich das Management häufig den «Tacho-Zeiger» oder die «Grün-Gelb-Rot-Ampel» – auch in Punkto Sicherheitskultur. Aber wie bemessen wir diese Kultur; und kann sie überhaupt in Grün-Gelb-Rot abgebildet werden?
Es gibt eine Vielzahl von Metriken, die wir zusammen mit unseren Kunden einsetzen, um das Sicherheitsbewusstsein und Verhalten der Menschen in einer Organisation zu bemessen. Dazu gehören die klassischen, auch umstrittenen, Kennzahlen aus Security Awareness-Trainings, simulierten Phishing-Attacken, den Umgang mit Daten(-trägern) oder die Einhaltung von Sicherheitsvorgaben. Solche Werte helfen grundlegende Risiken zu erfassen, um daraus weitergehende Anforderungen für Massnahmen abzuleiten.
Eine erweiterte Betrachtung und Analyse wichtiger «Kultur-Elemente» im Sicherheits-Selbstverständnis und Verhalten der Mitarbeitenden kann aussagekräftige Indikatoren liefern, um bisherige und zukünftige Massnahmen richtig einzuordnen. In Anlehnung an die vielen Definitionsversuche von «Kultur» in der Sozialwissenschaft, ist es unterhaltsam, einzelne Kategorien aus der Sicherheits-Perspektive zu betrachten. Folgend die Fragen aus einigen der Kategorien für ein Gedankenexperiment in ihrer Organisation.
Mythen und Legenden rund um interne Sicherheitsvorfälle:
Über welche Vorfälle wird gesprochen? Zum Beispiel der letzte Produktionsausfall oder als der Onlineshop mehrere Tage nicht erreichbar war.
Wie werden diese Situationen erzählt? Zum Beispiel in Sicherheitstrainings, detailliert/ohne genauere Informationen, emotional/sachlich, ausgeschmückt/faktentreu etc.
Gibt es Dramen (z.B. Erschöpfung der Administratoren), Helden (z.B. Kollegin findet verloren geglaubten Backups), Schicksale (z.B. Entlassungen) etc.?
Periodische Rituale, unveränderbare Standards, bewusste oder unbewusste, geplante oder ungeplante regelmässige Wiederholungen: Als Beispiel, welche Gremien oder Sitzungen im Bereich Sicherheitsmanagement können als Ritual bezeichnet werden – formell, festlich-feierlich, mit Wortformeln und hohem Symbolgehalt? Wie wird die Wirkung dieser «Rituale» auf die Organisation wahrgenommen (stark, massgebend, schwach, unverständlich, skeptisch)?
Tabus und No-Go-Zonen: Was darf nicht angesprochen werden, was darf nicht stattfinden? Zum Beispiel Risiken, über die nicht gesprochen wird? Gibt es Systeme, die von Richtlinien und Reglementen ausgeschlossen sind? Welche Systeme, Dinge oder Orte versucht man gegenüber den Auditor*innen nicht zu erwähnen? Gibt es Fehler oder Missgeschicke, die man niemandem erzählen würde? Oder Prozesse, die man besser nicht in Frage stellt, zum Beispiel warum wird eine bestimmte Applikation nur alle sechs Monate aktualisiert?
Ideologische Überzeugungen und Glaubensrichtungen in Bezug auf Verhalten, Technologie, Prozesse usw.? Als Beispiel, gibt es fixe «Schienen», auf denen gefahren wird? Gilt der eine Hersteller/Service Provider grundsätzlich als sicherer als die anderen? Hat dies Einfluss auf die Vorsicht sowie das Einhalten von Standards oder Kontrollen?
Arbeitsteilung, Rollen- und Machtverteilung, Verantwortungsstrukturen:
Wie stellen verschiedene Positionen die Sicherheitsorganisation in einem frei gezeichneten Organisationsdiagramm dar? Wohin zeigen die Pfeile von Weisung und Bericht? Gibt es Verantwortungssilos oder Machtzentren? Entspricht das Bild der Strategie bzw. dem Soll-Zustand? Wie stehen die Verantwortlichen, beispielsweise von Applikationen, Prozessen oder Systemen, zu angeforderten Sicherheitsmassnahmen? Wie werden diese wahrgenommen, geplant, delegiert, aufgeschoben, dokumentiert und berichtet? Denken Sie hier auch an das Patch- und Identitätsmanagement, Zugangskontrollen, die Überprüfung von Logdaten sowie von Fehlermeldungen etc.
Vertrauen, Einstellungen und Annahmen gegenüber Personen, Technologien sowie Prozessen mit Sicherheitsfunktion: Was sind die (informellen/qualitativen) Reaktionen auf Fragen wie: Sind wir geschützt vor Cyberangriffen? Was muss gut funktionieren, um Ausfälle, Angriffe, Datendiebstahl oder andere Formen von Informationssicherheitsrisiken zu reduzieren?
Mit Sicherheit fallen auch Ihnen einige Geschichten aus der eigenen Umgebung zu diesen Fragen ein. Ohne umfassende Metriken nähern Sie sich dadurch schon einem Abbild Ihrer Cyber Security Culture. Auch die geringe Ausprägung von Sicherheitsbewusstsein – selbst fahrlässiges Verhalten – gehört dazu.
Der Kulturbegriff ist und bleibt jedoch schwer fassbar. Nichtsdestotrotz haben wir folgend einige Kernideen von Cyber Security Culture gemäss unserer persönlichen Auffassung formuliert:
Cyber Security Culture ist nicht auf die berufliche Organisation begrenzt. Längst reicht sie bis tief ins Private und in die Gesellschaft als Ganzes. Dadurch wirkt sie auch wieder auf die Sicherheit von Unternehmen und Organisationen zurück – sowohl im Positiven (Aufmerksamkeit, Erfahrung, Kompetenzen etc.) als auch im Negativen (Ignoranz, Gleichgültigkeit, Fahrlässigkeit etc.)
Kulturelle Ausprägungen kann an spezifischen Elementen erkannt werden. Beispiele dafür sind Strukturen, Prozesse, interner Umgang, Erzählungen, Regeln, Umgang mit Fehlern, Zusammenarbeit etc.
Security Awareness und das jeweilige Verhalten in entscheidenden Situationen sind ein (überlebens-)wichtiger Teil der Organisationskultur. Dies ist gut an der aktuellen Bedrohungslage zu erkennen, beispielsweise «Phishing-E-Mail» + «Fehlende Softwareupdates» = «Gute Chance für erfolgreichen Angriff».
Der Mensch ist der am häufigsten benutzte «Angriffspfad» bei erfolgreichen Angriffen. Dies ist die Erkenntnis aus der aktuellen Bedrohungslage. Fehler sind menschlich und unvermeidbar. Eine erfolgreiche Cyber Security Culture (inklusive deren technische und organisatorische Manifestation) ist stark darin, sich selbst vor negativen Auswirkungen von menschlichen Fehlern zu schützen. Zum Beispiel lässt sich der Klick auf gut aufbereitete Phishing-E-Mails häufig nicht vermeiden. Sehr wohl aber lassen sich Hemmungen abbauen, um beispielsweise einen Phishing-Verdacht zu melden oder die Furcht vor negativen Konsequenzen der Meldung eines eigenen Fehltritts.
Die technische Automatisierung von Detektion, Korrelation und mitigierenden Massnahmen nimmt einen Teil der Last vom Menschen (End-User, Admins, Analysten, Management etc.). Mit dem Bewusstsein für die bekannten (auch eigenen) menschlichen Schwächen steigt auch das Bewusstsein und die Akzeptanz für die kurzfristigen (Mehr-)Aufwände um das technische Sicherheitsseil zu knüpfen.
Technische Expert*innen und Sicherheitsverantwortliche verweisen häufig auf «fehlende Awareness» von Mitarbeitenden. In einer starken Cyber Security Culture fehlt dieser Verweis als Ausrede.
Das «Wir und die Anderen» findet man nicht nur in der kulturellen Identitätsdiskussion im Alltag, sondern häufig auch zwischen Sicherheitsbeauftragten und den operativen Verantwortlichen, zwischen den Interessensvertretern vom Anwender, des Geschäfts und der Sicherheit. Diese Linien zu erkennen, Brücken zu bauen sowie Kooperation und Austausch zu fördern, ist ein wichtiger Teil einer starken Sicherheitskultur.
In Auditberichten, in den Ergebnissen einer Angriffs-Simulation oder als «Lessons Learnt» nach einem tatsächlichen Vorfall beobachtet man die häufige Empfehlung zur Stärkung der Sensibilisierung und zum Ausbau der Fortbildung der Mitarbeitenden. Als Quick Win wird im ersten Schritt auf den «End-User» und deren (Sicherheits-)Verhalten abgezielt. Tatsächlich gehört zu einer starken Cyber Security Culture besonders auch die Einstellung und das Verhalten der Mitarbeitenden mit Vorbild- bzw. Weisungsfunktion oder mit besonderen technischen Privilegien.
Bei Kunden mit bereits fortgeschrittenem Reifegrad in den Sensibilisierungs-Kampagnen sowie Security Awareness-Trainings betrachten wir die Verhaltens- und Kommunikationsstrukturen in sicherheitsspezifischen Prozessen und Abläufen. Tabletop Exercises, gruppenspezifische Angriffs-Simulationen oder rollenspezifische Workshops behandeln dann nicht nur die technischen und organisatorischen Aspekte, sondern gestalten aktiv die oben genannten kulturellen Elemente mit.
Cyber Security und insbesondere Security Awareness beinhalten mehr kulturelle und soziale Komponenten als viele denken. Auch psychologische Effekte, worüber wir bereits in vergangenen Blogbeiträgen berichtet haben, spielen eine wichtige Rolle.
Wie sieht die Sicherheitskultur bei Ihnen aus? Eine starke Cyber Security Culture unterstützt nicht nur die Sicherheit, sondern auch das Wohlbefinden aller Verantwortlichen und Beteiligten. Unsere InfoGuard-Expert*innen unterstützen Sie gerne auf diesem Weg.
Eine angemessene Cyber Security Culture kann nur erreicht werden, wenn verschiedene Komponenten zusammenspielen. Der erste Schritt dahin: sich den Risiken bewusst werden, ein mehrstufiges, langfristiges Konzept erstellen und dazu einen erfahrenen Partner finden, der einen auf dem Weg professionell leitet und unterstützt. Doch welche Massnahmen beinhaltet ein solches Konzept eigentlich? Und welche Risikofaktoren müssen bei Security Awareness-Kampagnen thematisiert werden? Auf unserer Know-how-Seite erfahren Sie mehr zu diesen und weiteren Fragen – inklusive Quiz, wie es um Ihre eigene Security Awareness steht.