earthphotostock – shutterstock.com
In vielen Unternehmen stoßen IT-Sicherheitsrichtlinien auf Widerstand, da Mitarbeitende sie als hinderlich oder praxisfern empfinden. Dies erschwert die Umsetzung, untergräbt die Wirksamkeit und belastet die Zusammenarbeit zwischen der Sicherheitsabteilung und den Fachbereichen. Statt als Partner wird Cybersecurity oft als Bremser wahrgenommen – ein fatales Sicherheitsrisiko. Für CISOs (Chief Security Information Officer) bedeutet das, dass neben technisch korrekten Richtlinien vor allem die Akzeptanz im Alltag entscheidend ist. Ein neuer Ansatz mit empathischem Policy-Engineering und strategischer Sicherheitskommunikation fördert eine nachhaltige Sicherheitskultur.
IT-Sicherheit: Arbeitsdruck und soziale Einflussfaktoren
In vielen IT-Abteilungen herrscht die Ansicht, dass Anwender wenig motiviert sind, Sicherheitsvorgaben einzuhalten. Unternehmen setzen auf Sanktionen und Schulungen, um regelkonformes Verhalten zu erzwingen. Ein zwei-tägiges Experiment, das untersucht, wie sich Sicherheitsdesigns auf richtlinienkonformes Nutzerverhalten auswirken, zeigte jedoch: Hatten Teilnehmende anfänglich noch eine positive Einstellung gegenüber Sicherheitsrichtlinien, wurden diese unter steigendem Arbeitsdruck zunehmend als hinderlich empfunden, was vermehrt zu Regelverstößen führte. Stress und situative Faktoren hatten einen spürbaren Einfluss auf das sicherheitsrelevante Verhalten der Teilnehmenden.
Sicheres Verhalten entsteht also nicht allein durch Wissensvermittlung, sondern hängt stark von der individuelle Risikoeinschätzung und den konkreten Alltagssituationen ab. Nutzer handeln nicht immer so, wie es die Richtlinien vorsehen. Oft nicht aus Unwillen, sondern weil andere Faktoren überwiegen oder als wichtiger eingeschätzt werden. Ambitionierte Ziele, Zeitdruck und das Bedürfnis nach reibungsloser Zusammenarbeit stehen häufig im Widerspruch zu abstrakten Sicherheitsvorgaben. Diese Interessenkonflikte führen schnell zu Spannungen zwischen Security, IT und den anderen Fachbereichen. Das gefährdet letztlich die Sicherheitskultur.
Sicherheitsverantwortliche können an drei Punkten ansetzen, um dem entgegenzuwirken.
1. Die Anwender verstehen
CISOs sollten sich zunächst die Frage stellen, warum sich Nutzer nicht sicher verhalten. Eine Vielzahl von Faktoren spielen hier eine Rolle: Beispielsweise sind sich Anwender der Bedrohung nicht bewusst, sehen den Nutzen von sicherem Verhalten nicht oder empfinden Sicherheitsmaßnahmen als hinderlich für ihre Arbeit. Eventuell besteht auch ein Interessenkonflikt mit den Zielen der Nutzer oder sie stehen unter Zeitdruck. Oft fehlen schlicht die Mittel – beispielsweise, wenn Vorschriften einen sicheren Datenaustausch mit Zulieferern und Kunden fordern, aber den Mitarbeitenden keine Plattform für einen solchen Datenaustausch zur Verfügung gestellt wird – oder auch Vorbilder im Umfeld.
Vor der Implementierung von Sicherheitsmaßnahmen ist es wichtig, widersprüchliche Ziele und Prioritäten der verschiedenen Interessensgruppen (IT-Abteilung, technische Abteilungen, Management, Verwaltung, Mitarbeitende in der Produktion) zu identifizieren und auszugleichen. Dies ist beispielsweise im Rahmen einer Stakeholder-Analyse möglich – einer Methode aus der Wirtschaftsinformatik, um die Präferenzen aller beteiligten Stakeholder zu erheben. Je mehr Sicherheitsverantwortliche über die Arbeitswirklichkeit und die Ziele der verschiedenen Bereiche wissen, desto besser gelingt es ihnen, Sicherheitsmaßnahmen dazu passend zu gestalten – was zu mehr Akzeptanz und am Ende einer erfolgreichen Umsetzung führt.
2. Sicherheitsrichtlinien mit Blick auf den Anwender gestalten
Unsicheres Verhalten wird häufig den Nutzern angelastet, dabei liegt das Problem oft in der Maßnahme selbst. In der IT-Sicherheitsforschung liegt der Fokus häufig auf dem individuellen Verhalten der Nutzer – beispielsweise auf der Frage, ob sicheres Verhalten von Persönlichkeitsmerkmalen abhängt. Vernachlässigt wird dabei die Frage, wie gut Sicherheitsmaßnahmen überhaupt zur Arbeitsrealität passen – sprich, wie wahrscheinlich es ist, dass sie im Alltag akzeptiert werden.
Für jede Bedrohung gibt es meist mehrere verfügbare Sicherheitsmaßnahmen. Doch Unterschiede in Aufwand, Akzeptanz, Kompatibilität oder Komplexität werden in der Praxis oft nicht berücksichtigt. Stattdessen treffen Sicherheits- oder IT-Abteilungen Entscheidungen häufig ausschließlich auf Grundlage technischer Aspekte.
Um wirksame IT-Sicherheitsrichtlinien zu etablieren, müssen diese nicht nur technisch korrekt sein – sie müssen auch aus Mitarbeitersicht sinnvoll und praktikabel sein. Der Schlüssel dazu liegt im empathischen Policy Engineering: Sicherheitsvorgaben sollten so gestaltet sein, dass sie verständlich sind, akzeptiert werden und mit den alltäglichen Arbeitszielen vereinbar sind. Das gelingt am besten, wenn Mitarbeitende frühzeitig in die Entwicklung eingebunden werden – inklusive ihrer Zielkonflikte und praktischen Herausforderungen.
Ein anschließender Pilotversuch hilft dabei, potenzielle Stolpersteine und Hindernisse frühzeitig zu erkennen und die Maßnahmen entsprechend nach zu justieren. Es hat sich bewährt, dabei mit den “Early Adopters” zu starten – also der Gruppe an Anwendern, die Neuerungen gegenüber aufgeschlossen ist und im Anschluss konstruktives Feedback geben kann. Dieses sollte vor dem großen Roll-out berücksichtig werden. So kann eine Sicherheitskultur entstehen, die wirkt – und im Alltag tatsächlich gelebt wird.
3. Sinnvoll kommunizieren: Der RESPECT-Ansatz
Aktuell werden Sicherheitsmaßnahmen und -richtlinien häufig in einer Art und Weise kommuniziert, die Anwender nicht in ihrer Arbeitsrealität abholen, weil sie gar nicht darauf abzielen, dass Mitarbeitende sich damit beschäftigen und motiviert werden: Etwa über Anweisungen, Standard-Online-Trainings oder zu verspielte Formate wie Comics, die Mitarbeitende nicht ernst nehmen. Besser funktioniert das mit dem RESPECT-Ansatz: Er setzt auf Kommunikation auf Augenhöhe, statt auf Verbote und Strafen.
Der entscheidende Unterschied: Mitarbeitende werden als kompetente, verantwortungsvolle Erwachsene behandelt. Im Zentrum steht ein empathischer Blick auf ihre Bedürfnisse und Arbeitsrealitäten – ohne die Sicherheitsziele aus den Augen zu verlieren.
Es gibt mehrere Techniken, um die Kommunikation von Sicherheitsrichtlinien erfolgreich zu gestalten und Konflikte zu vermeiden:
Taktische Empathie: Diese schafft Anerkennung, stärkt Vertrauen und sorgt so dafür, dass sich Mitarbeitende gehört fühlen und bereit sind, sicherheitsrelevante Informationen anzunehmen.
„Help me to help you“ anstelle von „Nein“: Statt Sicherheitsvorgeben durchzusetzen, können CISOs mit gezielten „Wie“-Fragen Anwender dazu anregen, über die vorgeschlagenen Lösungen nachzudenken. Wenn Anwender Änderungswünsche zu den Sicherheitsvorgaben haben, sollte die Security nicht einfach nur ‘Nein’ sagen. Eine Rückfrage dazu, was die Mitarbeitenden selbst vorschlagen, um sowohl die Sicherheitsvorgaben einzuhalten als auch effizientes Arbeiten zu ermöglichen, ist sinnvoll. So entsteht ein Dialog und es ist leichter, einen für alle Beteiligten tragbaren Kompromiss zu finden.
Praxiserfahrung statt grauer Theorie: Ein Trainingskonzept, das auf direkte Erfahrung setzt, konfrontiert Teilnehmende mit realistischen Szenarien – etwa Cyberangriffe wie Phishing, Ransomware oder USB-Angriffe. Sie erleben hautnah in einer realitätsnahen Umgebung, die typische Arbeitsplätze in kleinen und mittleren Unternehmen abbildet, wie Cyberangriffe ablaufen. So entsteht ein tiefes, nachhaltiges Verständnis für IT-Sicherheit. Statt Belehrungen stehen der Mensch und das Erleben im Mittelpunkt.
Fazit: CISOs als Gestalter wirksamer Sicherheitskultur
Der geringe Erfolg vieler Sicherheitsmaßnahmen liegt nicht allein an den Nutzenden – oft sind es unrealistische Vorgaben, fehlende Einbindung und unzureichende Kommunikation. Für Sicherheitschefs bedeutet das: Statt auf Erziehung und Sanktionen zu setzen, braucht es einen strategischen Paradigmenwechsel. Sie sollten zu einer Art Emphatic Policy Architekt werden, dessen Sicherheitsstrategie nicht nur technisch funktioniert, sondern auch menschlich überzeugt. Er gestaltet Rahmenbedingungen, in denen sich sichere Entscheidungen selbstverständlich in den Arbeitsalltag einfügen. Dafür braucht es ein gutes Gespür für Zielkonflikte, Kommunikation auf Augenhöhe – und die Fähigkeit, Sicherheit als gemeinsamen Wert im Unternehmen zu verankern. (jm)
Lesetipp: So erfüllen Sie Ihre Compliance-Anforderungen