Zum Hauptinhalt springen

Welche Rolle spielen Mitarbeitende für die Cybersicherheit?

Der Mensch im Fokus des Cyber-Ansatzes

Projekte zur Cybersicherheit führen häufig organisatorische Änderungen, neue Technologien und neue Prozesse ein – oft wird dabei aber vergessen, dass Menschen für den Erfolg des Programms entscheidend sind. Mitarbeitende sind der wirksamste Schutz gegen Cyberbedrohungen: Ihre Fähigkeit, eine Bedrohung zu erkennen und angemessen darauf zu reagieren, kann finanzielle Schäden, Informationsdiebstahl, Rufschädigung und andere Folgen der Internetkriminalität abwenden. Letztendlich hängt der Erfolg eines Cybersicherheitsprogramms davon ab, wie gut sich die Belegschaft ihrer Verantwortung für die Informationssicherheit bewusst ist und wie sie dieser gerecht werden kann.

Aus einer Studie von VECTRA geht hervor, dass 83 Prozent der IT- und IT-Sicherheitsexperten der Meinung sind, dass ihr Unternehmen trotz des Einsatzes von herkömmlichen Methoden nicht ausreichend vor modernen Cyberangriffen geschützt ist.1 Und wussten Sie, dass 95 Prozent der Cybersicherheitsvorfälle auf menschliche Fehler zurückgehen?2 Oft ist es unbeabsichtigt, wenn bösartige Links angeklickt, schwache Passwörter verwendet, Informationen mit unsicheren Tools ausgetauscht oder veraltete Systeme eingesetzt werden. Diese Unachtsamkeiten ermöglichen Datendiebstahl, Spionage und Sabotage, was der deutschen Wirtschaft einen Schaden in Höhe von mehr als 220 Millionen Euro pro Jahr zufügt; weltweit ist der Schaden entsprechend noch höher beziffert.  So legte beispielsweise Im Jahr 2017 die „WannaCry“-Malware weltweit viele Unternehmen lahm. Der dadurch verursachte Schaden wird auf mehr als 4 Milliarden US-Dollar geschätzt.3 Die Verbreitung von „WannaCry“ wurde unter anderem dadurch vereinfacht, dass Software-Updates nicht durchgeführt worden. Ohne die Verwendung veralteter Software und einem fahrlässigen Verhalten hätte der durch diesen Angriff verursachte Schaden erheblich verringert werden können. 

Ein Beispiel aus Deutschland ist der Angriff auf ein DAX-gelistetes Energieunternehmen. Ein sehr authentisch aussehender Bericht von einem angeblichen Partnerunternehmen wurde an die Belegschaft versandt, mit der Aufforderung diesen zu kontrollieren. Der Login-Vorgang führte dazu, dass die Anmeldedaten der Mitarbeitenden an Fremdserver der Hacker kinderleicht weitergegeben wurden. Das Unternehmen äußert sich nicht zur Schadensgröße.4 Die Attacke ist allerdings nicht die einzige – denn seit Beginn des Krieges in der Ukraine haben Cyberangriffe, die die Mitarbeitenden als IT-Sicherheitslücke ausnutzen, in Deutschland massiv zugenommen.5

Die Mitarbeitenden sind ein potenzielles Sicherheitsrisiko, gleichzeitig sind sie aber auch der wirksamste Schutz gegen Cyberangriffe. Sie betreiben Einrichtungen, arbeiten mit Unternehmensinformationen und verwalten Systeme, unter anderem Sicherheitssysteme. Daher müssen Cyberbewusstsein und sicheres Verhalten in ihrer Arbeitsweise verankert werden. Jede Investition in ein Cybersicherheitsprogramm sollte automatisch eine Investition in die Belegschaft nach sich ziehen. Dabei können die ersten Schritte klein sein. Eine einfache Umfrage gibt Ihnen Einblicke in den Bekanntheitsgrad von Sicherheitsmaßnahmen innerhalb der Organisation. Werden Sicherheitslücken gefunden, die nicht nur auf die Infrastruktur, sondern vor allem auch auf die Mitarbeitenden zurückzuführen sind, dann nehmen Sie Ihr Team mit auf die Reise. Menschen sind „Gewohnheitstiere“ und müssen mit durchdachten und stimmigen Kampagnen zu Verhaltensveränderung gebracht werden. Nur die Regeln zu ändern und die Neuerungen mitzuteilen, wird keine nachhaltige Anpassung im Verhalten erreichen. 

Am Anfang stehen Verhaltensänderungen

Jede Transformation beinhaltet eine Verhaltensänderung. Viele unserer Entscheidungen werden unbewusst getroffen. Indem wir Denkmuster und Verhaltensweisen wiederholen, entwickeln wir Gewohnheiten und bauen neuronale Muster in unserem Gehirn auf. Wenn wir eine Veränderung in unseren Arbeitsalltag integrieren können, dann haben wir eine bessere Chance, unser Verhalten zu beeinflussen und neue Gewohnheiten zu schaffen. Aber wir können unser Verhalten nur ändern, wenn wir es wirklich verstehen.  

Unsere Behaviour-First-Methodik hilft uns, die wahren Treiber des menschlichen Verhaltens besser zu verstehen und effektive Interventionen zur Verhaltensänderung zu entwickeln. Dabei wenden wir Theorien aus einer Reihe von Sozial- und Verhaltenswissenschaften an, darunter Anthropologie, Wirtschaftswissenschaft, Neurowissenschaften, Psychologie und Soziologie. 

Wir wenden Behaviour First in drei Phasen an: 

  1. Identifizieren
  2. Verstehen
  3. Verändern

Zunächst identifizieren wir in Workshops, was das aktuelle Verhalten antreibt, und definieren, welches Verhalten in Zukunft wünschenswert ist. Anschließend helfen wir Ihnen, die neu gewonnenen Erkenntnisse zu nutzen, indem wir die effektivsten Anstöße und organisatorischen Hebel für Verhaltensänderungen identifizieren. Dieser Service ist auf die spezifischen Bedürfnisse unserer Kunden zugeschnitten. 

Wie können wir Verhalten ändern?

In einer perfekten Welt sind die Menschen bewusst, kenntnisreich und motiviert, sicheres Verhalten in ihrer täglichen Arbeit anzuwenden. Jedoch leben wir nicht in dieser fehlerfreien Welt, eine Sicherheitsmentalität wird nur Schritt für Schritt erreicht. Die Gewohnheit den PC zu sperren, wenn beispielsweise der Platz am Schreibtisch verlassen wird, muss durch Wiederholung zu einer unbewussten Entscheidung werden. Auf dem Weg zu diesem automatisierten Verhalten muss zunächst das bewusste Entscheiden beeinflusst werden. Eine systematische Roadmap für das Steigern von Sicherheitsbewusstsein und sicherheitsförderndem Verhalten, die sowohl auf die Bedürfnisse des Unternehmens als auch der Mitarbeitenden abgestimmt ist, hilft einer Organisation, dieses Ziel zu erreichen. 

Maßnahmen zur Einbindung von Führungskräften sind ebenfalls in die Planung aufzunehmen, um sicherzustellen, dass Sicherheit eine sichtbare Priorität innerhalb der Organisation ist. Führungskräfte müssen als Vorbilder das geforderte Verhalten vorleben, um die Glaubhaftigkeit der Maßnahmen und die Relevanz von Cybersecurity an das Business zu vermitteln. Sie sollten aber auch darauf geschult werden, für Rückfragen bereitzustehen. Insbesondere bei potenziellen Sicherheitsvorfällen müssen sie als vertrauenswürdige Ansprechpartner bereitstehen, da die Hürde für Mitarbeiter, sich in einem solchen Fall zu melden, hoch ist.  Führungskräfte müssen hier gezielt geschult und bei Bedarf gecoacht werden. Dafür gilt es spezielle Workshops, Programme und Schulungen einzusetzen. Bis gewünschte Verhaltensweisen zu Automatismen geworden sind, sollten zudem passende KPIs entwickelt und genutzt werden. Darüber hinaus können Lernreisen und Akkreditierungsprogramme entwickelt werden, um Cybersicherheit für Führungskräfte und Mitarbeitende greifbarer zu machen.  

Wenn Sie bereits mehrfach Trainings und Schulungen durchgeführt haben, aber kein nachhaltiger Erfolg festzustellen ist, lohnt es sich, einen neuen Cybersecurity-Ansatz zu nutzen, der den Menschen in den Mittelpunkt stellt. Dieser konzentriert sich darauf, Mitarbeitende zum Thema abzuholen. Insbesondere wenn bereits eine Resistenz gegen das Thema in der Belegschaft vorzufinden ist, müssen Mitarbeitende in ihrem Problemverständnis verstanden und von dort aus mitgenommen werden.

Fehlt ein Bewusstsein und Trainingsprogramm für Cybersicherheit noch vollständig, empfehlen wir direkt mit einem verhaltens- und mitarbeiterzentrierten Ansatz in die Konzeptplanung und -implementierung einzusteigen. So kann eine Spirale wiederholter, erfolgloser Trainings vermieden werden, deren Inhalte von Mitarbeitenden schnell vergessen werden.

Nachhaltige Veränderung schaffen wir durch Verständnis. Von der Verhaltensforschung wissen wir, dass Menschen geneigt sind, den Weg des geringsten Widerstands zu gehen. Dies bedeutet, dass sie motiviert werden können, eine gute Cyberhygiene zu praktizieren, wenn Cybersicherheit bequem ist, zu ihrem eigenen Wohlbefinden beiträgt und in bestehende Abläufe integriert ist. 

Wir helfen unseren Kunden, die geeigneten Anstöße und organisatorischen Hebel für ihre Mitarbeitenden zu identifizieren. Gamification kann zur vereinfachten Übernahme neuer Verhaltensweisen führen, denn ungeachtet des Alters reagiert das menschliche Gehirn positiv auf spielerische Elemente und lernt mit ihnen schneller.

Überlassen Sie den Erfolg Ihres Cybersicherheitsprogramms nicht dem Zufall. Stärken Sie ihre Cyber-Resilienz, indem sie mit dem Behaviour-First Ansatz eine Human Firewall in ihrem Unternehmen entwickeln. 

Quellenangabe

1VECTRA, “Fit for Purpose or Behind the Curve? Uncovering how today’s organisations are tackling complex, modern cyberthreats”, VECTRA, 2021, abgerufen am 03.02.2023  

2Bitkom e.V., „Angriffsziel deutsche Wirtschaft: mehr als 2020 Milliarden Euro Schaden pro Jahr“, Bitkom, 2021, abgerufen am 03.02.2023

3Maria Henriquez, “Five years after the WannaCry ransomware attack”, Security Magazine, 2022, abgerufen am 03.02.2023

4Andy Voß, “Russische Hacker griffen deutsche Energieunternehmen an“, Computerbild, 2022, abgerufen am 03.02.2023

5Bundesamt für Sicherheit in der Informationstechnik: Die Lage der IT-Sicherheit in Deutschland. Bonn 2022. 

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback

Wenn Sie helfen möchten, Deloitte.com weiter zu verbessern, füllen Sie bitte folgendes aus: 3-min-Umfrage