Eine effektive Sicherheitskultur steht und fällt mit der Bereitschaft der Chefetage, definierte Vorgaben kompromisslos mitzutragen. Das bedeutet auch keine Ausnahmen für Führungskräfte.
Im Zuge der sich immer weiter verschärfenden IT-Bedrohungslage passen zahlreiche Unternehmen ihre Sicherheitsrichtlinien an – ein Schritt, der keinesfalls verkehrt ist. Es verwundert jedoch, dass vielerorts immer noch Ausnahmen für Führungskräfte existieren. Dabei ist es enorm wichtig, dass Unternehmenslenker mit gutem Beispiel vorangehen. Ohne fundierte Unterstützung durch die Führungsebene lässt sich keine Sicherheitskultur etablieren – und zwar aus gleich mehrerlei Gründen. Einerseits geht es ganz klar um die Vorbildfunktion. Eine effektive Sicherheitskultur gibt es nicht mit Ausnahmen für Führungskräfte!
Eine effektive Sicherheitskultur
Denn warum sollten sich Mitarbeiter an Vorgaben halten, deren Umsetzung sie nicht bei anderen Beschäftigten – insbesondere ihren Vorgesetzten – sehen? Typisches Beispiel (aber nur eines von vielen) ist sicher der Einsatz einer Multifaktor-Authentifizierung. Sonderrollen sind kontraproduktiv und auch das Argument der Bequemlichkeit hat in dem Zusammenhang längst ausgedient, schließlich steht die Sicherheit der gesamten Organisation auf dem Spiel. Zudem darf nicht vergessen werden, dass Unternehmensentscheider eine äußerst beliebte Zielgruppe für Phishing- und Spear-Phishing-Attacken darstellen.
Whaling: Angriff auf die Geschäftsleitung
Beim sogenannten Whaling nehmen Angreifer ausschließlich Geschäftsführer oder andere hochrangige Manager ins Visier, um an sensible Daten zu gelangen. Insofern sticht das Gebot der Wachsamkeit in Leitungsfunktion umso dringlicher hervor – hier ist im Vergleich mit dem durchschnittlichen Mitarbeiter eher mehr als weniger Vorsicht angesagt. Ein IT-Verantwortlicher, der im Hinblick auf digitale Sicherheit nicht vollumfänglich auf die Unterstützung des Vorstands und der Geschäftsleitung zählen kann, hat ganz sicher keine gute Ausgangsposition. Um diesen Spagat aufzulösen, kommt es allerdings ebenso darauf an, dass die definierten Cybersicherheitsrichtlinien das Unternehmen unterstützen und nicht torpedieren.
Oder doch Ausnahmen für Führungskräfte? Nein. Wenn eine Vorgabe die Geschäftsabläufe wirklich so stark behindert, dass eine Führungskraft sie umgehen möchte, sollte man sich überlegen, ob die Richtlinie überhaupt für alle notwendig ist. Es gibt keinen Elfenbeinturm für perfekte IT-Sicherheit und effektive Sicherheitskultur. Am Ende ist es eine ausgewogene Risikomanagement-Gleichung, die es einem Unternehmen ermöglicht, mit minimalem Risiko Geschäfte zu machen. Für diese Situation muss Bewusstsein geschaffen werden – und zwar ausnahmslos auf jeder Ebene und einhergehend mit dem Anspruch, Vorgaben zu definieren, an die sich jeder einzelne hält.
