4 Experten erklären, wie man eine starke Cybersecurity-Kultur aufbaut

Die Cybersecurity-Kultur bezieht sich auf das Wissen, die Wahrnehmungen, Einstellungen, Normen und Werte der Menschen in Bezug auf die Cybersecurity und wie sie sich im Verhalten der Menschen manifestieren. Wir können also sagen, dass es bei der Cybersicherheitskultur darum geht, Überlegungen zur Informationssicherheit zu einem unverzichtbaren Bestandteil der Gewohnheiten und der Arbeit eines Mitarbeiters zu machen und sie nahtlos in seine täglichen Routinen und Praktiken zu integrieren.

Tatsache ist, dass die Implementierung einer starken Cybersicherheitskultur eine wesentliche Rolle für die Sicherheitslage des gesamten Unternehmens spielt. Wir haben 4 Cybersicherheitsexperten nach ihrer Meinung zum Aufbau einer starken Cybersicherheitskultur gefragt. Lesen Sie weiter, um ihre vollständigen Erkenntnisse zu erfahren.

Ivan Rivic (CISO bei DataStore)

Die Geschäftsleitung muss sich des Einflusses der Cybersicherheit auf ihr Unternehmen bewusst sein. Damit meine ich nicht die Änderung des Passworts, sondern das Verständnis dafür, wie eine unsichere Geschäftsumgebung das Unternehmen beeinflussen kann. So können beispielsweise Ransomware-Angriffe oder Datenlecks Auswirkungen auf den Geschäftsbetrieb, die Finanzen, rechtliche Verpflichtungen und den Ruf haben. Sie müssen sich fragen, welchen Schaden ein Cybersicherheitsvorfall für mein Unternehmen verursachen würde.

Die Unterstützung des Managements bei der Operationalisierung der Cybersicherheit ist entscheidend. Ausserdem muss die Sicherheit im Fokus des Managements bleiben. Zum Beispiel muss sie ein Thema in den wöchentlichen Managementsitzungen werden. Mit einem solchen Management-Bewusstsein und operativer Unterstützung können Sie alles andere tun – ein Team aufbauen, interne Unterstützung haben, externe Unterstützung engagieren und so weiter.

Doron Zimmermann (Gastdozent bei Hochschule für Wirtschaft Zürich HWZ)

Indem sie ihre eigene relative Sicherheitsreife überprüft und sich ehrlich mit den Ergebnissen einer solchen Untersuchung auseinandersetzt. Zweitens durch die Einsicht, dass Sicherheit nur dann erfolgreich sein kann, wenn sie umfassend eingesetzt wird, d.h. nicht nur IT-Sicherheit (wie es oft der Fall ist), sondern eine Verschmelzung von IT-, Cyber-/Informationssicherheit mit typischen Aspekten von Unternehmenssicherheitsprogrammen, z.B. physische Sicherheit, Sicherheit von Mitarbeitern und Führungskräften, Reisesicherheit, Sicherheit der Lieferkette, Sicherheitsversicherungsmanagement, Schutz des geistigen Eigentums usw.

Sicherheit ist in hohem Maße eine Sache der Menschen. Wenn der Vorstandsvorsitzende und die Unternehmensleitung Cybersicherheit nicht in einem umfassenden Sinne praktizieren, warum sollten es dann die Mitarbeiter tun – ungeachtet der glänzenden Governance- und Compliance-Richtlinien? Die Führungskräfte müssen als Vorbilder fungieren und von den Mitarbeitern verlangen, dass sie sich mit dem Thema befassen, weil sie es selbst tun, und sie müssen ihren Mitarbeitern vermitteln, wie wichtig sie das Thema Sicherheit finden, indem sie das Thema in Management- und Betriebsversammlungen direkt ansprechen.

Und gleichzeitig sollten Führungskräfte in Unternehmen die Einhaltung von Vorschriften nicht mit Sicherheit verwechseln. Sie sollten das, was ein hochgradig agiles Unterfangen ist, das unabhängiges Denken erfordert, nicht zu einer „Tick-in-the-Box“-Übung machen. Sicherheit sollte als KPI in die zielorientierte Leistungsbeurteilung für alle Managementebenen in allen Abteilungen und bei den regulären Mitarbeitern integriert werden, da es sich um ein Unterfangen handelt, dessen Erfolg von konzertierten kollektiven Aktionen abhängt.

Umgekehrt sollten Führungskräfte ihre Mitarbeiter nicht zwingen, einen WBT- oder CBT-Kurs über die Einhaltung von Sicherheitsvorschriften zu absolvieren, sondern entweder selbst oder über einen CSO oder andere Sicherheitsbotschafter die Initiative ergreifen und direkt mit dem gesamten Management und den Mitarbeitern sprechen, um keinen Zweifel daran zu lassen, wie geschäftskritisch Cybersicherheit und Sicherheit im Allgemeinen sind. Sicherheit, die in Unternehmen mit geringerem Reifegrad in der Regel als Unterstützungsprozess angesehen wird, oder die in solchen Geschäftsumgebungen kurzsichtig einfach als Kostenstelle betrachtet wird, ist keines von beiden. Sicherheit ist eine Grundvoraussetzung, die sicherstellt, dass alle Mitarbeiter am nächsten Tag wieder zur Arbeit gehen können.

Es ist die Kultur eines Unternehmens, die vom Cybersicherheitsdenken geprägt sein muss. Nur wenn es gelingt, die Kultur eines Unternehmens zu prägen, besteht eine realistische Chance auf eine positive Veränderung hin zur Entwicklung einer relativen Sicherheitsreife. Denn wenn ein Unternehmen keine regelmäßige und nachweisbare „Hygiene“ betreibt, warum sollten seine Kunden und Interessengruppen ihm dann vertrauen?

Patrick Schramboeck (Leiter Key Management bei SIX Digital Exchange)

Um eine Cybersecurity-Kultur zu etablieren, braucht es immer eine klare Cybersecurity-Strategie, die auf die Anforderungen des Unternehmens zugeschnitten ist. Dabei ist es wichtig, die Bedürfnisse des Managements und der verschiedenen Abteilungen wahrzunehmen und Strategie und Sicherheitsanforderungen aufeinander abzustimmen.

So macht beispielsweise eine hochsichere öffentliche Website wenig Sinn, aber es ist wichtig, den Zugang zu vertraulichen Kundendaten auf Servern zu beschränken. Deshalb ist es notwendig, die kritischen Prozesse und Daten zu kennen und sie entsprechend zu schützen. Wesentlich ist auch die Offenheit für Feedback und Fragen, weil die Mitarbeiter sehen, dass Sicherheit gelebt und diskutiert wird.

Generell ist es viel besser, den Mitarbeitern die Möglichkeit zu geben, den CISO und sein Team zu aktuellen Problemen zu befragen, sei es bei Projekten oder im Tagesgeschäft. Das schafft Vertrauen und fördert die Bereitschaft zur Mitarbeit.

Thomas Zeulner (CISO bei TDK Electronics)

Die aktuelle Bedrohungslage ist bereits besorgniserregend. Jeder, der im Internet unterwegs ist, kann Opfer eines Angriffs werden, und die Folgen sind heute gravierender denn je. Die Zeit drängt, und wir sind auf die Unterstützung aller Mitarbeiter angewiesen. Hier bewährt sich der Gedanke „Security First“, der sich in allen Bereichen eines Unternehmens widerspiegeln sollte, egal auf welcher Ebene, sei es das Management, die Führungskräfte oder die Mitarbeiter. Sie alle bilden das wichtigste Glied in der Kette der Sicherheitsverteidigungsstrategie.

Diese Kultur sollte in den Handlungen jedes Einzelnen zu finden sein, was bedeutet, dass man nicht nur denkt, sondern auch handelt. Daher ist es unsere Aufgabe, dieses Sicherheitsbewusstsein unter den Kollegen aufzubauen und zu fördern. Die Sicherheitskultur sollte Teil der Unternehmenskultur sein.

Schulungen zur Cybersicherheit sind Teil der Kultur

Die Organisationskultur umfasst viele Dinge, darunter auch die Personalentwicklung und die Weiterbildung. Außergewöhnliche Organisationen inspirieren ihre Mitarbeiter dazu, dem Lernen in ihrer Entwicklungsstrategie Priorität einzuräumen. Informieren Sie sich über das Programm Cyber Security Specialist mit eidgenössischem Diplom. Dieses Ausbildungsprogramm vermittelt Ihnen ein umfassendes Verständnis dafür, wie Sie digitale Systeme und Daten vor Cyberangriffen schützen und somit Schäden an sensiblen Unternehmensressourcen abwenden können. Für weitere Informationen laden Sie die Programmbroschüre herunter oder kontaktieren Sie uns.

Ivan Rivic (CISO bei DataStore)

Doron Zimmermann (Gastdozent bei Hochschule für Wirtschaft Zürich HWZ)

Patrick Schramboeck (Leiter Key Management bei SIX Digital Exchange)

Thomas Zeulner (CISO bei TDK Electronics)

Schulungen zur Cybersicherheit sind Teil der Kultur

Gehalt für Jobs im Cybersicherheit 2025

[Press release] Ausgezeichnete Leistungen im Bereich Cybersecurity: Die Gewinner der Swiss CISO Awards 2024 stehen fest

Geschichte der Cybersicherheit

Vom Regenbogen zur Cybersicherheit: die 7 Teams und ihre Farben werden vorgestellt