Verzicht auf Schuldzuweisungen: besserer Cyberschutz durch psychologische Sicherheit

Jedes Unternehmen muss eine eigene Sicherheitskultur aufbauen. Dies wird jedoch oft erschwert, da Mitarbeiter sich scheuen, Vorfälle anzusprechen oder Verbesserungen vorzuschlagen.

So implementierst du einen vorwurfsfreien Ansatz für Cybersicherheit

Selbst Unternehmen, die eine ausgereifte Cybersicherheit besitzen und viel in den Datenschutz investieren, sind nicht gegen Cybervorfälle immun. Angreifer können Zero-Day-Schwachstellen ausnutzen oder Lieferketten kompromittieren. Mitarbeiter können auf raffinierte Betrugsmethoden hereinfallen, die alle Verteidigungslinien des Unternehmens durchbrechen. Auch dem Cybersicherheitsteam können Fehler unterlaufen, wenn es um die Konfiguration von Sicherheitstools oder die Reaktion auf Vorfälle geht. Alle diese Vorfälle bieten jedoch die Möglichkeit, Prozesse und Systeme zu verbessern und die Abwehrmaßnahmen effektiver zu gestalten. Das ist keine leere Motivationsphrase. Es ist ein erprobter Ansatz, der sich beispielsweise in der Flugsicherheit bewährt hat.

In der Luftfahrtindustrie gilt es als Pflicht, Informationen auszutauschen, um künftige Zwischenfälle zu vermeiden. Dies gilt für so gut wie alle Beteiligten – vom Flugzeugkonstrukteur bis zur Stewardess. Und es beschränkt sich nicht auf Abstürze oder Systemfehler. In dieser Branche werden auch potenzielle Probleme gemeldet. Die Berichte werden laufend analysiert und aufgrund der Ergebnisse werden die Sicherheitsmaßnahmen angepasst. Nach Angaben von Allianz Commercial hat die kontinuierliche Einführung neuer Maßnahmen und Technologien sichtbare Effekte: Die Zahl der tödlichen Zwischenfälle sank von 40 pro eine Million Flüge im Jahr 1959 auf 0,1 im Jahr 2015.

In der Luftfahrt weiß man schon lange, dass dieses Modell nur unter bestimmten Voraussetzungen funktioniert: Die Beteiligten dürfen keine Angst davor haben, Verfahrensverstöße, Qualitätsprobleme und andere Ursachen für Vorfälle zu melden. Darum umfassen die Luftfahrtstandards die Prinzipien der straffreien Meldung und der Redlichkeitskultur (just culture). Meldung von Problemen und Verstößen dürfen nicht mit Sanktionen verbunden sein. DevOps-Ingenieure pflegen ein ähnliches Prinzip: Es wird Kultur ohne Schuldzuweisungen (blameless culture) genannt und bei der Analyse schwerwiegender Vorfälle eingesetzt. Dieser Ansatz ist auch für die Cybersicherheit unerlässlich.

Hat jeder Fehler einen Namen?

Das Gegenteil einer vorwurfsfreien Kultur ist das Motto „Jeder Fehler hat einen Namen“. Es wird angenommen, dass hinter jedem Fehler eine Person steht, die daran schuld ist. Bei diesem Ansatz kann jeder Fehler disziplinarische Maßnahmen nach sich ziehen, bis hin zur Kündigung. Dieses Prinzip gilt als kontraproduktiv und fördert die Sicherheit nicht.

  • Mitarbeiter fürchten die Verantwortung und manipulieren bei einer Untersuchung von Vorfällen die Fakten oder vernichten sogar Beweise.
  • Verzerrte oder teilweise zerstörte Informationen erschweren die Reaktion und verschlechtern das Endergebnis, da Sicherheitsteams die Bedeutung des Vorfalls nicht schnell und passend einschätzen können.
  • Wenn sich das Team bei der Untersuchung von Vorfällen auf eine verantwortliche Person konzentriert, gerät leicht in den Hintergrund, wie sich das System insgesamt optimieren lässt, um ähnliche Vorkommnisse zu verhindern.
  • Mitarbeiter haben Angst, Verstöße gegen IT- und Sicherheitsrichtlinien zu melden. Dadurch entgeht dem Unternehmen die Chance, Sicherheitslücken zu beheben, BEVOR sie zu kritischen Vorfällen führen.
  • Den Mitarbeitern fehlt die Motivation, Probleme bei der Cybersicherheit anzusprechen, sich gegenseitig zu unterstützen oder die Fehler ihrer Kollegen zu korrigieren.

Damit wirklich jeder Mitarbeiter zur Sicherheit deines Unternehmens beitragen kann, ist ein anderes Vorgehen notwendig.

Die Prinzipien der Redlichkeitskultur

Egal, ob man es „straffreie Berichterstattung“ oder „Kultur ohne Schuldzuweisungen“ nennt, die Grundsätze bleiben gleich:

  • Jeder macht Fehler. Wir lernen aus unseren Fehlern. Fehler werden nicht bestraft. Natürlich muss zwischen einem „echten Fehler“ und einem böswilligen Verstoß unterschieden werden.
  • Bei der Analyse von Sicherheitsvorfällen müssen zahlreiche Faktoren berücksichtigt werden: der gesamte Kontext, die Absichten des Mitarbeiters sowie alle systemischen Aspekte, die möglicherweise zu der Situation beigetragen haben. Ein Beispiel: In einem Supermarkt erhält aufgrund der hohen Fluktuation nicht jeder Mitarbeiter ein eigenes Benutzerkonto. Darum nutzen die Verkäufer an der Kasse ein gemeinsames Konto. Ist der Administrator des Geschäfts daran schuld? Wahrscheinlich nicht.
  • Es müssen nicht nur technische Daten und Protokolle überprüft werden. Ebenso wichtig sind ausführliche Gespräche mit allen, die an einem Vorfall beteiligt waren. Dafür solltest du ein produktives und sicheres Umfeld schaffen, in dem sich die Leute wohlfühlen und ihre Meinung ungehemmt teilen können.
  • Eine Vorfalluntersuchung sollte zum Ziel haben, das Verhalten, die Technologie und die Prozesse in Zukunft zu verbessern. Für ernsthafte Vorfälle sollte das Vorgehen in zwei Kategorien unterteilt werden: Sofortmaßnahmen zur Schadenseingrenzung und Post-Mortem-Analyse zur Verbesserung von Systemen und Verfahren.
  • Offenheit und Transparenz sind absolut wichtig. Die Mitarbeiter müssen wissen, wie mit Problem- und Vorfallmeldungen umgegangen wird und wie Entscheidungen getroffen werden. Sie sollten genau wissen, an wen sie sich wenden können, wenn sie Sicherheitsprobleme erkennen oder vermuten. Sie müssen wissen, dass sie von Vorgesetzten und Sicherheitsexperten unterstützt werden.
  • Diskretion und Schutz. Sowohl die Person, die ein Sicherheitsproblem meldet, als auch die Person, die das Problem möglicherweise verursacht hat, sollte keine Schwierigkeiten befürchten müssen – vorausgesetzt, sie hat gewissenhaft und nicht vorsätzlich gehandelt.

So implementierst du diese Prinzipien in deine Sicherheitskultur

Sichere dir die Unterstützung der Unternehmensleitung. Eine Sicherheitskultur erfordert keine hohen Direktinvestitionen. Wichtig ist aber eine einmütige Unterstützung durch die Personalabteilung, das Informationssicherheitsteam und die interne Kommunikation. Zudem sollte für die Mitarbeiter sichtbar sein, dass die Unternehmensleitung den Ansatz aktiv unterstützt.

Dokumentiere den Ansatz. Die Philosophie der straffreien Unternehmenskultur sollte in den offiziellen Unternehmensdokumenten beschrieben werden. Dazu gehören detaillierte Sicherheitsrichtlinien sowie ein einfacher, kurzer Leitfaden, der für jeden Mitarbeiter zugänglich und verständlich ist. Dieses Dokument sollte deutlich machen, wie das Unternehmen zwischen einem Fehler und einem böswilligen Verstoß unterscheidet. Es sollte ausdrücklich darauf hingewiesen werden, dass Mitarbeiter nicht persönlich für „echte Fehler“ verantwortlich gemacht werden. Die Verbesserung der Unternehmenssicherheit und die Vermeidung zukünftiger Fehler haben absolute Priorität.

Schaffe Kanäle für die Meldung von Problemen. Die Mitarbeiter sollten mehrere Möglichkeiten haben, Probleme zu melden: einen speziellen Abschnitt im Intranet, eine bestimmte E-Mail-Adresse oder den Kontakt mit ihren direkten Vorgesetzten. Ideal wäre auch eine Hotline, über die Probleme anonym gemeldet werden können.

Schulung von Mitarbeitern. Geschulte Mitarbeiter können unsichere Vorgänge und Verhaltensweisen leichter erkennen. Zu Schulungen gehören praktische Beispiele für Probleme, die gemeldet werden müssen, sowie verschiedene Vorfallszenarien. Du kannst unsere Kaspersky Automated Security Awareness Platform verwenden, um solche Schulungen zum Thema Cybersicherheit zu organisieren. Motiviere deine Mitarbeiter: Sie sollen nicht nur Vorfälle melden, sondern auch Verbesserungsvorschläge machen und darüber nachdenken, wie Sicherheitsprobleme im Alltag vermieden werden können.

Schulung von leitenden Mitarbeitern. Vorgesetzte müssen wissen, wie sie auf Berichte ihrer Teams reagieren sollen. Es muss klar sein, wie und wohin eine Meldung weitergeleitet werden muss, und wie man vermeidet, dass in einem Meer der Redlichkeitskultur Inseln aus Schuldzuweisungen entstehen. Führungskräfte sollten lernen, so zu reagieren, dass sich ihre Kollegen unterstützt und beschützt fühlen. Die Reaktionen auf Vorfälle und Fehlermeldungen müssen konstruktiv sein. Führungskräfte sollten anregen, dass in Teambesprechungen über Sicherheitsfragen diskutiert wird, um das Thema zu normalisieren.

Entwickle ein faires Überprüfungsverfahren für Vorfälle und Meldungen über Sicherheitsprobleme. Dafür solltest du eine Gruppe von Mitarbeitern aus verschiedenen Abteilungen bilden – ein „Team für lösungsorientiertes Vorgehen“. Dieses Team ist dafür verantwortlich, dass Meldungen schnell bearbeitet, Entscheidungen zeitnah getroffen und Aktionspläne für alle Fälle erstellt werden.

Fördere proaktives Handeln. Lobe und belohne Mitarbeiter, die gezielte Phishing-Versuche melden oder Schwachstellen in Richtlinien oder Konfigurationen erkennen. Auch Mitarbeiter, die Sensibilisierungstrainings am besten und schnellsten absolvieren, verdienen ein extra Lob. Besonders aktive Mitarbeiter können in regelmäßig erscheinenden IT- und Sicherheits-Newslettern erwähnt werden.

Integriere die Ergebnisse in die Sicherheitsmanagementprozesse. Die Schlussfolgerungen und Vorschläge der Untersuchungskommission sollten priorisiert und in den Cyberresilienz-Plan des Unternehmens aufgenommen werden. Manche Ergebnisse beeinflussen möglicherweise nur die Risikobewertung. Andere führen jedoch direkt zu Änderungen der Unternehmensrichtlinien, zur Einführung neuer technischer Sicherheitskontrollen oder zur Anpassung vorhandener Überwachungsvorgänge.

Lerne aus Fehlern. Ein Programm zur Sensibilisierung für die Informationssicherheit ist effektiver, wenn es praktische Beispiele aus dem eigenen Unternehmen erwähnt. Dabei sollten keine bestimmten Personen genannt werden. Es ist aber sinnvoll, auf Teams und Systeme hinzuweisen und Angriffsszenarien zu beschreiben.

Leistung messen. Um sicherzustellen, dass dieses Vorgehen funktioniert und Ergebnisse liefert, musst du Kennzahlen für die Informationssicherheit sowie Leistungsindikatoren für das Personal und die Kommunikation verwenden. Verfolge die MTTR (mittlere Reaktionszeit) für identifizierte Probleme, den Prozentsatz der durch Mitarbeiterberichte erkannten Probleme, den Grad der Mitarbeiterzufriedenheit, die Anzahl und Art der identifizierten Sicherheitsprobleme und die Anzahl der Mitarbeiter, die an Verbesserungsvorschlägen beteiligt waren.

Wichtige Ausnahmen

Eine Sicherheitskultur oder eine vorwurfsfreie Kultur bedeutet nicht, dass es keinerlei Rechenschaft gibt. Beispielsweise enthalten die Richtlinien zur straffreien Meldung im Flugsicherheitsbereich wichtige Ausnahmen. Der Schutz gilt nicht, wenn jemand vorsätzlich und böswillig von den Vorschriften abweicht. Diese Ausnahme verhindert beispielsweise, dass ein Insider, der interne Daten an Wettbewerber weitergegeben hat, nach einem Geständnis ungeschoren davonkommt.

Die zweite Ausnahme sind nationale oder branchenspezifische Vorschriften, nach denen konkrete Mitarbeiter für Vorfälle und Verstöße persönlich zur Verantwortung gezogen werden müssen. Auch bei solchen Regelungen ist es wichtig, die Balance beizubehalten. Der Akzent sollte stets auf der Verbesserung von Prozessen und der Vermeidung zukünftiger Vorfälle liegen, nicht auf der Suche nach Schuldigen. Der Aufbau einer Vertrauenskultur ist nur möglich, wenn Untersuchungen objektiv sind und Rechenschaftspflicht nur dort gilt, wo sie wirklich notwendig und gerechtfertigt ist.

Tipps

Privatsphäre in sozialen Medien – Stand 2025

In welchen sozialen Netzwerken bleiben deine Beiträge vorwiegend deinen Freunden vorbehalten? Welche Netzwerke verwenden deine Postings für KI-Training und gezielte Werbung? Wir untersuchen das aktuelle Privatsphäre-Ranking für populäre Social-Media-Plattformen.

  • Für alle anderen Länder