CISOs sollten Sicherheitsrichtlinien mit Blick auf die Belegschaft gestalten.
earthphotostock – shutterstock.com
In vielen Unternehmen stoßen IT-Sicherheitsrichtlinien auf Widerstand, da Mitarbeitende sie als hinderlich oder praxisfern empfinden. Dies erschwert die Umsetzung, untergräbt die Wirksamkeit und belastet die Zusammenarbeit zwischen der Sicherheitsabteilung und den Fachbereichen. Statt als Partner wird Cybersecurity oft als Bremser wahrgenommen – ein fatales Sicherheitsrisiko. Für CISOs (Chief Security Information Officer) bedeutet das, dass neben technisch korrekten Richtlinien vor allem die Akzeptanz im Alltag entscheidend ist. Ein neuer Ansatz mit empathischem Policy-Engineering und strategischer Sicherheitskommunikation fördert eine nachhaltige Sicherheitskultur.
IT-Sicherheit: Arbeitsdruck und soziale Einflussfaktoren
In vielen IT-Abteilungen herrscht die Ansicht, dass Anwender wenig motiviert sind, Sicherheitsvorgaben einzuhalten. Unternehmen setzen auf Sanktionen und Schulungen, um regelkonformes Verhalten zu erzwingen. Ein zwei-tägiges Experiment, das untersucht, wie sich Sicherheitsdesigns auf richtlinienkonformes Nutzerverhalten auswirken, zeigte jedoch: Hatten Teilnehmende anfänglich noch eine positive Einstellung gegenüber Sicherheitsrichtlinien, wurden diese unter steigendem Arbeitsdruck zunehmend als hinderlich empfunden, was vermehrt zu Regelverstößen führte. Stress und situative Faktoren hatten einen spürbaren Einfluss auf das sicherheitsrelevante Verhalten der Teilnehmenden.
Sicheres Verhalten entsteht also nicht allein durch Wissensvermittlung, sondern hängt stark von der individuelle Risikoeinschätzung und den konkreten Alltagssituationen ab. Nutzer handeln nicht immer so, wie es die Richtlinien vorsehen. Oft nicht aus Unwillen, sondern weil andere Faktoren überwiegen oder als wichtiger eingeschätzt werden. Ambitionierte Ziele, Zeitdruck und das Bedürfnis nach reibungsloser Zusammenarbeit stehen häufig im Widerspruch zu abstrakten Sicherheitsvorgaben. Diese Interessenkonflikte führen schnell zu Spannungen zwischen Security, IT und den anderen Fachbereichen. Das gefährdet letztlich die Sicherheitskultur.
