Der Bericht „Die Lage der IT-Sicherheit in Deutschland 2022” zeichnet ein düsteres Bild. Die Gefährdungslage sei „so hoch wie nie”, Cyberangriffsmethoden würden weiter professionalisiert, und die angespannte geopolitische Lage insgesamt verschärfe das Problem zusätzlich. Eine der wesentlichen Empfehlungen des BSI, dieser Bedrohungslage adäquat zu begegnen, ist die „kontinuierliche (…) Erhöhung der Aufmerksamkeit” aller Mitarbeitenden einer Organisation zum Thema Informationssicherheit – geraten doch Beschäftigte zunehmend ins Visier von Angreifenden (vgl. [1]). Diese Intensivierung der Aufmerksamkeit darf im Kontext einer Firma/Organisation durchaus als eine Führungsaufgabe verstanden werden.

Richtlinie ORP.3
Die Empfehlung erscheint im Vergleich zu normativen Anforderungen jedoch noch recht unkonkret und fast schon milde. Deutlich konkreter äußert sich dazu beispielsweise die Richtlinie ORP.3 des IT-Grundschutzes. So weist das Dokument „ORP.3 Sensibilisierung und Schulung zur Informationssicherheit” [2] deutlich darauf hin, welche Folgen unzureichende Kenntnis der Regelungen und eine unzureichende Sensibilisierung für die Informationssicherheit haben. Darüber hinaus wird in ORP.3 klar benannt, was die Wirksamkeit solcher Schulungen und Sensiblisierungsmaßnahmen zusätzlich gefährden kann. „Fehlende Managementunterstützung” steht in dieser Aufzählung der Hindernisse an erster Stelle.

Commitment des Managements
Und schaut man etwa in die Anforderungen der ISO/IEC 27001:2022 [3], so fordert Normkapitel 7.3 die explizite Aufklärung der Belegschaft über die Richtlinien und Policies einer Organisation zur Wahrung der Informationssicherheit. Vor allem aber fordert sie die Sensibilisierung für den Beitrag, den jeder Einzelne zum Sicherheitsniveau leisten kann und welches Fehlverhalten die Sicherheit der Organisation/des Unternehmens gefährdet. Normkapitel 6.3 fordert nicht nur explizit die kontinuierliche Erhöhung der Aufmerksamkeit, sondern erwartet normativ jeweils einen konkreten inhaltlichen Bezug zwischen Richtlinien und Anweisungen und dem konkreten jeweiligen Aufgabenfeld der Beschäftigten einer Organisation. Möchte eine Organisation ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001:2022 einführen und extern zertifizieren lassen, muss diese Normanforderung der Awarenessbildung zwingend umgesetzt und dies nachgewiesen sein. Dabei fordert die Norm quasi als Selbstverständlichkeit die dafür notwendige Managementunterstützung und das explizite Commitment des Managements. Andernfalls wären sämtliche normativen Anforderungen eines ISMS gemäß Normkapitel 5 („Leadership”) nicht erfüllt. Gelebter Managementsupport ist somit zwingende Voraussetzung für die Wirksamkeit des ISMS und damit auch der Zertifizierungsreife des ISMS.

Was können KMU sich leisten?
Nun lassen sich aber zwei grundsätzliche Phänomene beobachten. Zum einen haben vor allem kleine und mittelständische Unternehmen (KMU) nicht immer die Kapazität, das Budget und das Know-how, ein ISMS nach ISO/IEC 27001 oder anderen anerkannten Standards einzuführen. Sie machen aber laut BSI 99,4 % der deutschen Wirtschaftsunternehmen aus [1], und sie betrifft die Cyber-Bedrohung gleichermaßen. Unabhängig von der Frage, ob ein ISMS einzuführen ist oder nicht, steht der Schutz der unternehmenseigenen Informationen in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität somit auf der Agenda. Aber aufgrund der extrem knappen internen Ressourcen gerade bei KMU muss der Einsatz von Zeit und Geld zur Absicherung der unternehmensinternen Informationen vor Cyberangriffen besonders gut geplant und wirksam umgesetzt werden.

Fehlender Managementsupport durch die Geschäftsführung oder ein Verhalten der Führungsebene, das dem Streben nach mehr Informationssicherheit entgegenwirkt, wäre demnach nicht nur gefährdend für die Informationssicherheit, sondern auch schädlich im Sinne des ROI der eingesetzten äußerst knappen Mittel. Wenn das ohnehin stark begrenzte und für Informationssicherheit eingesetzte Budget wirkungslos verpufft, ist keinem geholfen – vor allem dem Unternehmer nicht, der ein ureigenes Interesse am Schutz seines Unternehmens haben dürfte.

KMU als schwaches Glied der Lieferkette
Und die Politik erkennt wohl zunehmend, dass unsere Volkswirtschaft an vielen elementaren Stellen exakt von jenen KMU abhängiger zu sein scheint, als man bisher offenbar wahrhaben wollte oder angenommen hatte – zumindest, wenn es um das Thema der gesellschaftlichen Perspektive auf Informationssicherheit geht. Dem wirkt man nun entgegen. Denn gerade diese KMU mit ihren häufig massiv begrenzten Ressourcen sind nicht selten Teil von Lieferketten. Sie tragen zur Wertschöpfung größerer Unternehmen bei, die ihrerseits aber über meist umfassendes Know-how und massive Kapazitäten zur Wahrung der Informationssicherheit verfügen. Der Glaube also, als kleines Unternehmen sei man für Angreifende nicht interessant, ist spätestens dann ein Irrglaube, wenn man für große (vielleicht globale) Player als Zulieferer agiert und aufgrund des eigenen (systembedingt niedrigen) Informationssicherheitsniveaus somit ein interessanter Ausgangspunkt für Angreifende ist, die es gar nicht auf das KMU an sich, sondern auf den Kunden des KMU abgesehen haben. Und einige KMU leisten ihrerseits Services für aktuelle KRITIS-Betreiber oder sind ihrerseits mit ihrem Leistungsspektrum einem KRITIS-Betreiber ähnlich.

NIS-2-Richtlinie
Um unter anderem auf diese beiden Aspekte zu reagieren, hat die Europäische Union Ende 2022 die „NIS-2-Richtlinie zum Schutz von Netzwerk- und Informationssystemen (NIS)” veröffentlicht, die von den EU-Mitgliedstaaten „(…) innerhalb von 21 Monaten in nationales Recht” [4] umzusetzen ist. Diese dann zwingend gesetzlich vorgeschrieben umzusetzenden Maßnahmen zur Steigerung und Wahrung von Informationssicherheit gelten dann (so darf angenommen werden) bereits für Unternehmen ab 50 Mitarbeitende oder 10 Mio. Euro Jahresumsatz, wenn die KMU bestimmten Sektoren zugehörig sind oder Teil der Lieferkette wesentlicher oder wichtiger anderer (KRITIS-)Einrichtungen sind [4]. Das Besondere an NIS-2 ist: „(…) Leitungsorgane (Vorstand, Geschäftsführung etc.) (sollen) für die Überwachung der Umsetzung der Risikomanagementmaßnahmen Sorge tragen und fordert, dass ein Verstoß gegen diese Pflicht zur privaten Haftung der Leitungsorgane führt.” [5]

Potenziell existenzgefährdend für Leitungsorgane
Diese Vorgaben scheint die Bundesregierung besonders streng umsetzen zu wollen. Der Referentenentwurf sieht vor, dass die Leitungsorgane ihren Verpflichtungen persönlich nachkommen müssen. Außerdem sollen sie gegenüber ihrer Organisation für Bußgelder haften, die aufgrund ihrer Pflichtverletzungen verhängt wurden. Dies kann insbesondere für Vorstände und Geschäftsführer von großen Unternehmen fatale Folgen haben. Denn die Obergrenze für Bußgelder wird von bisher 20 Millionen Euro (§ 14 Abs. 5 BSIG i. V. m. § 30 Abs. 2 Satz 3 OWiG) teilweise auf 2 % des globalen Jahresumsatzes des Unternehmens erhöht. Da vorgesehen ist, dass die Organisationen auf die Ersatzansprüche gegenüber den Leitungsorganen nicht verzichten dürfen, sind die neuen Haftungsregeln für Leitungsorgane potenziell existenzgefährdend [5].

Wirksame Informationssicherheit braucht wirksame Führung
Es wird also deutlich, dass ein Zusammenhang zwischen effektiver Führung eines Unternehmens oder einer Organisation und den dort beschäftigten Personen und der Wahrung von Informationssicherheit nicht nur aus wirtschaftlichen Aspekten im Sinne einer Sicherung des ROI der eingesetzten Mittel sinnvoll erscheint. Vielmehr fordern Best Practices wie BSI-Grundschutz oder ISO/IEC 27001 explizit Führungscommitment und greifen als Standards bereits seit Jahren dem vor, was der Gesetzgeber jetzt exemplarisch mit NIS-2 angehen wird – nämlich die oberste Leitung einer Organisation in die Verantwortung zu nehmen, durch aktive Führungsarbeit dazu beizutragen, dass Informationssicherheit in der Organisation etabliert und gewahrt wird. Verschärft wird diese Anforderung jedoch jetzt durch die bei Nichteinhaltung und Nichterfüllung zu verhängenden Bußgelder – zu begleichen in einer persönlichen Haftung der obersten Leitung. Zusammengefasst erfordert eine wirksame Informationssicherheit wohl mehr denn je eine adäquate Führung.

Es sieht somit doch nach einer ganz einfachen und schnell lösbaren Aufgabe aus. Um also im Sinne des Gesetzes oder unter Beachtung normativer Anforderungen „compliant” (hier bewusst in Anführungszeichen gesetzt) zu werden, müsste man ja nur alle Regeln aufschreiben, die die Beschäftigten einer Organisation/Firma in Bezug auf Informationssicherheit zu befolgen haben. Man müsste diese Regeln dann regelmäßig schulen und die Folgen des potenziellen Verstoßes inkl. der dann folgenden Sanktionierung jenes (un)absichtlichen Verstoßes ankündigen. Fertig. Das bedeutet aber noch nicht, wirklich compliant zu sein, sodass diese Prozesse verstanden und gelebt werden und Wirksamkeit entfalten – also der Informationssicherheit wirklich zuträglich sind.

Denn leider haben Regelsysteme – und zu denen zählen bspw. im Folgenden Dokumente wie die Informationssicherheitspolitik eines Unternehmens, Arbeitsanweisungen, Richtlinien oder auch die Gesamtheit eines ISMS – ihre Schwächen, wenn man aus einer systemisch geprägten Perspektive der Organisationsforschung auf solche Regelsysteme schaut.

Aufgabe der Regelsysteme
Grundsätzlich haben Regelsysteme in Organisationen generell die Aufgabe, Entscheidungsprämissen zu liefern, innerhalb deren sich die Mitarbeitenden einer Firma in dem so gesetzten Rahmen frei bewegen können. Regelsysteme nehmen somit Freiraum und geben diesen zugleich, da die Beschäftigten innerhalb der Prämissen frei entscheiden können und dürfen. Je technisch präziser diese Programme (also Erwartungen, die für mehr als nur eine Entscheidung gelten) sind, desto präziser lassen sich abzuarbeitende Handlungen vorantreiben und desto geringer ist die Zahl möglicher Handlungsalternativen [6]. In Bezug auf Informationssicherheit bedeutet dies: Eine Passwort-Policy liefert als Regel klare Entscheidungsprämissen bzgl. Anwendung, Komplexität und Länge von Passwörtern, innerhalb deren Mitarbeitende ihr Passwort frei wählen dürfen und sollen. Ein kürzeres Passwort oder etwa ein Passwort ohne Sonderzeichen hingegen ist nicht erlaubt, und insofern ist demnach die Entscheidungsfreiheit begrenzt. Und ein komplettes ISMS wäre also zum Beispiel ein komplexes Regelwerk zahlreicher, aufeinander abgestimmter Regeln, das der Organisation hilft, Risiken handhabbar zu machen, und somit für die Beschäftigten der Organisation „Aufgaben bündelt” und an sie „Erwartungen formuliert” [7].

Regelsysteme haben Schwächen
Die „Schwächen” solcher Regelsysteme zeigen sich in vielfältiger Form. Regeln können zunächst einmal unabsichtlich (!) unterschiedlich ausgelegt werden [8]. Dies geschieht, wenn nicht oder nur unzureichend und/oder nicht regelmäßig geschult und geübt wird oder etwa an unterschiedlichen Unternehmensstandorten unterschiedliche Ansätze der Kommunikation dieser Regeln angewandt und Regeln vielleicht unbewusst und unabsichtlich unterschiedlich erklärt wurden. Solche Kommunikationslatenzen sind aus Führungssicht ein eher leicht zu lösendes Problem.

Anomalien in Organisation
Von „Anomalien in Organisation” wird hingegen gesprochen, wenn solche Regeln umgangen, gebeugt oder nur auf dem Papier gelebt werden [9], das ISMS also nur auf dem Papier existiert und Beschäftigte wesentliche Regelungen gar nicht kennen oder neben der offiziellen Regel der Informationssicherheit andere „Regeln” (aus Bequemlichkeit, aus Unverständnis und mangelnder Akzeptanz) gelebt werden. Der Feuerlöscher, der die Tür zum Seiteneingang offenhält, weil dort geraucht wird, und fremden Personen unkontrolliert Zutritt gewährt, die Rechner, deren Bildschirme bei Verlassen des Schreibtischs aus Bequemlichkeit nicht gesperrt werden, oder die Sicherheitsunterweisung, die zwar der „Compliance” wegen in einem 08/15-Stil als Pflichtveranstaltung mit Anwesenheitskontrolle durchgeführt wird, aber didaktisch eine Katastrophe und daher nicht sinnstiftend und nicht nachhaltig wirksam ist, sind solche Beispiele.

Niklas Luhmann als einer der renommiertesten Systemtheoretiker prägte bereits früh den Begriff der „brauchbaren Illegalität” [10], wenn Regeln bewusst gebrochen werden, um so dem vermeintlichen Wohl der Organisation zu dienen. Der in letzter Zeit wohl prominenteste Fall war der Dieselgate-Skandal von VW. Im Kontext der Informationssicherheit könnte dies zum Beispiel Fall sein, wenn Mitarbeitende unternehmensinterne, streng vertrauliche Dokumente und/oder personenbezogene Daten auf einem privat genutzten Cloud-Speicher ablegen, weil sie am Wochenende von zu Hause aus damit eine sehr wichtige und wirklich dringende Aufgabe erledigen wollen, die zwingend bis Montag früh fertig sein muss und für die Firma sehr sehr wichtig ist, dabei jedoch wissentlich missachten, dass nicht nur das ISMS, sondern auch EU-Datenschutzbestimmungen umgangen werden, wenn die entsprechenden Server des privat genutzten Cloud-Dienstes bspw. in den USA stehen und Daten dort unverschlüsselt abgelegt werden.

In unsicherer Situation sinngemäß handeln
Und wie bereits dargelegt, werden laut BSI die Angriffsmethoden immer professioneller und perfider. Wir müssen uns bei den von uns erdachten Regeln demnach immer bewusst machen, dass es Angriffe geben wird, die wir uns heute in Art, Umfang und Vorgehensweise im Ansatz noch nicht konkret vorstellen und für die wir heute demnach kein „richtiges” (also sicheres) Verhalten als Regel definieren können. Aber wir müssen uns bewusst sein, dass die bestehenden Regeln die eigene Komplexität erhöhen und damit die Fähigkeit senken, der steigenden Komplexität von Inhalt und Umwelt zu begegnen [11]. Oder anders formuliert: Parallel zu den bestehenden Regelsystemen braucht es (dennoch) die Fähigkeit, unbekannten und neuen (Bedrohungs-)Situationen sinngemäß zu begegnen, wenn es dafür bisher keine Regel gibt – im Sinne bisheriger Regeln, im Sinne gesunden Menschenverstandes und im Sinne der Informationssicherheit und eines Bewusstseins für sie.

Weiterhin kann es durchaus passieren, dass Anschlussfähigkeit und Orientierungshilfe bestehender Regeln plötzlich fehlen, wenn unbekannte Situationen trotz regelkonformen Handelns nicht bewältigt werden können [12]. Die Beschäftigten befolgen die Regeln zu 100 % korrekt, und dennoch ist der Angriff erfolgreich, weil die Regeln nicht oder nicht mehr wirken. Auch dann braucht es eine Belegschaft, die den Sinn der Informationssicherheit in Organisationen verstanden hat und durch sinngemäßes Handeln eine passende Verhaltensweise antizipiert.

Die im Folgenden beschriebenen Hinweise zur Rolle der Führungskraft in der Informationssicherheit setzen voraus, dass das Unternehmen sich bereits mit den grundlegenden „Hausaufgaben” befasst hat und diese Managementaufgaben bereits erfolgreich umgesetzt sind. Somit werden Aufgaben wie das Formulieren einer Sicherheitspolitik, eine Inventarisierung der (informationellen) Werte der Organisation, eine Schutzbedarfsfeststellung, eine Risikobeurteilung und eine Ableitung von Risikobehandlungsmaßnahmen hier nicht thematisiert und als „erledigt” betrachtet.

Im Folgenden sollen vielmehr aus einer Führungsperspektive handlungsleitende Impulse gegeben werden, die die tägliche Arbeit der Führungskraft im System thematisieren und das Gelingen einer erfolgreichen Informationssicherheitspolitik unterstützen sollen.

Regel
„Regel ist die Verdeutschung des lateinischen regula (Regel, Maßstab/Messlatte), das vom Verb regere (leiten, gebieten, lenken, ausrichten) abstammt (…), eine Regel ist (…) das Reguläre, ist das Übliche, Norm entsprechende, Ordentliche (…). Das englische ‚rule’ hat zusätzlich noch die ursprüngliche Bedeutung bewahrt: rule ist Regime, Herrschaft, Regierung. Es gilt: ‚Regeln sind (…) Vorgaben, die erst im Handeln erkennbar und durch das Handeln reproduziert werden.’” [12]

Reproduzieren der Regeln
Bin ich also als Führungskraft in der obersten Leitung der Geschäftsführung oder des Vorstands einer Organisation tätig oder vertrete als Bereichsleitung in der zweiten Führungsebene entsprechende Interessen der obersten Leitung, sollte ich den Aspekt der Reproduzierung von Regeln durch mein Handeln als Führungskraft in Verbindung mit der ursprünglichen Bedeutung des Wortes Herrschaft und Regime verstehen.

Vorbildfunktion
Eine formal per Hierarchie mit Führungsautorität ausgestattete Person setzt in ihrem Handeln normativ die Reproduktion von Regeln in Gang – und das als Führungskraft stärker, als es Personen ohne Führungsverantwortung vermögen. Oder allgemeiner formuliert: Wenn ich mich als Vater eines siebenjährigen Sohns vor dem Losfahren mit dem Pkw nicht anschnalle, kann ich nicht erwarten, dass mein Sohn den Sinn des Anschnallens versteht, und ich kann auch nicht erwarten, dass er die von mir aufgestellte, aber von mir selbst nicht befolgte Regel wie selbstverständlich befolgt. Mein Verhalten drückt in meinem Handeln nicht die Regel aus, meine Autorität reproduziert die Regel nicht und stellt sie de facto in diesem Augenblick infrage.

Bewusstsein der Führungskraft vorhanden?
Daher ist es in einem ersten Schritt unumgänglich und zwingend erforderlich, dass sämtliche Führungskräfte einer Firma/Organisation die Regeln der Informationssicherheit selbst kennen und verstanden haben. Dies wird leichter erreicht, wenn (gerade wegen der üblicherweise stark begrenzten finanziellen und personellen Mittel) das Unternehmen sich mit einem risikobasierten Ansatz seiner informationellen Kronjuwelen bewusst wird, den jeweiligen Schutzbedarf identifiziert und dann die Risiken erkennt, die auf diese Kronjuwelen wirken. Entsprechende Maßnahmen der Risikobehandlung münden dann in erste Regeln, Anweisungen, Policies und Richtlinien. Jede Regel hat dann einen klaren Bezug zum Schutzbedarf und damit zum Fortbestand des Unternehmens. Ist die Führungskraft/oberste Leitung von Anfang an in diesen Prozess eingebunden, ist der Sinn der einzelnen Regeln jeweils entsprechend transparent und die Absicht und das Ziel einer jeden Regeln sind sehr einfach begründbar.

Kennen Sie die eigenen Regelsysteme
Nur wenn jede Führungskraft einer Organisation die Regeln kennt und diese entsprechend verstanden hat, kann sie diese in jeder Situation des betrieblichen Alltags vorleben und bei Bedarf erklären, den Sinn der Regel erläutern und vor allem angeben, wo diese Regeln dokumentiert sind, wo man Details nachlesen kann, wo Handlungsanweisungen abgelegt sind und wie bspw. Meldeketten funktionieren.

Und solche Gespräche mit Fragen nach dem Sinn und Inhalt von Regeln der Informationssicherheit können jederzeit und überall entstehen – im turnusmäßigen Mitarbeitergespräch, im Aufzug, in der Kantine, bei Informationssicherheitsereignissen. Ist die Führungskraft dann kompetent auskunftsfähig und kann sinnstiftend kommunizieren, unterstreicht das die Bedeutsamkeit der lenkenden Funktion der Regeln und schafft Vertrauen.

Regeln vorleben!
Und selbstverständlich dürfen Führungskräfte keine organisationalen Abkürzungen nehmen und Regeln ignorieren, sie beugen oder nur auf dem Papier leben. Die Erwartung ist eindeutig. Leben Sie selbst wie selbstverständlich die von Ihnen auferlegten Prozesse und machen Sie Kraft Ihrer Autorität davon keinesfalls eine Ausnahme. Die Regeln gelten ausnahmslos für alle Akteure.

Führungskräfte, Geschäftsführende und Vorstandsmitglieder sind Informationsträger mit zentralem, besonders schützenswertem Wissen der Organisation. Bedenken Sie: Es geht stets um Informationssicherheit und nicht (nur) um IT-Sicherheit. Das Organisations- und Firmenwissen in den Köpfen der Führungskräfte gilt es besonders zu schützen, so etwa im (halb)öffentlichen Raum. Leben Sie Ihrer Belegschaft vor, wie eine auf Informationssicherheit getrimmte Kommunikation im (halb)öffentlichen Raum auszusehen hat, und tragen Sie als besonders exponierte Person dazu bei, dass Regeln zum Schutz von Informationen in alltägliche Praxis übergehen.

Die Grenzen der Kommunikation verschwimmen in unserer Arbeitswelt immer mehr. Neben Rechner und Notebook gehören Tablet und Smartphone inzwischen für viele zur Basisausstattung. Der Arbeitsort wechselt situativ vom Büro in der Firma zum Kunden, ins Homeoffice, in die Co-Working-Location oder im Rahmen von Workation-Regelungen sogar bspw. ins benachbarte EU-Ausland.

Cloud-Dienste erlauben uns den Zugriff auf diese (schützenswerten) Informationen – quasi von überall, zu jeder Zeit und auf jedem Device. Und gerade Führungskräfte der obersten Leitung arbeiten üblicherweise in einem deutlich größeren Umfang an sensiblen Unternehmensdaten und genießen meist deutlich mehr Zugriffsrechte auf einzelne Unternehmensbereiche und -informationen.

Regeln gelten für ALLE
Technische und organisatorische Sicherheitsmaßnahmen einer Firma sollen dazu beitragen, dass diese digitalisierte Welt ihre volle Wirkung in Sachen Effektivität und Effizienz entfalten kann, ohne dabei den Schutz der verarbeiteten Werte zu gefährden. Regeln werden entsprechend aufgestellt und kommuniziert, um den unbefugten Zugriff auf diese Werte zu verhindern. Wenn Führungskräfte oder Mitglieder der obersten Leitung ihre Autorität nutzen, um diese Sicherheitsmaßnahmen für sich selbst außer Kraft zu setzen, weil sie unbequem sind, unflexibel erscheinen oder den Zugriff einschränken, dann hat das zwei katastrophale Effekte.

Whaling
Erstens sind es ja gerade Führungskräfte, die von Angreifenden für das sogenannte Whaling [13] ausgesucht werden. Whaling ist der gut vorbereitete, gründlich recherchierte und dadurch legitim wirkende Spear-Phishing-Angriff auf den „großen Fisch” der Organisation – Vorstand/Geschäftsführung. Gelingt es, deren Account zu kapern, und sind dann aus den genannten Gründen die ansonsten in der Organisation etablierten Sicherheitsmechanismen außer Kraft gesetzt, haben Angreifende besonders leichtes Spiel.

Was offenbaren Sie über sich selbst?
Und zweitens ist den meisten Führungskräften sicherlich das Vier-Ohren-Modell der Kommunikation bekannt, das in zahlreichen Führungskräfteseminaren zur Kommunikation mit Mitarbeitenden Anwendung findet. Und so wundert es fast nicht, dass sich dieses auch in der Kommunikation von Informationssicherheitsregeln anwenden lässt. Dieses Modell beschreibt grob, dass der Empfänger einer Nachricht in einem Gespräch stets vier imaginäre Ohren hat, die meine Nachricht jeweils mit einer anderen Empfangsleistung aufnehmen und verstehen. Schulz von Thun schreibt dazu:

Vier-Ohren-Modell
„Wenn ich als Mensch, wenn ich als Führungskraft etwas von mir gebe, bin ich auf vierfache Weise wirksam. Jede meiner Äußerungen enthält, ob ich es will oder nicht, vier Botschaften gleichzeitig:

Beispiel
Stellen wir uns folgenden Fall vor: Ein Mitglied des Vorstands oder der Geschäftsführung erklärt in einem persönlichen Gespräch mit einer Person aus der internen IT, dass die neue Passwortrichtlinie bestimmt eine total tolle und gute Sache sei und eine Mindestlänge von 16 Zeichen sicherlich der Informationssicherheit zuträglich seien, es als Mitglied der Geschäftsführung oder des Vorstands aber dafür keine Zeit habe, als hochbezahlte Person effizient arbeiten müsse, ohnehin schon genug zu tun habe und dass daher bitte das Passwort für Vorstand/Geschäftsführung aus maximal vier Zeichen bestehen solle. Alles andere sei für Vorstand/Geschäftsführung zu zeitraubend und am Arbeitsplatz nur hinderlich.

Wirkweise
Auf der Ebene des Appells wird die Person, die die Systeme administriert, von der Führungskraft aufgefordert, eine von der obersten Leitung verabschiedete und verantwortete Regel nun aktiv zu brechen. Und der Beziehungshinweis erscheint extrem tricky. Denn natürlich gilt auch in diesem Fall das Prinzip „Ober sticht Unter”. Wer traut sich schon, der Anweisung eines Mitglieds der Geschäftsführung oder Vorstandsgremiums zu widersprechen, geschweige denn, sich aktiv der Anweisung zu widersetzen? Tricky wird es außerdem dann, wenn diese Regelverstöße der Informationssicherheit, wie von der ISO/IEC 27001 gefordert, mit Sanktionen belegt sind, die intern kommuniziert und bekannt sind. Die Führungskraft macht die Person mit Administrationsrechten zum Komplizen eines bewusst herbeigeführten Informationssicherheitsvorfalls und setzt die eigenen Regeln der Informationssicherheit und der anzuwendenden Sanktionen außer Kraft. Und was tut sie damit über sich selbst kund gegenüber der Person aus der IT-Abteilung, die diese regelabweichende Anweisung nun umzusetzen hat? Informationssicherheit gilt für mich als Vorstand nicht, weil ich wichtig bin? Wichtiger als du? Aber du hast das gefälligst zu tun, und ich als Vorstand sanktioniere jetzt dein Fehlverhalten, wenn du das nicht tust (Karriereknick etc.)? Und obwohl ich wichtiger bin und vielleicht viel wichtigere Informationen verarbeite als du, interessiert mich das Geplänkel um das Thema Informationssicherheit nicht?

Die Liste von Beispielen solcher Ausnahmen ist nach den Beobachtungen aus meiner Beraterpraxis schier endlos. Automatisches Bildschirmsperren bei Inaktivität für den Vorstand? Damit fangen wir hier gar nicht erst an! „Least-Privilege-Prinzip” für die Geschäftsführung? Auf keinen Fall, ich bin GF, ich muss alles sehen können!

Schwächt IS und Vertrauen
Solches Verhalten schwächt nicht nur die Informationssicherheit, es schwächt vor allem massiv in der Selbstoffenbarung der Kommunikation den Glauben an das Commitment der obersten Leitung genau zu jenen Regeln, die sie selbst eingeführt hat. Und niemand muss glauben, dass die Person in der IT-Abteilung dieses kleine Geheimnis für sich behält. Dass der Vorstand oder die Geschäftsführung eine Sonderbehandlung beansprucht und das Thema selbst überhaupt nicht ernst nimmt, weiß sehr schnell die gesamte Organisation.

Es wäre also katastrophal, wenn eine Führungskraft mit ihrer Selbstkundgabe und ihrem Beziehungshinweis unmissverständlich zu verstehen gibt, dass sie weder hinter dem Thema Informationssicherheit steht, noch willens ist, dieses konsequent selbst im eigenen Alltag umzusetzen.

Best = Past Practice
In unseren Seminaren zur Informationssicherheit ist häufig zu Beginn in der Vorstellungsrunde bei manchen Teilnehmenden die Haltung zu spüren, dass man schon alles wisse und man ja nicht verstehe, wie man so dumm sein könne, auf Betrugsmaschen hereinzufallen. Es braucht von uns dann im Seminar nicht viel, um zu zeigen, wie perfide und professionell aktuelle Betrugsmaschen aufgezogen werden und dass es jedem gleichermaßen passieren könnte, Opfer solcher Angreifer zu werden. Sicherlich gibt es ein Erfahrungswissen über bestehende Angriffsmuster und sicherlich kann man dies in Best Practices weitergeben, um Angriffe zu entlarven. Nur Best Practices sind immer Past Practices.

Nochmals zur Verdeutlichung: Das BSI warnt im Report zur Sicherheitslage [16], dass Angreifende sich immer mehr professionalisieren. Und die Schwächen der Regelsysteme haben gezeigt, dass man für (wie Donald Rumsfeld sie nannte) „unknown unknowns” schlicht keine Regeln zu sicherem Verhalten aufstellen kann. Es gibt also immer ein erstes Mal für eine neue Angriffsmethode, und potenziell ist Ihr Unternehmen das erste Opfer.

Offene Fehlerkultur und Anschlussfähigkeit
Was braucht es also in der Führung und Kommunikation? Zum einen macht die oberste Leitung häufig den Fehler, Informationssicherheit reflexartig mit IT-Sicherheit synonym zu setzen, und delegiert die Aufgabe der Schulung und Sensibilisierung der Belegschaft an die IT-Abteilung. Die dort meist ohnehin schon knappen Ressourcen werden somit nicht nur kapazitativ ge- bzw. überfordert, sie nähern sich dem Thema auch aus einer komplett anderen Richtung in einer dem Rest der Belegschaft überwiegend fremden Sprache. Denn Informationssicherheit umfasst nicht nur deutlich mehr als IT-Sicherheit. Informationssicherheit in einer IT-Sprache an eine Belegschaft zu adressieren, die mehrheitlich meist keine IT-Affinität besitzt, trägt nicht zum Verständnis der Regeln bei und befeuert die bereits dargestellte Kommunikationslatenz als eine Schwäche von Regelsystemen. Um die Regeln der Informationssicherheit anschlussfähig und sinnstiftend zu vermitteln, hilft eher anekdotische, metaphorische Kommunikation mit zahlreichen Brücken und Analogien ins private Leben jener Menschen, die ich zu sensibilisieren versuche. Wenn ich mich privat in einer vergleichbaren Situation definitiv niemals absichtlich unsicher verhalten sollte, warum sollte ich das im übertragenen Sinne in der Firma tun?

Zudem brauchen wir in der Organisation die Augen und Ohren der Belegschaft, um neue Bedrohungen zu erkennen. Dies erfordert Vertrauen. Vertrauen muss mühsam aufgebaut werden und kann sehr schnell zerstört werden.

Beispiel
Wenn also „Microsoft” anruft und einer Person meiner Firma am Telefon erzählt, dass mit dem Rechner etwas nicht stimme, die Person aber keine Angst bekommen müsse, weil unsere Firma ja ein guter Microsoft-Kunde sei und der „Microsoft”-Mitarbeiter zur Lösung des Problems jetzt nur den Benutzernamen und das Kennwort der Person (des Opfers) brauche, um „Datenverlust zu vermeiden”, dann gibt die Person vielleicht in bester Absicht diese Daten preis. Denn die Person möchte auf jeden Fall die Verfügbarkeit der Daten sichern und Verlust von Daten vermeiden. Und sie verrät „Microsoft” ihre Credentials – weil sie diese Bedrohung bisher nicht kannte, weil sie sich überhaupt nicht vorstellen kann, dass ein Angriff so ablaufen kann, weil es dafür bisher in ihrer Organisation keine Regel gibt.

Vertane Chancen
Sie als Führungskraft können dieses Verhalten nach seinem Bekanntwerden sanktionieren, schlimmstenfalls bloßstellen. „Wie dumm kann man eigentlich sein?”. Was wird passieren? Einerseits wird jeder in der Organisation sich künftig zweimal überlegen, ob entsprechende Vorfälle überhaupt noch transparent gemacht werden, da man Scham und Sanktionen fürchtet. Weitere künftige erfolgreiche Angriffe bleiben dann in der Organisation unentdeckt. Zum anderen verpasst Ihre Organisation die Chance zu lernen, wie solche neuen Angriffe funktionieren, und verpasst darüber hinaus damit die Möglichkeit, das bestehende Regelwerk entsprechend zu erweitern und andere Personen Ihrer Organisation auf solche neuen Angriffe proaktiv vorzubereiten.

Positive Fehlerkultur
Also braucht es vonseiten der Führung zwei Dinge: Einerseits braucht es Verstärker in der Kommunikation, die eine positive Fehlerkultur fördern. Machen Sie abgewendete Informationssicherheitsvorfälle transparent. Informieren Sie in der Organisation darüber, was passiert ist und wie durch regelkonformes und/oder situativ adäquates sicheres Verhalten ein konkreter Angriff erkannt und abgewehrt werden konnte. Machen Sie transparent, wie der Angriff funktionierte, und heben Sie die Abteilung, die Gruppe, die Person in der Kommunikation hervor, die zum Aufdecken und Abwehren durch korrektes Verhalten beigetragen hat. Dies zeigt nicht nur, dass Bedrohungen real sind (erzeugt Betroffenheit), es zeigt vielmehr die managementseitige Anerkennung und den organisationalen Nutzen regelkonformen Verhaltens.

Opfer = Zeuge
Und zweitens stellen Sie sich gleichermaßen vor und hinter jene Menschen, die Opfer eines erfolgreichen Angriffs geworden sind. Werten Sie das Opfer auf – es ist Ihr wichtigster Zeuge in der Organisation. Nur das Opfer selbst kann dazu beitragen, den Ablauf des Angriffs genau zu beschreiben, ggf. die Angreifer zu ermitteln und darüber hinaus Regeln zu schärfen oder neue Regeln für sicheres Verhalten zu entwickeln. Vermeiden oder minimieren Sie zumindest bestmöglich durch aktive Kommunikation die Diskreditierung des Opfers als „zu dumm” und bedenken Sie, dass das Opfer sich mit Sicherheit für diesen Vorfall schämen wird. Soziale Isolation und Häme wären ein negativer Verstärker, den die Organisation nicht gebrauchen kann.

Deutlich wird, dass eine Missachtung der zuvor genannten Punkte die Idee, sich in der Organisation wirksam mit dem Aufbau von Awareness zu befassen, ad absurdum führt. Wenn die oberste Leitung die Regeln auf Nachfrage weder kennt noch erklären kann, wenn die oberste Leitung die Regeln selbst nicht befolgt und/oder wenn die oberste Leitung Privilegien genießt, die die Informationssicherheit gefährden, dann muss niemand ernsthaft versuchen, in der Belegschaft eine Security Awareness aufzubauen oder über den Sinn und die Notwendigkeit von Informationssicherheit zu sprechen.

Beim Aufbau von Awareness empfehlen sich drei Dinge in der Führungsarbeit, die sich in zahlreichen Awarenesskampagnen und Beratungsprojekten als erfolgreich herausgestellt haben.

Fokussierung auf die größten Risiken
Erstens sollten Sie dringend vermeiden, alle Themen der Informationssicherheit, die Sie vermeintlich für wichtig erachten oder die gerade durch die Presse gehen, in die Kommunikation zu pressen. Dies überfordert nicht nur die Belegschaft inhaltlich, es ist auch nicht wirksam. Gerade in KMU, aber auch in anderen Organisationen ist der zielgerichtete Einsatz von Ressourcen (Zeit, Geld, Personal) aus unternehmerischer Sicht geboten. Die Lösung dafür ist der risikobasierte Ansatz. Denn so werden die Früchte Ihrer vorherigen Hausarbeiten geerntet. Das Inventar Ihrer Werte, die Schutzbedarfsfeststellung sowie die Ergebnisse der Risikoanalyse und Maßnahmen der Risikobehandlung sind wertvolle Informationen und Artefakte, um zu entscheiden: Was sind meine essenziellen informationellen Kronjuwelen, welche Risiken wirken darauf und welche dieser Risiken sind potenziell durch menschliches (Fehl-)Verhalten beeinflusst. Arbeiten Sie sich risikobasiert so von den wichtigsten informationellen Werten mit den höchsten (durch menschliches Verhalten beeinflussten) Risiken sukzessive voran und nehmen Sie sich die Themen zuerst vor, die die höchste Gefährdung mit sich bringen. Und bewerten Sie die Risiken regelmäßig neu. Verschieben sich Risiken, kommen neue dazu? Gibt es neue Risiken, die durch menschliches Verhalten beeinflusst werden? Setzen Sie diese neuen Risiken auf die Agenda der nächsten Maßnahme.

Awareness ist kein Projekt, sondern ein Prozess
Zweitens ist der Aufbau von Awareness kein Projekt, sondern ein Prozess. Integrieren Sie das Thema Informationssicherheit genauso selbstverständlich in den alltäglichen Ablauf, wie Sie es mit anderen Themen vorleben. Dies gelingt über eine permanente Adressierung des Themas auf den Ihnen zur Verfügung stehenden Kommunikationskanälen. Schulungen sind dafür sicherlich ein probates Mittel. Damit wird der Kommunikationslatenz vorgebeugt, die Regeln als Schwäche manchmal mit sich bringen. Regeln müssen bekannt und verstanden sein. Nur reicht das eben nicht. Denn so schnell wir neue Dinge lernen, so schnell vergessen wir sie wieder, wenn sie nicht in unsere Routinen übergehen. Ihre Beschäftigten sollen ja nicht nur Regeln befolgen, sie sollen in unbekannten neuen Situationen sinngemäß sicher agieren und handlungsfähig bleiben. Diese Kompetenz ist für Informationssicherheit elementar wichtig. Das Bundesinstitut für Berufsbildung definiert dazu im Kontext von Kompetenz: „[A]ls kompetent gelten Personen, die auf der Grundlage von Wissen, Fähigkeiten und Fertigkeiten aktuell gefordertes Handeln neu generieren können.” [17]. Es braucht also neben Schulungen auch Handlungsräume zum geschützten Üben, Erleben und Reflektieren (zum Beispiel Phishing-Simulationen, Phishing Calls, aber auch gamificationbasierte Ansätze wie Cyber-Crime-Spielansätze, in denen Beschäftigte in die Rolle und damit Perspektive von Angreifenden schlüpfen und deren Wirkmechanismen besser nachvollziehen können). Solche stetigen kommunikativen Interventionen müssen nicht zwangsweise teuer sein.

Hilfsmittel und Informationen für Beschäftigte
Drittens überführen Sie die meist formal gehaltenen Sicherheitsrichtlinien, Anweisungen und Policies in eine anschlussfähige, sinnstiftende Kommunikation und geben Sie den Beschäftigten Hilfsmittel und Informationsangebote an die Hand, um diese Regeln im Arbeitsalltag zu verinnerlichen. Das können z. B. sein:

Barrierefreie Kontaktstellen
Halten Sie die Eintrittsbarrieren für Informationssicherheit so niedrig wie möglich – und das in beide Richtungen. Geben Sie Ihrer Belegschaft Kontaktstellen bekannt, an die man sich mit jeder noch so dumm wirkenden Frage wenden kann und wo man eine wertschätzende Antwort erhält, wo man jeden noch so „ulkigen” Verdacht und jede noch so „merkwürdige” Beobachtung melden kann. Es gibt keine dummen Fragen. Es gibt nur dumme Antworten.

Normative Handlungsanlässe
Informationssicherheit erfordert mehr Führung als je zuvor. Spätestens NIS-2 wird die Sanktionierung des Führungsversagens im Kontext von Informationssicherheit wohl gesetzlich verankern. Wenn Ihre Organisation nach einer Zertifizierung strebt, um Ihr Streben nach einem höheren Reifegrad extern auditieren und bestätigen zu lassen, dann sind Führungscommitment und sinnstiftende Kommunikation gleichermaßen Anforderungen der Norm.

Faktische Anlässe
Aber auch Unternehmen, die nicht unter diese Regelung fallen und kein ISMS einführen wollen, haben Handlungsdruck. Denn aufgrund der stets wachsenden Informationssicherheitsgefährdung und der sich aus den technischen Potenzialen der KI und den technischen Gefahren wie Deepfake ergebenden Optionen entwickeln sich Angriffsszenarien, die wir heute nicht einmal im Ansatz antizipieren können. Daher können wir uns, zumindest mit bestehenden Regelwerken, nicht vollumfänglich auf diese Angriffe vorbereiten.

Adäquate Führung
Die Führungsarbeit zum Schutz der informationellen Werte und damit zum Schutz des Fortbestands des Unternehmens ist also essenziell. Kompetenzen in der Informationssicherheit, Achtsamkeit und sinngemäßes Handeln sind demnach Aspekte, die Führungskräfte in ihrer Organisation gleichermaßen auf- und ausbauen und durch adäquates Führungsverhalten verstärken müssen.

Wenn Führungskräfte jedoch selbst sicheres Verhalten nicht kennen, nicht vorleben, ggf. sogar aktiv umgehen und die Organisation davon abhalten, aus Fehlern und Angriffen zu lernen, indem „falsches” Verhalten sanktioniert und diskreditiert wird, erscheint die Chance auf eine resiliente Organisation als eher gering.