Das Thema Sicherheitskultur wird oft nur oberflächlich und weniger ausführlich behandelt als Sicherheitstools oder -prozesse. Zu Unrecht, denn als „menschliche Firewall“ beeinflusst sie die Sicherheitslage von Unternehmens immens. Doch wie baut man sie auf?
Das Verhalten von Mitarbeitenden ist der entscheidende Faktor in der IT-Sicherheit, wird leider aber wegen fehlender Messbarkeit oft vernachlässigt.
(Bild: Rido - stock.adobe.com)
Heutzutage wird wohl jeder unterstreichen, wie wichtig Sicherheit im Unternehmen ist. Aber wenn Programm- oder Teamleitenden darüber sprechen, meinen sie oft Tools, die sie implementieren möchten, oder Prozesse, die sie verbessern wollen. Beide liefern zwar leicht messbare Datenpunkte und KPIs, die genutzt werden können, um das Management davon zu überzeugen, sie einzuführen oder ihre Nutzung zu erweitern. Selten jedoch sind beim Thema Sicherheit die Menschen selbst gemeint, die all dies überhaupt ermöglichen.
Die Kultur und die Widerstandsfähigkeit der Mitarbeitenden gegenüber Angriffen lässt sich nicht so leicht messen wie die Anzahl der von einem SIEM (Security Information and Event Management) gescannten Sicherheitsereignisse oder die Menge des von einer Firewall blockierten Datenverkehrs.
Die meisten Angriffe nutzen jedoch den menschlichen Faktor als Einfallstor. Allein über Soziale Medien werden potenziell gefährliche Informationen im Internet veröffentlicht. Warum sollten Angreifer Wochen damit verschwenden, eine Schwachstelle auszunutzen, um sich Zugang zu einem System zu verschaffen, wenn sie einfach einen Mitarbeitenden nach dem Passwort fragen kann? Daher müssen der menschliche Aspekt der Sicherheit sowie die Auswirkungen der Unternehmenskultur darauf genauer betrachtet werden.
Wie verhalten sich die Mitarbeitenden, wenn sie sich selbst überlassen sind?
Kultur beschreibt die Gesamtheit der Normen, Werte, Einstellungen und Annahmen, die im täglichen Betrieb einer Organisation zum Ausdruck kommen und gelebt werden. Mit anderen Worten: Die Sicherheitskultur ist nicht mehr als die gelebte Unternehmenskultur in Bezug auf die Sicherheit: Legt die Führung ein Verhalten an den Tag, das diese fördert oder eher behindert? Welches Ansehen genießt die IT-Abteilung im Unternehmen und wie wird in der Regel auf Anfragen aus dem IT-Sicherheitsteam reagiert?
Die Verbindung zwischen Kultur und Sicherheit wird deutlich, wenn wir uns die Bedrohung durch Social Engineering ansehen. Solche Angriffe nutzen die gleichen Mechanismen und kulturellen Dynamiken wie andere Aspekte unseres Lebens:
Hierarchischen Druck
Zeitdruck
Versprechen einer Belohnung
Androhung von Strafe
Organisationen, in denen häufig Dynamiken genutzt werden, die den Werkzeugen eines Angreifers gleichen, sind weniger sicher: Wenn beispielsweise Manager kurzfristig und ohne große Erklärungen um die Fertigstellung von Dateien bitten, wird sich ein Phishing-Angriff nicht merklich von einer legitimen Anfrage unterscheiden. Organisationen, in denen die Mitarbeiter für Sicherheitsbedrohungen sensibilisiert sind und ermutigt werden, sich ihre eigenen Gedanken zu eingehenden Anfragen zu machen und ihre eigenen Schlussfolgerungen zu ziehen, sind widerstandsfähiger.
Was ist zu tun? Aufbau einer starken Sicherheitskultur
Jedes Unternehmen hat eine Sicherheitskultur, die entweder bewusst gestaltet oder im Laufe der Zeit gewachsen ist. Die aktive Gestaltung der Sicherheitskultur ist, wenn sie richtig gemacht wird, lohnend und nachhaltig. Dann ändert sich die Sichtweise des Unternehmens auf das Sicherheitsteam von einer "Nein-Sager-Abteilung" zu einem Befähiger des Geschäfts, der eine Investitionsrendite liefert.
Und auf diese vier Eckpfeiler kommt es an:
1. Verständnis
Vielleicht haben Unternehmen bereits ein gutes Verständnis ihrer Kultur. Vielleicht haben sie bereits eine Bewertung durchgeführt, um ihre Kultur und deren Einfluss auf die Sicherheit zu verstehen. Auf jeden Fall sollten sie damit beginnen, die für ihr Umfeld wichtigen Sicherheitsverhaltensweisen zu definieren. Welches Verhalten sollen Führungskräfte an den Tag legen? Welches Wissen muss von allen Mitarbeitenden verinnerlicht werden? Wie können die Unternehmens-Werte eine starke Sicherheitskultur unterstützen? Sobald das gewünschte Verhalten definiert wurde, sollten die notwendigen Änderungen festgelegt werden, um dieses Ziel zu erreichen, und wie Verbesserungen gemessen werden können. Aus diesen Hinweisen können gezielte Schritte abgeleitet werden, um die gewünschten Verhaltensweisen zu erreichen.
2. Spaß & häufig
Unternehmen sollte überlegen, wie sie das Thema Sicherheit für die Mitarbeitenden interessant machen können. Es sollte ein ansprechendes Thema gewählt, die Inhalte in viele kleine Einheiten aufgeteilt und verschiedene Kanäle genutzt werden. Newsletter, Lunch & Learn-Sitzungen, Poster oder Trivia-Wettbewerbe sprechen unterschiedliche Zielgruppen an und helfen dabei, die Botschaften zu vermitteln.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Früh & für alle
Sicherheit wird oft als ein Hindernis oder eine zusätzliche Anforderung von "außen" angesehen, die die Teams nicht bewältigen können. Eine nachhaltige Sicherheitskultur sorgt dafür, dass Sicherheit ein Teil der Arbeit eines jeden ist. Hier ist die Einführung eines sicheren Entwicklungslebenszyklus oder eines Konzepts für Sicherheit durch Design im jeweiligen Entwicklerteam anzuraten. Die Sicherheitsverantwortlichkeiten und -ziele sollten in die Zielsetzung und die Überprüfungszyklen eines Managers aufgenommen werden. Zudem sollte der individuelle Bedarf an Sicherheitsschulungen für jede Rolle überprüft werden: Mitarbeitenden, die am Fließband arbeiten, benötigen andere Inhalte und Methoden als Assistenten der Geschäftsführung. Auf diese Weise wird sichergestellt, dass das Thema Sicherheit frühzeitig in der Produktentwicklung berücksichtigt wird und wichtig bleibt.
4. Framing als Investition, nicht als Kosten
Wenn die Sicherheit erst spät in der Produktentwicklung oder nach einem Security-Vorfall in Betracht gezogen wird, ist es kein Wunder, dass sie als Belastung empfunden wird: Es ist teuer und zeitaufwändig, nachträglich Security in ein bestehendes Produkt oder einen laufenden Prozess einzubauen. Eine nachhaltige Sicherheitskultur konzentriert sich darauf, den ROI der Sicherheit zu vermitteln, anstatt sie als Kostenstelle zu betrachten. Ebenso sollte sich die Kommunikation rund um das Thema Sicherheit mehr auf die Rolle der Mitarbeitenden beim Schutz des Unternehmens und ihres Teams konzentrieren und weniger darauf, diesen mit dem Hinweis auf mögliche Schäden Angst zu machen.
Fazit
Die Nutzung verschiedenster IT-Ressourcen ist aus dem modernen Leben nicht wegzudenken, weder privat noch beruflich. Der erfolgreicher Schutz dieser Ressourcen, einschließlich der Effektivität technischer und prozessualer Kontrollen, hängt maßgeblich von der Umsetzung durch Menschen ab.
Das Verhalten von Mitarbeitenden ist also der entscheidende Faktor in der IT-Sicherheit, wird leider aber wegen fehlender Messbarkeit vernachlässigt: Eine stark ausgeprägte Sicherheitskultur sorgt für eine „menschliche Firewall“, während eine schwache zu Unwissen und Nachlässigkeiten und einer größeren Angriffsfläche für mögliche Angriffe führt.
Der erste Schritt auf dem Weg zu einer bewussten Sicherheitskultur ist eine Bestandsaufnahme der aktuellen Lage, um Lücken in der Umsetzung identifizieren zu können. Die beschriebenen Eckpfeiler zeigen, wie dann eine starke Sicherheitskultur kosteneffektiv eingeführt werden kann.
Über den Autor: Christoph Huber ist Senior Consultant bei der Ginkgo Cybersecurity GmbH. Bereits während seines International-Management-Studiums an der Universität Maastricht beschäftigte er sich mit Unternehmensorganisation, -kultur und Kommunikation. Vor seinem Start bei Ginkgo arbeitete Huber am Themenfeld Human Factor Security in der Cybersecurity-Beratung von EY. Er berät Kunden unterschiedlicher Branchen zu Fragestellungen der IT-Security-Strategie, Governance sowie Awareness.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/bd/7b/bd7b5eab48b26e20fc849eb12e1bb6ae/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/e7/7b/e77bf6c5803f6bf0972ecb45ca289c51/0129348911v2.jpeg "Sicherheitslücken in FreeRDP, die auf Buffer Overflows und eine Heap-Use-After-Free-Schwachstelle zurückzuführen sind, bedrohen Windows- und Unix-Systeme, indem sie Angreifern die Möglichkeit bieten, DoS- oder RCE-Angriffe durchzuführen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/4d/144dfeb59fa22d4f60c9bc5f94784088/0129483540v1.jpeg "Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit und Security-Teams bleibt nicht viel Zeit sich darauf einzustellen. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/85/eb/85ebcb9d59c789244b0672056a79aa6d/0129519820v2.jpeg "Europas Cybersecurity-Startups erfinden die Abwehr neu: Auf dem Web Summit in Lissabon stellten junge Unternehmen aus Portugal, Deutschland und Estland Lösungen für Post-Quantum-Bedrohungen, souveräne KI und explodierende Cloud-Risiken vor. (Bild: © Bundi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/fa/8b/fa8be687c60cf2ea82c31bde06feb8d9/0127526694v2.jpeg "Cybersicherheit wird Teil der Unternehmenskultur, wenn Führungskräfte sie vorleben und Mitarbeitende motiviert Verantwortung übernehmen. (Bild: © peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/42/6242c5ad2a5c8449d7757af4f0356bc4/0126745951v2.jpeg "Social Engineering und Phishing nutzen menschliche Schwächen, Awareness-Programme können daraus die stärkste Verteidigung machen. (Bild: © scaliger - stock.adobe.com)")