Cybersicherheit besteht nicht nur aus Firewalls, Richtlinien und Tools. Sie lebt vor allem von einer aktiven Sicherheitskultur. Doch was bedeutet das konkret? Warum ist sie so entscheidend für Unternehmen? Und wie können Sie Sicherheitsbewusstsein langfristig im Arbeitsalltag verankern?

In der aktuellen Podcast-Folge “Innovation Implemented” sprechen Maximiliane Mayer (Head of Information Security Consulting, mgm security partners) und Julia Kirchner (Principal Consultant, mgm consulting partners) genau darüber: über die Rolle von Change Management (Veränderungsmanagement), die Verbindung zwischen Technik und Verhalten und warum Sicherheitskultur heute mehr ist als eine Schulung pro Jahr.

Warum Sicherheitskultur oft der fehlende Erfolgsfaktor ist

Viele Unternehmen investieren in Technik aber unterschätzen die menschliche Seite der IT-Sicherheit. Studien zeigen: Auch 2024 sind über zwei Drittel aller Sicherheitsvorfälle auf menschliches Fehlverhalten zurückzuführen etwa durch das Anklicken von Links in cleveren Phishing-Mails.

Das Problem ist selten die Technologie sondern eine fehlende oder schwach ausgeprägte Sicherheitskultur. Darunter versteht man laut ENISA, der europäischen Cybersicherheitsagentur, das gemeinsame Wissen, die Einstellungen, Überzeugungen und Verhaltensweisen rund um das Thema Sicherheit im Unternehmen.

Mit anderen Worten: Sicherheitskultur bedeutet, dass Mitarbeitende Risiken erkennen, richtig reagieren und Verantwortung ganz selbstverständlich im Arbeitsalltag übernehmen.

Technik + Verhalten = Wirkung

Hier kommt das Change Management ins Spiel. Es hilft, nicht nur Regeln aufzustellen, sondern Verhalten nachhaltig zu verändern:

• Führungskräfte als Vorbilder: Wenn Führungspersonen offen mit Fehlern umgehen und Sicherheitsentscheidungen mittragen, verändert sich die gesamte Unternehmenskultur.

• Positive Verstärkung statt Kontrolle: Wer Meldungen belohnt und Lernerfolge sichtbar macht, erreicht mehr als mit Pflichtschulungen und Kontrollen.

Sicherheitsverhalten messbar machen

Der Erfolg von Sicherheitsinitiativen lässt sich messen durch eine Kombination aus Zahlen und Kultur-Feedback:

• Quantitative Kennzahlen wie Klickraten bei Phishing-Tests oder Meldequoten geben schnelle Hinweise auf Verhaltensänderungen.

• Qualitative Methoden wie anonyme Umfragen oder Feedbackgespräche zeigen, wie sicher sich Mitarbeitende fühlen und ob sie sich befähigt sehen, Sicherheitsentscheidungen zu treffen.

• Kultur-Reifegradmodelle helfen dabei, den Fortschritt einzuordnen ähnlich wie bei der Bewertung der Teamreife im Projektmanagement.

• Besonders effektiv ist ein kontinuierlicher Verbesserungsprozess zum Beispiel in Form des bekannten PDCA-Zyklus („Plan – Do – Check – Act“), wie ihn auch ENISA empfiehlt. Er sorgt dafür, dass Unternehmen auf neue Bedrohungen reagieren und gleichzeitig intern dazulernen können.

Blick in die Zukunft: Neue Herausforderungen, neue Chancen

In den nächsten Jahren wird Sicherheitskultur noch wichtiger:

• NIS2 und DORA setzen Führungskräfte stärker in die Verantwortung, Sicherheit wird zur Managementpflicht.

• Künstliche Intelligenz (KI) erhöht den Druck: Einerseits nutzen Angreifer KI für neue Angriffsmethoden, andererseits entstehen intern neue Risiken durch unkontrollierte KI-Projekte.

• Lieferketten-Risiken nehmen zu und lassen sich nicht allein durch Verträge absichern. Auch Partnerunternehmen müssen eine starke Sicherheitskultur leben.

• Fachkräftemangel stellt Unternehmen vor die Frage: Wie halten wir unsere Sicherheitskultur auch bei hoher Fluktuation aufrecht?

All das zeigt: Eine starke Sicherheitskultur ist nicht nur ein „Nice to have“, sondern die Basis für digitale Resilienz, also die Fähigkeit, auch unter Druck sicher und handlungsfähig zu bleiben.

Fazit: Sicherheit beginnt im Kopf und braucht Struktur

Wenn Sie Cybersicherheit langfristig wirksam gestalten möchten, brauchen Sie mehr als Technik und Richtlinien. Sie brauchen Menschen, die mitdenken, Verantwortung übernehmen und sich dabei unterstützt fühlen.

Change Management und Sicherheitskompetenz gemeinsam zu denken, ist der Schlüssel dazu.

Weiterführende Impulse gesucht?

Sie möchten wissen, wie Sie in Ihrem Unternehmen Sicherheitskultur aufbauen oder weiterentwickeln können? Oder suchen konkrete Ansätze zur Kombination von technischer Sicherheit und Change Management?

Sprechen Sie uns an! Wir unterstützen Sie gern mit Erfahrung, Methoden und einem klaren Blick auf das Wesentliche.

Gemeinsam machen wir Ihre Sicherheitskultur zum Wettbewerbsvorteil!