Ist Cybersicherheit Teil Ihrer Organisationskultur?
Ein wichtiger, aber oft vergessener Aspekt der Cybersicherheit ist die Cybersicherheitskultur. Eine starke Sicherheitskultur zeichnet sich durch die effektive Umsetzung von Sicherheitsprojekten wie einem Schwachstellenmanagement oder der Krisenorganisation bei einem Vorfall aus. Auch ist der Beitrag der einzelnen Mitarbeitenden zur Sicherheit in einer Organisation massgebend; wie verhalten sie sich zum Beispiel bei einem Phishingversuch richtig, oder wie setzen sie die Passwortsicherheit um?
In einer Notsituation wird Ihre Organisation mit grundlegenden Fragen konfrontiert, die sich im Alltag nicht unbedingt stellen. Eine solche Notsituation kann ein Brand sein oder der Herzinfarkt eines Arbeitskollegen. Oder eben ein Cybervorfall. Um auf eine solche Situation vorbereitet zu sein, braucht es einen Notfallplan, der ein Krisenkommunikationskonzept, eine Krisenorganisation und einen Notfallkontakt einschliesst. Dies sind die Grundlagen, um in der zeitkritischen Lage richtig zu reagieren. Je grösser das Verständnis aller Mitarbeitenden für bestimmte Massnahmen ist und je mehr Letztere die Werte der Organisation widerspiegeln, desto eher werden sie von den Mitarbeitenden verstanden, mitgetragen und letztendlich umgesetzt.
Sicherheitsteam als Kernelement der Cybersicherheitskultur
Kennen die Mitarbeitenden den/die Sicherheitsverantwortliche/n? Wie interagiert er/sie mit ihnen, beispielsweise wenn eine Softwareaktualisierung umgesetzt werden muss? Wie leicht fällt es den Mitarbeitenden, einen Vorfall zu melden oder einen Verdacht zu äussern? Sicherheitsverantwortliche müssen eine gemeinsame Sprache mit den Mitarbeitenden finden, sie müssen zugänglich und konstruktiv sein, um Massnahmen möglichst ohne Widerstand durchzusetzen.
Motivieren statt verbieten
In der Cybersicherheit ist die Liste der Dinge, die man nicht tun soll, unendlich lang. Deshalb sollten Gemeinden darauf setzen, ihren Mitarbeitenden wenige grundlegende, dafür verständlich formulierte Verhaltensanweisungen beizubringen, statt eine Liste mit Verboten auszuteilen. Idealerweise wird in jeder Kommunikation hervorgehoben, welchen Nutzen die vorgeschlagenen Massnahmen den einzelnen Mitarbeitenden als Teil der Organisation bringen und warum es wichtig ist, sie umzusetzen und so die Sicherheit mitzutragen. Je mehr Nutzen jemand sieht, desto geringer ist der Widerstand und desto grösser die Unterstützung.
Definition «Organisationskultur»
Unter dem Begriff «Organisationskultur» verstehen wir im Wesentlichen gemeinsame Haltungen, Wahrnehmungen und Werte. Die Kultur definiert, was in einer Organisation, zum Beispiel einer Gemeinde, gefördert, akzeptiert oder abgelehnt wird. Das Sans-Institut unterscheidet flexible, interdependente, beständige und unabhängige Organisationskulturen. Je nach Typ heben sich Eigenschaften wie Fürsorge, Autorität, Vergnügen oder Sicherheit in der jeweiligen Kultur besonders hervor. Fürsorgliche Kulturen setzen beispielsweise auf enge Beziehungen, Loyalität und gegenseitiges Vertrauen zwischen Mitarbeitenden. Die Arbeitsumgebungen sind warme, kooperative und einladende Orte, an denen Menschen sich gegenseitig helfen und unterstützen. Die Führungskräfte betonen Aufrichtigkeit und Teamarbeit. Eine solche Kultur findet sich oft im Gesundheitswesen. Ein weiteres Beispiel ist die autoritäre Kultur, die sich durch Entschlossenheit und zuweilen Unverfrorenheit definiert. Es herrscht eine weitreichende Kontrolle, und die Führung ist eher dominant. Eine autoritäre Kultur wird beispielsweise im Militär gelebt. Es ist nun nicht das Ziel, die Organisationskultur zu ändern, sondern die Sicherheit darin zu integrieren.
Der Digitalratgeber
Kaum eine Gemeinde kommt heute ums Thema Digitalisierung herum. Während manche schon weit fortgeschritten sind, stehen andere noch ganz am Anfang. Welche Frage zur Digitalisierung und zu E-Government beschäftigt Ihre Gemeinde? Schreiben Sie uns, und mit etwas Glück wird Ihre Frage in unserer Rubrik aufgenommen und von kompetenten Expertinnen und Experten beantwortet.
