Forum IT-Sicherheit und IT-Revision
Wie viel Einfluss haben Menschen auf die IT-Sicherheit eines Unternehmens? Beim „Forum IT-Sicherheit und IT-Revision“ auf Schloss Montabaur zeigte Dr. Martin J. Krämer, dass der Mensch sowohl größte Schwachstelle als auch Schlüssel zur Abwehr von Cyberrisiken sein kann. In seinem Vortrag zum „ABC der Security Awareness“ erläuterte er, warum Bewusstsein allein nicht ausreicht, wie sicheres Verhalten wirklich gefördert wird und warum eine starke Sicherheitskultur unverzichtbar ist.
Wenn es um das Thema IT-Sicherheit geht, sind sich alle Experten einig: Die größte Schwachstelle ist der Mensch. Denn während Firewalls, Virenscanner und Verschlüsselungssysteme rund um die Uhr ihren Dienst tun, lassen sich Menschen immer wieder durch Tricks und Täuschungen manipulieren – ob durch gefälschte E-Mails, scheinbar harmlose Links oder freundliche Anrufer, die sich als IT-Support ausgeben. Oft reicht eine unbedachte Handlung aus, um Türen für Cyberkriminelle weit aufzustoßen. Genau diese menschliche Komponente stellte Dr. Martin J. Krämer, Experte für Security Awareness bei KnowBe4, in den Fokus seines Vortrags beim „Forum IT-Sicherheit und IT-Revision“ auf Schloss Montabaur. Er erklärte, warum es nicht reicht, technische Barrieren zu errichten, wenn die Mitarbeitenden nicht gleichzeitig sensibilisiert werden. Dabei drehte sich sein Vortrag um drei zentrale Säulen: „Awareness“ (Bewusstsein), „Behavior“ (Verhalten) und „Culture“ (Kultur) – eben das „ABC“ der Security Awareness.
Krämer stellte fest, dass bloßes Bewusstsein für Cyberrisiken nicht genügt. Die Herausforderung liege in der sogenannten „Intentionsverhaltenslücke“: „Nur weil jemand um die Risiken weiß, heißt das noch lange nicht, dass die Person auch ihr Verhalten ändert“. Für Krämer ist klar: Sicherheitsbewusstsein muss mehr sein als nur eine Checkliste abzuhaken. Es geht darum, Menschen wirklich zu überzeugen – schließlich sei es ein Unterschied, ob Mitarbeitende das Thema Cybersecurity nur kennen oder ob sie es auch tatsächlich interessiert.
Im zweiten Teil des Vortrags ging es um sicheres Verhalten. Krämer erklärte, dass Verhalten nicht allein durch Motivation beeinflusst werde, sondern auch durch Fähigkeiten und Aufforderungen. Extrinsische Motivation, wie etwa Belohnungen oder das Drohen mit Konsequenzen, sei seiner Meinung nach allerdings nicht nachhaltiger als ein Silvester-Vorsatz. „Intrinsische Motivation, die durch Coaching, Storytelling und zwischenmenschliche Beziehungen gefördert werde, ist langfristig erfolgreicher“, erklärt der Experte. „Diese Ansätze schaffen es, dass sich Mitarbeitende nicht nur an Sicherheitsmaßnahmen halten, weil sie es müssen, sondern weil sie den Nutzen verstehen – und vielleicht sogar ein bisschen stolz darauf sind.“
In seinem dritten Punkt betonte Krämer die Bedeutung einer starken Sicherheitskultur. Selbst das beste Wissen und die richtige Motivation nützen wenig, wenn es an den grundlegenden Werten und Normen im Unternehmen fehlt. Laut Krämer entsteht eine Sicherheitskultur durch „gemeinsame Ideen, Gepflogenheiten und Verhaltensweisen“, die sich nach und nach in die DNA eines Unternehmens einfügen. Er warnte vor der Vernachlässigung dieses Themas: Wer die Kultur nicht aktiv pflege, riskiere, dass sich negative Verhaltensweisen einschleichen. Das könne teuer werden, denn eine Statistik von Krämer zeigte, dass Mitarbeitende mit schlechter Sicherheitskultur 52-mal häufiger auf Phishing-Angriffe hereinfallen.
Krämer stellte klar: IT-Sicherheit ist kein Selbstläufer. Unternehmen müssen kontinuierlich an ihrer Sicherheitskultur arbeiten, sich der menschlichen Faktoren bewusst sein und diese gezielt fördern. Es gehe darum, Risiken zu reduzieren und gleichzeitig die Mitarbeitenden zu motivieren, ihre Verantwortung ernst zu nehmen. Wer sich um seine Sicherheitskultur kümmert, hat langfristig die Nase vorn.
Save the Date: Forum IT-Sicherheit & IT-Revision 2025
Das Forum IT-Sicherheit & IT-Revision ist der zentrale Netzwerkknoten für alle Experten und Führungskräfte der Genossenschaftlichen FinanzGruppe im IT-Bereich. Erfahren Sie von den neusten IT-Risiken, lernen Sie die Auswirkungen von aktuellen Bedrohungsszenarien kennen und treffen Sie daraus Ableitungen für Ihr Haus.