85 Prozent aller Hackerangriffe zielen auf die Mitarbeiter als schwächste Glieder in der Security-Kette. Gerade einmal drei Prozent der Investitionen in IT-Sicherheit wiederum fließen in die Schulung der Angestellten. Diese Zahlen verdeutlichen ein Security-Dilemma, dessen sich immer mehr Unternehmen bewusst werden. Ein Buzzword in dieser Zeit ist deshalb "Security Awareness". Doch greift diese "Awareness" zu kurz, denn nur über mögliche Risiken Bescheid zu wissen führt noch lange nicht dazu, dass Angestellte am Ende im Fall der Fälle auch die richtige Entscheidung treffen. Perry Carpenter und Kai Roer beleuchten in ihrem Buch "The Security Culture Playbook", was das deutlich umfassendere Konzept der Sicherheitskultur ausmacht, warum es für Organisationen zwingend angesagt ist und wie es sich in der Praxis umsetzen lässt.

Zunächst steht die Definition darüber an, was eine Security Culture überhaupt ist beziehungsweise ausmacht. Bereits hier scheiden sich die Geister bei IT-Sicherheitsverantwortlichen enorm – vom einfachen Befolgen von Compliance-Regeln bis hin zur Einsicht, dass Security eine geteilte Verantwortung für alle in der Organisation darstellt. Auch das Einrichten von Gruppen, die Security-Entscheidungen treffen, sowie die Tatsache, dass IT-Sicherheit im Unternehmen fest integriert sein muss, spielt für Verantwortliche eine Rolle. Für die Autoren bedeutet Sicherheitskultur vor allen Dingen Letzteres – sie muss zuallererst im Unternehmen eingebettet sein. Danach kann eine Art Gruppendynamik rund um die Sicherheit entstehen. Nach der Theorie zeigen die Autoren konkrete Schritte auf, wie sich der Stand der Dinge in Sachen Security Culture im Unternehmen messen und schließlich ein entsprechendes Framework unter Einbeziehung aller Beteiligten umsetzen lässt.

Fazit: Technische Security-Produkte, die Stück für Stück ausgebaut werden, sollen die Unternehmensdaten schützen. Ab und an ein Awareness-Training, und die Mitarbeiter sind auch Teil der Lösung. Falsch gedacht. Wie sich eine Sicherheitskultur definieren, im eigenen Unternehmen messen und am Ende nachhaltig umsetzen lässt, zeigen Perry Carpenter und Kai Roer in ihrem 224seitigen, englischsprachigen Werk auf. (Daniel Richey)