Risikobewusstsein braucht Wissen

Ein fehlendes Risikobewusstsein und eine unzureichende Sicherheitskultur bereiten nach Umfrageergebnissen „große Schwierigkeiten“ in den Organisationen. Sicherheits- und Risikomanagement-experten werben seit langer Zeit für ein qualifiziertes Mehr an Awareness in Organisationen.

Im Vordergrund steht idealtypisch eine solide Sicherheits- und Unternehmenskultur, gelebt von allen Mitarbeitern, Partnern oder Lieferanten. So sind sich viele Mitarbeiter nicht über die Tragweite ihres leichtfertigen Handels im Klaren. Ein beliebtes Einfallstor für Hacker und Wirtschaftsspione: die mangelnde Sicherheit des eigenen mobilen Büros (Smartphone, Tablet & Co.) samt unzureichendem Passwortschutz.

An dieser Stelle versagen die ausgereiftesten technischen Vorkehrungen, bieten keinen Schutz. Das perfide daran ist, dass diese „Einbrüche“ lange Zeit unentdeckt bleiben. Ein Spion über einen langen Zeitraum unerkannt bleibt. Das heißt: Mitarbeiter zu sensibilisieren ist Trumpf. Es sollte Teil der vielbeschworenen strategischen Ausrichtung eines Unternehmens sein; gerade vor dem Hintergrund der neuen Cyberwelt mit Datendiebstahl, Social Engineering oder Virenangriffen auf sensible Infrastruktureinrichtungen.

Es ist Zeit zum Umdenken. Und das fängt bei einfachen Regeln an. Firmenlenker und Personalverantwortliche müssen sich von Marketingbegriffen wie „Humankapital“ oder „Mitarbeiter-Ressource“ entfernen. Stattdessen von Kollegen sprechen, diese ernst nehmen und ihnen das ehrliche Gefühl geben, dass sie ein vertrauensvoller und wichtiger Teil der Organisation sind. Dies ist die Grundvoraussetzung für loyale Mitarbeiter.

Gerd Bucerius, ehemals deutscher Verleger und Politiker, formulierte in diesem Sinne: „Das zufällige Zusammentreffen auf dem Gang gibt sozialen Kontakt, Gelegenheit, eine Frage zu stellen, oder auch nur, ‚Guten Tag‘ zu sagen. Bitte nehmen Sie dabei die Hände aus der Tasche, es wird beachtet.“ Hier trifft Ehrlichkeit auf Respekt. Mitarbeiter bekommen ein Gefühl von Achtung und sind offen für Neues. Wirbt eine Geschäftsführung für mehr Awareness und Loyalität in den eigenen Reihen, dürfen diese Werte kein leeres Versprechen sein.

Um mehr Awareness im eigenen Unternehmen aufzubauen, führt an den eigenen Mitarbeitern kein Weg vorbei. Das heißt, diese in den Gesamtprozess einzubeziehen und zu schulen. Aus Unternehmersicht zahlt es sich mittel- bis langfristig aus, in die eigenen Mitarbeiter zu investieren und sie mit gezielten Kampagnen und Wissen auf die Gefahren durch Hacker und Datenspione aufmerksam zu machen. In vielen Fällen ist den Mitarbeitern nicht bewusst, welches Verhalten eines Kollegen kritisch ist und die Unternehmenssicherheit gefährdet. Gepaart mit Gutgläubigkeit und Leichtsinn mancher Kollegen entsteht ein gefährliches Gemisch, das die besten Sicherheitsvorkehrungen sprengt oder von innen aushöhlt.

Das zu verhindern, ist Aufgabe der Unternehmensleitung. Diese sollte einen geeigneten Schulungsprozess im Bereich Awareness initiieren und dessen Wirksamkeit in der eigenen Organisation überwachen. Hierfür sind zunächst Investitionen notwendig. Besitzen Unternehmen eine gute Konzeption und haben sie aufeinander abgestimmte Maßnahmen erarbeitet, lassen sich Aufwand und Kosten kontrollieren, beispielsweise mithilfe eines individuell festgelegten Key Performance Indicator (KPI) zur Messung des Erfolgs.

Kosten für Weiterbildungen und Awareness-Programme sind direkt sichtbar und werden in Krisenzeiten schnell reduziert. Viele Personal- und Führungsverantwortliche übersehen den langfristigen Mehrwert und stolpern später über die Mehrkosten, die durch ungeschulte Mitarbeiter und mangelnde Sensibilisierungs- und Sicherheitsprozesse entstehen. Die Resultate reichen von gestohlenen Informationen über sabotierte Infrastruktureinrichtungen bis hin zu kompletten Betriebsausfällen. Am Ende bleiben hohe Kosten und Reputationsschäden.

Für Experten gehört eine langfristig angelegte Schulungskultur in den Unternehmen fest verankert. Mit anderen Worten: schulen, weiterbilden und vorbereiten auf die Herausforderungen in unserer modernen und schnelllebigen Geschäftswelt.

Was heute technologisch und als Schulungsmaßnahme aktuell ist, kann morgen überholt sein. Wer an dieser Stelle als Unternehmen den Anschluss verliert, der hat es schwer, Versäumtes nachzuholen. Aus diesem Grund liegt in einem langfristigen und unternehmensweiten Aus- und Weiterbildungsprogramm im Awareness-Umfeld ein klarer Wettbewerbsvorteil, um Informationen zu schützen, Kosten zu senken und den Unternehmenserfolg zu sichern.