Change-Management-Methoden unterstützen bei Cybersicherheit: Raus aus der Opfer-Starre
Vor dem Hintergrund zunehmender hybrider Bedrohungen stehen Führungskräfte mehr denn je vor der Herausforderung, manipulativen Cyberangriffen bestmöglich zu begegnen. Dazu sind Kompetenzen jenseits von Sicherheitssoftware gefragt. Hier setzen Methoden des Change-Managements an.
Es ist eine Herausforderung mit Zukunftscharakter: Cybersicherheit. Ihre Bedeutung zeigt sich in der Nationalen Sicherheitsstrategie des Bundes, die 2023 auf 76 Seiten verabschiedet wurde – 62- mal taucht darin das Wort „Cyber“ auf. Ein Indiz dafür, dass Digitalisierung mit rasant fortschreitender Vernetzung und breiten Angriffsflächen ein Megathema nicht nur in Deutschland ist. Das Papier, mit dem die Bundesregierung auf die geopolitische Sicherheitslage reagiert, deckt sich mit der Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI): Die Lage ist kritisch bis angespannt.
Knapp 70 neue Schwachstellen in Softwareprodukten werden täglich hierzulande entdeckt. Das sind 25 Prozent mehr als im Berichtszeitraum davor. Die Entwicklung neuer, angepasster
Angriffsmethoden, die als Dienstleistung (Cybercrime-as-a-Service) auf den Markt kommen, gilt als besorgniserregend.
Das ist die eine Seite der „Cyber-Unsicherheitsmedaille“. Die andere Seite ist die „Schwachstelle Mensch“. Nach wie vor, so konstatiert das BSI, ist der Mensch zu mehr als 80 Prozent in
allen Fällen erfolgreicher Hacks dafür verantwortlich, dass Angreifer ans Ziel gelangen und Unternehmen, Organisationen sowie Kommunen lahmlegen. Die bittere Erkenntnis ist, dass diese kriminelle Strategie ein alter Hut ist. Der 1963 in Kalifornien geborene und 2023 in Nevada verstorbene Hacker Kevin Mitnick arbeitete nach mehreren Jahren Haft bis zu seinem Tod als Autor und Sicherheitsberater.
In seinem 2002 erschienenen Buch „Die Kunst der Täuschung“ (orig. „The Art of Deception“) beschreibt er, wie Social Engineering deutlich schneller zu den gewünschten Informationen führt als technische Methoden es vermögen: Statt Spionagesoftware zu entwickeln, „programmieren“ Social Engineers den Willen ihrer Opfer.
Change-Management
Vor dem Hintergrund steigender, hybrider Bedrohungen stehen Führungskräfte mit Personal- und Sicherheitsverantwortung mehr denn je vor der Herausforderung, manipulativen Methoden bestmöglich entgegenzutreten. Aber auch Mitarbeiter sind gefordert und sollten als Unternehmensbeteiligte nicht gänzlich aus der Verantwortung entlassen werden. Kompetenzen jenseits von Sicherheitssoftware sind gefragt, denn es ist weder realistisch noch zu verlangen, dass in allen Hierarchien ausgeprägtes IT-Wissen besteht. Hier greifen Change-Management-Methoden.
Dennoch kommt Führungskräften vor allem in kleinen und mittleren Betrieben (KMU) die Aufgabe zu, mit gezielten Awareness-Maßnahmen möglichen Gefahren entgegenzuwirken. Es spielt keine Rolle, ob es sich um ein Unternehmen mit Top-down-Struktur oder um eines mit flachen Hierarchien handelt – in allen Fällen gilt es, Veränderungskompetenzen zu entwickeln, zu fördern und zu festigen (siehe nachfolgende Auflistung).
1. Dringende Notwendigkeit der Veränderung erzeugen
Ein (schmerzhafter) Anlass schafft gemeinsames Bewusstsein für Dringlichkeit/Attraktivität des Wandels: Was kann passieren, wenn keine Veränderung vollzogen wird? Antwort: Existenzgefährdung, gegebenenfalls Unternehmenstod
2. (Führungs-)Team Gleichgesinnter bilden
Um Veränderung anzustoßen, bildet sich ein Team mit gleicher Wahrnehmung für die Dringlichkeit. Idealerweise mit guten Kommunikationsfähigkeiten.
3. Vision und Strategie vermitteln
Entwickelte Visionen und Strategien in positiver Formulierung helfen, die Zukunft perspektivisch darzustellen.
4. Strategie und Vision kommunizieren
Der Change betrifft alle Beteiligten, so muss er vertrauenswürdig, verständlich und inspirierend sein.
5. Widerstände auflösen/beseitigen
Äußere (zum Beispiel Kooperationen) und innere (Mitarbeiter) Widerstände mit Kommunikation, Führungskraft und Strategien auflösen, damit der Change-Prozess gelingt.
6. Schrittweise Erfolge anstreben
Um Vertrauen und Motivation in/für den Change-Prozess zu vertiefen, braucht es kleine, schrittweise Erfolge.
7. Veränderungsprozess nicht schleifen lassen
Schrittweise Erfolge sind nicht das Ende des Change. Der Prozess muss weiter vorangetrieben werden.
8. Das Prozessergebnis verankern
Der Change muss nachhaltig verankert/gestaltet werden – dies gelingt, wenn Beteiligte mehrheitlich mitziehen.
Notwendige Kernkompetenzen
Eine wesentliche Kompetenz ist die Kommunikationsfähigkeit. Es gilt nicht nur zu erkennen, wie Angreifer mit Mitarbeitern (ein beliebtes Einfallstor sind Sekretariate und Stellen mit Prokura) in den Dialog treten. Eine erste Hilfe wäre der schnelle Check – die Mouseover-Kontrolle, die weitgehend Auskunft über echte oder falsche E-Mail-Absender gibt. Es gilt vor allem, Mitarbeiter respektvoll zu integrieren und für Informationstransparenz zu sorgen.
Neben weiteren Kernkompetenzen, die auch im Fach-Buch „Ausgespäht – Change Management & Strategien für nachhaltige Cybersicherheit“ ausführlich dargestellt sind (siehe Kasten), gelten folgende als unverzichtbar im Kampf gegen Internetkriminalität:
- Ambidextrie: Entscheider setzen sowohl auf die Weiterentwicklung des Kerngeschäfts als auch darauf, neue Geschäftsfelder zu erschließen. Das Gleichgewicht zwischen Exploration und Exploitation zu halten, bedeutet die Integration und Motivation firmeninterner Ressourcen einerseits, aber auch die Entwicklung einer klaren Unternehmensstrategie andererseits.
- Motivation: Hier sind Führungskräfte doppelt gefordert. Sie müssen sowohl ihre eigene Motivationsstruktur als auch die ihrer Mitarbeiter kennen. Mit dem Wissen können sie die Bedeutung von Cybersicherheit begreiflich machen und erreichen, dass Mitarbeiter mithilfe von intrinsischer und extrinsischer Motivation ihre Komfortzone im Berufsalltag verlassen und lernbereit werden. Ein Werkzeug dafür: die Kommunikation.
- Digitales Denken: Diese anspruchsvolle Anforderung definiert sich durch die Fähigkeit, sowohl Probleme als auch Informationen und Prozesse mittels digitaler Technologien zu verstehen. Heißt im ersten Schritt, dass es über die reine Anwender-Ebene hinausgeht. Es gilt zu lernen, wie Algorithmen arbeiten, Daten (keine Programmiersprache!) zu lesen sind sowie Informationsmuster logisch erkannt werden können.
- Nachhaltigkeit denken: kein Hexenwerk. Zwar ist die Versuchung groß, sich dem zu entziehen, weil in immer kürzeren Intervallen neue Sicherheitssoftware auf den Markt kommt, dennoch gilt Besonnenheit und Prüfen von Bestehendem als das Maß der Dinge. Der ehemalige BSI-Chef Arne Schönbohm brachte es im Mai 2023 auf den Punkt. Er sei entsetzt, mit welchen Sicherheitslücken so manche Software auf den Markt komme. Ergo: Nicht alles Alte ist zwingend auch veraltet.
Vivian Simon ist ausgebildete Journalistin sowie studierte Change Managerin für den digitalen Wandel. Sie arbeitet als Autorin und Beraterin für Cybersicherheit mit dem Schwerpunkt „Förderung und Sensibilisierung von Veränderungskompetenzen bei Führungskräften“. Vivian Simon ist u. a. Mitglied im „Dialog für Cybersicherheit“ der BSI-Denkwerkstatt, bei den Cyberreservisten der Bundeswehr Hamburg, im Verband der Reservisten der Bundeswehr Hamburg sowie im Netzwerk Digitalkompetenz der RE-Schulen AG Regenstauf.
Ausgespäht – Change Management und Strategien für nachhaltige Cybersicherheit
Cyberattacken, hybride Gefahren. Menschliche Kompetenz vs. Künstliche Intelligenz. Auswirkungen von Cyberpsychologie. Fake News und Unsicherheiten in einer fragilen geopolitischen Lage samt ihrer Auswirkungen auf Individuen. Welche Abwehrmaßnahmen für Cybersicherheit greifen nachhaltig? Wo liegt die definierte Verantwortung von Führungskräften? Reichen Begriffe wie „Awareness“ noch aus?
In diesem Buch zeigen die Autoren Simon und Busche die Herausforderungen auf, die insbesondere von Entscheidern gemeistert werden müssen.