„Schütze dein digitales Ich“: Warum IT-Security kein Technologiethema ist

Viele verbinden Cybersecurity noch mit Bildern von dunklen Kellern, Hoodie-Trägern und Code-Zeilen. Die Realität sieht aber anders aus. Cyberangriffe sind längst ein automatisierter Industriezweig. Jeder kann sich im Darknet die nötigen Tools herunterladen, ganz ohne Programmierkenntnisse. Das können auch Jugendliche – und genau das macht es so gefährlich. Aber: Angriffe sind nicht nur ein technisches Thema. Ohne menschliches Zutun sind die meisten erfolgreichen Attacken gar nicht möglich.

Oder die stärkste Verteidigungslinie – je nachdem. Es ist wie bei einer Burg: Die Technik ist die Mauer, aber die Menschen sind die Türsteher. Und wenn die den Angreifer durchwinken, hilft die stärkste Mauer nichts. Deshalb sensibilisieren wir nicht nur technisch, sondern auch menschlich: Was ist mein Beitrag zur IT-Sicherheit? Wie erkenne ich Phishing? Was tue ich, wenn ich einen Fehler gemacht habe?

Ganz erheblich. Im Homeoffice fehlt oft die formale Arbeitsumgebung. Ich sitze vielleicht mit meinem privaten Laptop am Küchentisch, die Kinder spielen im Hintergrund, mein Partner telefoniert in eigener Sache – Multitasking ist da die Norm. Und genau in solchen Situationen passieren Fehler. Ich lese eine Mail nebenbei und klicke schneller auf einen Anhang, der verdächtig ist, als ich es im Büro tun würde. Die Umgebung verändert unser Verhalten – das ist systemisch belegbar.

Richtig. Viele nutzen private Geräte, unsichere WLAN-Netze, keine VPNs. Wenn dann noch mangelnde Schulung dazukommt, ist das Risiko hoch. Unternehmen müssen deshalb klare Homeoffice-Policies entwickeln – und  Mitarbeitende brauchen Schulung und Bewusstsein dafür, dass das Wohnzimmer kein risikofreier Raum ist. IT-Sicherheit endet nicht am Büroflur.

Kurzfristig vielleicht. Aber langfristig lähmt Angst. Sie hemmt echtes Lernen. Wer verängstigt ist, geht in Abwehr – nicht in Offenheit. Deshalb setzen wir auf Vertrauen, Dialog und konkrete Praxisbeispiele. Angst erzeugt Schuld, und Schuld erzeugt Schweigen. Gerade bei Fehlern ist aber Offenheit entscheidend.

Sofort informieren. Die IT-Abteilung oder eine zentrale Meldestelle muss wissen: Da war etwas Verdächtiges. Auch wenn man denkt, „Es ist ja nichts passiert“, kann im Hintergrund längst eine Schadsoftware aktiv sein. Wer zu lange schweigt, beschert dem Angreifer Zeit zu agieren.

Sie brauchen eine gelebte Fehlerkultur. Wer einen potenziellen Fehler meldet, darf nichtgerügt, sondern sollte gelobt werden – weil er das Unternehmen schützt. Ein Satz wie „Ich habe auf eine komische Mail geklickt – könnt ihr bitte prüfen?“ sollte zur Normalität werden. Und wichtig: Keine Rundmails an alle Kolleginnen und Kollegen mit Warnungen – das schafft nur Verunsicherung. Die Information muss gezielt und professionell weitergeleitet werden. Zwar ist am Ende die Geschäftsleitung verantwortlich, gerade auch, wenn es um Datenschutz und Datensicherheit geht. Hier kann sie sich natürlich beraten lassen, auch von einem externen Datenschutzbeauftragten. Aber: Mitverantwortung trägt natürlich jeder insofern, als er an seinem eigenen Verhalten etwas ändern oder sich anpassen kann. Darüber sollte man nicht leichtfertig hinwegsehen. Für mich gibt es ansonsten sicherlich gewisse Abstufungen in fahrlässigem Verhalten. Hätte man denn wissen können, dass man das jetzt nicht machen darf? Hätte ich verhindern können, dass sich hier jetzt ein Virus eingeschlichen hat oder nicht? Um hier entscheiden zu können, braucht es Anwenderwissen auf Mitarbeiterseite, und Training.

Wir senden realitätsnahe Fake-Mails an Mitarbeitende. Wer klickt, erhält sofort ein Feedback: „Achtung, das war ein Test – hier hätten Sie erkennen können, dass die Mail verdächtig ist.“ Das ist unmittelbares, nachhaltiges Lernen. Niemand wird bloßgestellt, sondern bestärkt, es beim nächsten Mal besser zu machen.

Eine entscheidende. HR gestaltet Onboarding, Schulung und Unternehmenskultur. Leider ist Cybersecurity dort noch zu selten ein Thema. Dabei wäre es klug, das gleich zu Beginn zu adressieren: Welche Sicherheitsregeln gelten? Wie sehen Phishing-Mails aus? Wo kann ich mich melden? Wer ist verantwortlich?

Auch sie müssen geschult werden – sofern sie Zugriff auf Systeme haben. Das ist keine juristische Spitzfindigkeit, sondern betriebliche Notwendigkeit. Jeder, der Zugriff hat, kann ein Einfallstor sein. Und das gilt auch für die Einarbeitung: Sicherheitskultur muss gleich mit vermittelt werden – wie andere Werte auch.

Viele tun gar nichts. Der größte Fehler ist das Wegducken. Dabei wird der Druck größer: durch Medien, durch Vorfälle in der Nachbarschaft, durch steigende Regulierungsanforderungen. Aber IT-Sicherheit lässt sich nicht outsourcen – man muss sie leben. Technisch, organisatorisch und menschlich.

Also ich selbst bin wirklich keine Technikerin oder Hackerin in dem Sinne, dass ich jetzt Programmierkenntnisse hätte. Trotzdem kann ich sagen, dass ich keine Angst vor Rechnern habe. Es gibt ja Menschen, die haben Berührungsängste im Umgang mit Computern oder mit Technik. Ich mag schon sehr gerne Technik. Aber ich habe festgestellt, dass sich ITler oder sehr technik-affine Menschen nicht wirklich gut in jemanden hineinversetzen können, der oder die sich gar nicht gerne mit Technik umgibt. Haben diese weniger affinen Anwender dann IT-relevante Fragen, spricht ein ITler eher nicht anwenderorientiert, sondern benutzt gerne viele Fachbegriffe. Und an der Stelle kann ich gut vermitteln; ich sehe meine Rolle hier als Übersetzerin – diese Schnittstelle wird in Unternehmen oft zu wenig beachtet, ist meine Erfahrung.

Mein Motto lautet: „Schütze dein digitales Ich.“ So wie wir uns im Straßenverkehr schützen, brauchen wir auch im digitalen Raum Schutz – und Bewusstsein. Ich möchte Menschen befähigen, sicher in der digitalen Welt unterwegs zu sein. Nicht mit Angst, sondern mit Wissen und Haltung.