Eine persönliche Reflexion über Kommunikation, Awareness und Cybersicherheit
Als Cybersicherheits-Experte mit über fünf Jahren Erfahrung in unterschiedlichen Bereichen der IT- und OT-Security durfte ich viele spannende und herausfordernde Situationen erleben. Besonders prägend war meine Zeit als CISO eines Energieversorgungsunternehmens, in dem ich die Grundlagen der Informationssicherheit aufbaute und nachhaltige Strukturen für eine erhöhte Cyberresilienz etablieren konnte.
Doch bei aller Technik und Strategie habe ich eines ganz klar gelernt. Cybersicherheit ist keine rein technische Disziplin, sie ist ein Menschen-Thema.
Die grösste Herausforderung: Kommunikation
Eine der grössten Hürden war und ist die Kommunikation mit den Mitarbeitenden. Denn viele verstehen auf den ersten Blick nicht, warum neue Vorgaben notwendig sind oder empfinden sie als Belastung im Arbeitsalltag.
Ich erinnere mich an zahlreiche Situationen, in denen eine technische Richtlinie ignoriert oder nicht verstanden wurde. Was dann half, war oft nicht eine ausführlichere Anleitung, sondern ein einfaches Gespräch, manchmal bei einem Kaffee in der Pause. In solchen Momenten konnte ich erklären, warum bestimmte Sicherheitsmassnahmen nicht nur für das Unternehmen, sondern auch für die persönliche Sicherheit relevant sind.
Komplexe Inhalte greifbar machen
Ich begann damit, Richtlinien und Vorgaben in den Alltag meiner Kolleginnen und Kollegen zu übersetzen. Statt über technische Details zu sprechen, erklärte ich Sicherheitskonzepte anhand von Alltagssituationen, etwa dem sicheren Umgang mit Online-Banking oder Social-Media-Accounts. Das half, abstrakte Risiken greifbarer zu machen.
Diese Verbindung zur Lebensrealität der Mitarbeitenden hat viel bewirkt. Die Akzeptanz für neue Prozesse stieg spürbar, und das Sicherheitsbewusstsein entwickelte sich langsam aber stetig.
Awareness ist mehr als eine Pflichtschulung
Ein weiteres wichtiges Learning. Awareness darf keine einmalige Schulung sein. Viele Menschen nutzen täglich digitale Tools, ohne sich der potenziellen Gefahren bewusst zu sein, etwa bei Phishing-Mails, unsicheren Passwörtern oder dem unbedachten Umgang mit vertraulichen Daten.
Daher gehören regelmässige, zielgruppengerechte Trainings zur Grundausstattung jeder Sicherheitsstrategie. Nicht im Sinne von starren E-Learnings, sondern als interaktiver, dialogorientierter Prozess. Wer versteht, wovor er sich schützt, handelt sicherer, ganz automatisch.
Technik schützt nicht, wenn Menschen nicht mitziehen
Auch die beste Sicherheitsarchitektur scheitert, wenn die Menschen sie nicht verstehen oder mittragen. Deshalb muss Kommunikation ein zentraler Bestandteil jeder Security-Strategie sein. Technische Massnahmen und menschliches Verhalten sind zwei Seiten derselben Medaille.
Mein wichtigstes Fazit aus den letzten Jahren lautet daher:
Cybersicherheit beginnt nicht mit Firewalls oder Tools – sie beginnt mit einem Gespräch.
Mein Appell an die Community
Ich hoffe, meine Erfahrungen helfen anderen Cybersicherheitsexperten weiter, sei es bei der Gestaltung von Awareness-Kampagnen, im Dialog mit der Geschäftsleitung oder im täglichen Austausch mit den Mitarbeitenden.