Wenn Sicherheit zur Routine wird, nicht zur Pflicht

Ich erlebe es immer wieder: In Unternehmen gibt es detaillierte Sicherheitsrichtlinien, Policies, Audits, Zertifizierungen und trotzdem passiert ein sicherheitsrelevanter Vorfall. Nicht, weil Regeln fehlen. Sondern weil sie nicht gelebt werden.

Das ist der Unterschied zwischen Sicherheitsmanagement und Sicherheitskultur.

Sicherheitsmanagement sorgt dafür, dass Prozesse existieren. Sicherheitskultur sorgt dafür, dass Menschen diese Prozesse verstehen, unterstützen und im Alltag anwenden, ganz selbstverständlich, ohne dass man sie ständig daran erinnern muss.

Echte Sicherheitskultur erkennt man daran, dass Sicherheit nicht mehr als Zusatzaufgabe wahrgenommen wird, sondern als Teil der Arbeit, wie Qualität, Service oder Zuverlässigkeit.

Das Checklisten-Denken und warum es gefährlich ist

Viele Organisationen behandeln Sicherheit wie eine To-do-Liste:

  • Passwort-Policy eingeführt
  • ISMS zertifiziert
  • Schulung durchgeführt

Formal ist alles erfüllt, aber inhaltlich bleibt es leer. Ich nenne das die “Illusion der Sicherheit”. Es sieht gut aus, aber im Ernstfall zeigt sich, dass Verständnis, Verantwortlichkeit und Reflexion fehlen.

Ein klassisches Beispiel aus meiner Praxis: Ein Unternehmen hatte ein topmodernes ISMS, Prozesse, Audits, alles dokumentiert. Doch als ein Mitarbeitender eine vertrauliche Datei versehentlich an einen falschen Empfänger schickte, wusste niemand, wie zu reagieren war. Warum? Weil niemand das System gelebt hat. Sicherheit war ein Thema des Audits, nicht des Alltags.

Ganzheitliche Sicherheitskultur, mehr als Informationssicherheit

Was ich in vielen Organisationen beobachte: Sicherheit wird in Silos gedacht.

  • Arbeitssicherheit kümmert sich um physische Risiken.
  • Informationssicherheit (sofern vorhanden) um Daten und Systeme.
  • Compliance um Vorgaben und Audits.

Doch Sicherheit ist unteilbar. Ob jemand auf der Baustelle ohne Helm arbeitet oder am Arbeitsplatz eine Phishing-Mail öffnet, beides ist eine Frage der Haltung.

In Unternehmen, die Sicherheit ganzheitlich denken, entsteht eine andere Kultur. Die Mitarbeitenden verstehen, dass physische und digitale Sicherheit zwei Seiten derselben Medaille sind.

Ich habe mit Organisationen gearbeitet, die Arbeitssicherheit und Informationssicherheit in einem übergreifenden Programm vereint haben. Das Ergebnis: weniger Schulungen, mehr Verständnis, mehr Eigenverantwortung.

Der entscheidende Hebel: Führung

Sicherheitskultur beginnt immer oben. Führungskräfte prägen, was im Unternehmen Priorität hat – durch ihr Verhalten, nicht durch Anweisungen.

Ich erinnere mich an eine Führungsperson, die in einem Sicherheitsmeeting sagte:

“Wir müssen schneller patchen, aber die Produktion darf nie stillstehen.”

Das war der Moment, in dem alle verstanden: Sicherheit steht unter Vorbehalt.

In einem anderen Unternehmen erlebte ich das Gegenteil: Die Geschäftsleitung bestand darauf, dass IT-Sicherheitsmassnahmen den gleichen Stellenwert haben wie Arbeitssicherheit. Der CEO selbst machte monatlich einen “Security Moment” im Führungscall – fünf Minuten, ein konkretes Thema, eine Botschaft. Das war kein grosser Aufwand, aber es zeigte, dass Sicherheit Priorität hat und das veränderte alles.

Kommunikation, der unterschätzte Erfolgsfaktor

Sicherheitskultur wächst durch Kommunikation, nicht durch Dokumentation. Ich sehe häufig: Policies werden geschrieben, aber nie erklärt. Mitarbeitende wissen, dass es Regeln gibt, aber nicht, warum sie existieren oder wie sie ihnen helfen.

Gute Kommunikation schafft Verbindung. Wenn Menschen den Sinn verstehen, fühlen sie sich eingebunden und nicht kontrolliert.

Erfolgreiche Sicherheitskommunikation hat drei Merkmale:

  • Regelmässig: lieber kurze Impulse wöchentlich als ein grosser Jahresbericht.
  • Verständlich: kein Fachjargon, sondern klare Sprache.
  • Bedeutungsvoll: zeigen, wie Sicherheit den Alltag erleichtert, nicht erschwert.

Ein Beispiel: Ein Unternehmen erklärte neue Passwortanforderungen nicht mit technischen Details, sondern mit einer einfachen Analogie:

“Sie würden Ihr Haustürschloss auch nicht in den 80er-Jahren belassen, warum dann Ihr Passwort?”

Ein Satz, aber mit Wirkung.

Von der Policy zur Haltung

Richtlinien sind wichtig, aber sie schaffen keine Kultur. Kultur entsteht, wenn Menschen das “Warum” verstehen und Verantwortung übernehmen. Ich habe in vielen Projekten erlebt: Die entscheidende Frage ist nicht “Was müssen wir tun?”, sondern “Wie denken wir über Sicherheit?”

Unternehmen mit reifer Sicherheitskultur zeichnen sich durch drei Dinge aus:

  1. Verantwortung: Jeder weiss, dass Sicherheit Teil seines Jobs ist.
  2. Vertrauen: Mitarbeitende können Vorfälle offen ansprechen, ohne Angst.
  3. Vorbildfunktion: Führung lebt Sicherheit vor, ohne Perfektion zu verlangen.

Ein Praxisbeispiel: Vom Compliance-Zwang zur Kultur

Ein Unternehmen hatte ein umfassendes ISMS eingeführt. Das Audit war bestanden, aber die Motivation im Unternehmen war gering.

Das Unternehmen stellten etwas kleines um:

  • Einführung eines “Security Moments” in jedem Management-Meeting.
  • Kombination von Arbeitssicherheits- und Informationssicherheitskampagnen.
  • Regelmässige interne Storytelling-Formate (”Was wir aus diesem Vorfall gelernt haben”).

Nach einem Jahr veränderte sich die Stimmung. Führungskräfte sprachen offen über Risiken, Mitarbeitende meldeten Vorfälle frühzeitig und das Sicherheitsbewusstsein stieg spürbar.

Der Weg zur gelebten Sicherheitskultur

Basierend auf meiner Erfahrung sind dies die Schlüsselfaktoren:

  • Führung – Sicherheit ist Chefsache.
  • Ganzheitlichkeit – physisch, digital, organisatorisch.
  • Kommunikation – verständlich, ehrlich, regelmässig.
  • Vertrauen – Fehlerkultur statt Schuldzuweisung.
  • Vorbildverhalten – gelebte Werte statt Anweisungen.

Eine Sicherheitskultur lässt sich nicht per Policy einführen – sie wächst. Aber sie wächst nur, wenn sie sichtbar, spürbar und von oben getragen wird.

Sicherheit ist kein Audit, sondern eine Haltung

Sicherheitskultur ist erreicht, wenn Mitarbeitende Informationssicherheit selbstverständlich leben, ohne dass man sie ständig daran erinnern muss.

Das gelingt nicht mit Kontrollen, sondern mit Überzeugung. Nicht durch mehr Regeln, sondern durch Vorbild, Dialog und Sinn.

Denn Sicherheit ist kein Ziel, das man abhaken kann. Sie ist ein Verhalten, das man lebt.