Über Anreize, Verantwortung und warum Sicherheit schneller wird, wenn wir aufhören, sie zu bremsen
Ich habe oft gehört, dass der Mensch das "schwächste Glied" sei. Das glaube ich nicht mehr. Nicht als alleinige Ursache für Vorfälle. Wenn ich hinter die Schlagzeilen schaue, sehe ich eine andere Ursache für die Schwäche des Einzelnen: die Umgebung rund um den Menschen. Das Klima in der Organisation. Wie wir messen, belohnen und gestalten. Dort schlägt Sicherheit entweder Wurzeln oder verwelkt und wird zur Unsicherheit. Wenn eine Pflanze nicht wächst, schaut ein guter Gärtner zuerst auf Boden, Licht und Wasser, nicht auf die Pflanze. So sollten wir es auch tun.
In vielen Unternehmen werden Geschwindigkeit, Wachstum und Quartalsziele belohnt. Das ist an sich nicht falsch. Doch Sicherheit folgt oft einer anderen Logik: Sie wird nicht belohnt, wenn nichts passiert. Nichts sichtbar ist. Keine Punkte auf der Tafel. Ich habe in zahllosen Führungssitzungen miterlebt, wie jemand "Stopp, Risiko" sagt und als Bremser oder sogar Außenseiter wahrgenommen wird. Ich habe gesehen, wie gute Menschen rationale Entscheidungen in einem Anreizsystem treffen, das Sicherheit unsichtbar macht. Fast so, als wäre Sicherheit wie Elektrizität im Haushalt – sie muss einfach funktionieren. Deshalb drehe ich die Perspektive um: Das Problem ist selten der Einzelne, sondern das Klima, in das er gesetzt wurde (OECD, 2022; Weltwirtschaftsforum, 2024).
Das ist ein sensibles Thema, ich weiß. Denn wenn das Klima das Problem ist, richtet sich der Blick auf Führung und Steuerung. Dann geht es nicht um eine weitere Kampagne oder ein neues Werkzeug, sondern um Führung, Messung und Verantwortungsverteilung. Öffentliche Vorgaben sagen im Grunde dasselbe. Die neuen EU-Regeln machen Cybersecurity zur Aufgabe des Vorstands: Die Leitung soll Risiken verstehen, Verhältnismäßigkeit abwägen und Entscheidungen treffen, wenn es kritisch wird (Europäische Union, 2022). US-Behörden fordern "Sicherheit als Standard", damit Verantwortung bei den Designern und Lieferanten liegt und nicht beim Endnutzer (CISA, 2023). Das heißt höflich: Repariert das Klima, nicht nur das Plakat. Und nein, es geht nicht darum, dass Technik menschliche Fehler komplett ausgleicht. Aber sie unterstützt eine sichere Kultur.
Warum setze ich mich so dafür ein? Weil ich die Kosten des alten, compliance-getriebenen Denkens sehe. Checklisten und Zertifikate haben ihre Berechtigung, aber nur als Basis. Sie schaffen Form und Nachvollziehbarkeit. Doch wenn Anreize Geschwindigkeit ohne Risikobewertung belohnen, werden Dokumente zur Kulisse, Sicherheit zur Theateraufführung. Wir haken ab, reduzieren aber das Risiko nicht. Wir kaufen weitere Lagen, schreiben eine weitere Richtlinie und glauben, dass gesammelte Beweise Fähigkeiten ersetzen. Öffentliche Lageberichte zeigen denselben Trend: Angriffe beginnen oft im menschlichen Alltag und im Umfeld. Mehr Technik hilft nicht, wenn das Klima Abkürzungen und Tempo statt Kontrolle belohnt (ENISA, 2023).
Ich weiß, dass "Kultur" oft als schwammig empfunden wird. Deshalb spreche ich lieber von gesteuerten Anreizen. Was passiert, wenn ein Vertriebsleiter für das sichere Abschließen von Geschäften Anerkennung erhält, nicht nur für Schnelligkeit? Wenn ein Produktverantwortlicher Karrierepunkte bekommt, weil er sichere Standardkomponenten statt "schnelle Eigenlösungen" oder "billigste Alternativen" wählt? Wann wird ein Manager an der Wiederherstellungszeit ebenso gemessen wie am Lieferdatum? Dann ändert sich das Klima, da bin ich überzeugt. Und das geht ohne Slogans oder teure Bonusmodelle. Die OECD empfiehlt, digitale Sicherheit in das wirtschaftliche Risikomanagement zu integrieren, als festen Bestandteil von Führung und Entscheidungen, nicht als Randthema (OECD, 2022). Das Weltwirtschaftsforum beschreibt denselben Wandel: Vorstände, die Cyberrisiken in die Geschäftsrisiken einbinden, treffen bessere Entscheidungen, erleben weniger Überraschungen und genießen mehr Vertrauen am Markt (Weltwirtschaftsforum, 2024). Das muss sich in Stellenbeschreibungen und Anforderungen widerspiegeln, gerade wenn jemand Chef und Verantwortlicher sein will.
Wir müssen auch ehrlich sein, warum Organisationen manchmal ihre eigene Sicherheit blockieren. Wir schaffen Reibung, in der Schnelligkeit belohnt und Sicherheit bestraft wird. Sicherheit wird als Kostenfaktor gesehen und wirkt sich negativ auf den Umsatz aus. Wir schaffen Abhängigkeiten, bei denen niemand das volle Risiko trägt. Wir erzeugen falsche Sicherheit durch zahllose Dashboards mit zweifelhaften Risikomodellen, Abläufen und Prozessen, die rechtzeitige Erkennung verhindern und keinen Beitrag zur Visualisierung von Widerstandsfähigkeit und Wiederherstellungsfähigkeit leisten. Das ist keine Frage von Moral oder Ethik, sondern von Anreizen. Wenn Anbieter, Kunden und interne Teams Daten, Verantwortung und Ziele teilen, ändert sich das Spiel. Es ist kein Zufall, dass die EU nun Produktanforderungen für digitale Produkte einführt. Sicherheit muss vor Markteinführung vorhanden sein, nicht nachträglich hinzugefügt werden (Europäische Kommission, 2024). Auch nationale Lagebilder betonen den ganzheitlichen Ansatz: Menschen, Prozesse, Technik und Lieferanten, die zusammenwirken, nicht isoliert (ENISA, 2023).
"Aber bremst das nicht unser Wachstum?" ist eine häufige Frage. Meine Erfahrung sagt das Gegenteil. Wenn das Klima das richtige Tempo zum richtigen Zeitpunkt unterstützt, geht alles mit der Zeit schneller. Wir vermeiden Notfalleinsätze, teure Nachbesserungen und Schuldzuweisungen statt Lösungen. Und ja, Vertrauen in die Organisation und ihre Fähigkeiten hat einen geschäftlichen Wert. Organisationen, die Sicherheit als Karriere-, Qualitäts- und Vertrauensfaktor betrachten, treffen bessere Entscheidungen schneller, haben weniger interne Reibung und werden zuverlässigere Partner. Das sind keine leeren Worte. Es zeigt sich darin, wie Kapital, Kunden und Talente zu denen fließen, die Stabilität bieten statt nur das Gefühl von Kontrolle (Weltwirtschaftsforum, 2024).
Ich verwende die Gewächshausmetapher bewusst und kalkuliert. Für mich ist Cybersicherheit keine schimmernde Pflanze, über die wir zufällig auf dem Weg zum Wachstum stolpern. Sie ist das Gewächshaus. Ohne das richtige Klima wächst nichts nachhaltig. Mit dem richtigen Klima wächst alles schneller. Deshalb werde ich müde, wenn jemand sagt, der Mensch sei schwach, aber diese Schwäche nicht pflegt. Der Mensch handelt nach dem Klima und wird nicht zum sichersten Glied. Ändern wir das Klima, ändern wir das Verhalten. Es geht um Eigentümer, Vorstände und Führung. Aber das ist auch die gute Nachricht: Wenn die Spitze das Klima ändert, folgen alle anderen.
Das Fazit ist einfach. Wir können weiter messen, wie schnell wir fahren, oder wir messen, wie sicher wir wiederholt ankommen. Ich entscheide mich für Letzteres. Nicht weil ich Bremsen mag, alt oder ängstlich bin. Sondern weil ich nachhaltige Geschwindigkeit schätze, ohne den Crash zu riskieren. Das ist der Unterschied zwischen dem Fingerzeigen auf den Menschen und der Arbeit an der Umgebung. Wenn wir das tun, wachsen Sicherheit und Geschäft. Genau das versuchen öffentliche Empfehlungen und neue Vorschriften zu fördern: weniger Ritual, mehr Nachhaltigkeit (Europäische Union, 2022; CISA, 2023; Europäische Kommission, 2024; OECD, 2022; ENISA, 2023; Weltwirtschaftsforum, 2024).
Quellen (Auswahl, APA)
CISA. (2023).Secure by Design, Secure by Default. Cybersecurity and Infrastructure Security Agency.
ENISA. (2023).ENISA Threat Landscape 2023. Europäische Agentur für Cybersicherheit.
Europäische Kommission. (2024).Verordnung (EU) 2024/2847 – Cyber Resilience Act (CRA).
Europäische Union. (2022).Richtlinie (EU) 2022/2555 (NIS2). Amtsblatt L 333.
OECD. (2022).Empfehlung des Rates zum Management digitaler Sicherheitsrisiken.
Weltwirtschaftsforum. (2024).Global Cybersecurity Outlook 2024.
