Mind the Gap: Die gähnende Kluft zwischen den Gedanken und Taten von Führungskräften schließen

Von Phil Muncaster • 30 November 2023

Menschen sagen nicht immer, was sie meinen. Und selbst wenn sie es tun, stimmen ihre Taten nicht immer mit dem überein, was sie sagen. Dies ist im Rahmen der Cybersicherheitspolitik insbesondere für Führungskräfte ein Problem. Wie neue Untersuchungen zeigen, gibt es an der Spitze vieler Organisationen eine „Verhaltenslücke“, die die Security-by-Design-Kultur zu untergraben droht und das Unternehmen übermäßigen Cyber-Risiken aussetzt.

Organisationen müssen eine Kultur aufbauen, die den „Exzeptionalismus von Führungskräften“ nicht toleriert. Dafür ist jedoch eine Verhaltensänderung seitens der Führungsebene und möglicherweise auch der IT-Sicherheitsleitung erforderlich.

Wie schlimm ist es?

Die Ivanti-Bericht wurde aus Interviews mit über 6500 Führungskräften, Cybersicherheitsexperten und Büroangestellten in globalen Organisationen zusammengestellt. Es zeigt eine auffallende Diskrepanz zwischen dem, was Unternehmensführer sagen, und dem, was sie tun. Einerseits sagen die meisten:

• Sie unterstützen die Cybersicherheit von Unternehmen zumindest mäßig oder haben in sie investiert (96 %).
• Sie bieten obligatorische Sicherheitsschulungen an (78 %).
• Sie sind bereit, Bedrohungen wie Malware und Phishing zu erkennen und zu melden (88 %).

Allerdings verhalten sich viele Befragte auf der anderen Seite übermäßig riskant, wie zum Beispiel:

• Antrag auf Umgehung einer oder mehrerer Sicherheitsmaßnahmen im vergangenen Jahr (49 %)
• Verwendung leicht zu merkender Passwörter (77 %)
• Klicken auf Phishing-Links (35 %)
• Verwendung von Standardkennwörtern für Arbeitsanwendungen (24 %)

Einige dieser Ergebnisse sind noch deutlicher, wenn man sie mit dem Verhalten normaler Mitarbeiter vergleicht. Beispielsweise geben nur 14 % an, dass sie Standardkennwörter verwenden. Dem Bericht zufolge ist die Wahrscheinlichkeit, dass Führungskräfte Arbeitsgeräte mit nicht autorisierten Benutzern teilen, dreimal höher.

Auch hochrangige Führungskräfte scheinen ein problematisches Verhältnis zur Cybersicherheit zu haben. Wenn sie auf Sicherheitsprobleme stoßen, die sie persönlich betreffen, sind sie:

• Doppelt so häufig wie normale Arbeitnehmer, dass ihre früheren Interaktionen mit dem Sicherheitsdienst „umständlich“ waren.
• Die Wahrscheinlichkeit, externen, nicht genehmigten technischen Support in Anspruch zu nehmen, ist viermal höher
• 33 % höhere Wahrscheinlichkeit, dass sie sich „nicht sicher fühlen“ und Sicherheitsfehler wie das Klicken auf einen Phishing-Link melden

„Es kann eine Diskrepanz oder Kommunikationslücke zwischen der Unternehmensführung und der IT-Sicherheit bestehen. Das liegt daran, dass sie unterschiedliche Prioritäten haben und CXOs daher Sicherheit wahrscheinlich nicht auf die gleiche Weise priorisieren und verstehen wie IT-Sicherheitsteams“, sagt Helen Masters, EVP von Ivanti, gegenüber ISMS.online.

Warum verhalten sich CXOs so schlecht?

Es gibt mehrere Theorien darüber, warum diese Verhaltenslücke in den letzten Jahren so groß geworden ist. Führungskräfte stehen in der Regel unter extremem Zeitdruck, was dazu führen kann, dass sie anfälliger für Sicherheitsfehler, die Suche nach Problemumgehungen und die Umgehung offizieller Kanäle sind. Ein Gefühl des Ausnahmezustands könnte dies noch verstärken.

„Letztendlich unterschätzen CXOs im Streben nach Produktivität die Auswirkungen ihrer Handlungen und den Beitrag von Abkürzungen zu Sicherheitslücken“, argumentiert Masters.

Dem Bericht zufolge könnten auch Sicherheitschefs eine Mitschuld an einer Kombination aus Burnout, „Nur-dies-einmal-Ismus“ und einer schwachen Sicherheitskultur haben, was dazu führt, dass sie sich unwohl fühlen, wenn sie zurückschlagen.

Was sind die Auswirkungen?

Was auch immer die Gründe sein mögen, die Auswirkungen schlechter Sicherheitspraktiken von Führungskräften können erheblich sein. Bedrohungsakteure wissen, dass Führungskräfte häufig mangelhafte Cyber-Hygiene praktizieren. Sie wissen auch, dass die Führungsebene Zugang zu hochsensiblen und monetarisierbaren Informationen hat, darunter Geschäftsgeheimnisse und vertrauliche Details zur Unternehmensstrategie. Warum sollte man sich die Mühe machen, Mitarbeiter weiter unten in der Nahrungskette ins Visier zu nehmen und Zeit und Mühe in die Ausweitung von Privilegien zu investieren, wenn man mit einem einzigen Phishing-Angriff alles erreichen kann?

Die Kompromittierung geschäftlicher E-Mails ist eine weitere kritische Bedrohung, die häufig auf die Führungsebene abzielt. In den letzten Jahren wurden Führungskräfte immer wieder dazu verleitet, große Geldtransfers an Bedrohungsakteure zu genehmigen, die sich als Partner und Chefs ausgaben.

Aufbau einer besseren Sicherheit von oben nach unten

Die Verhaltenslücke zu schließen wird nicht einfach sein – nichts, was Änderungen in der Unternehmenskultur erfordert, ist es jemals. Aber es ist machbar, wenn es auf einem soliden Fundament aufbaut. Das könnte bedeuten den Einsatz eines Informationssicherheitsmanagementsystems (ISMS). Dadurch werden Richtlinien, Verfahren und andere Kontrollen rund um Personen, Prozesse und Technologie bereitgestellt, um die Sicherheit von Informationsressourcen zu gewährleisten. Es umfasst Sicherheitsbewusstsein und Schulungen, die für Führungskräfte angepasst werden könnten.

Ein wichtiger Aspekt dabei ist die Entwicklung einer Kultur, in der Führungskräfte nicht das Gefühl haben, die Regeln an ihre eigenen Anforderungen anpassen zu können. Dies erfordert zum Teil, dass die Sicherheitsverantwortlichen Vertrauen zu diesen Führungskräften aufbauen, und zwar auf der Grundlage von Unterstützung, Aufklärung und Beratung und nicht auf der Grundlage von Verurteilung, Bestrafung und Beschämung.

„Die Zusammenarbeit mit IT- und Sicherheitsteams ist von entscheidender Bedeutung, ebenso wie die Förderung einer Kultur, in der Sicherheit nicht als Hindernis betrachtet wird. Dieser Ansatz wird Organisationen helfen ISO 27001 erreichen oder SOC2-Konformität effektiver“, argumentiert Masters.

IT-Führungskräfte können dazu beitragen, diesen kulturellen Wandel voranzutreiben, indem sie zeigen, dass sie bereit sind, ihren Endbenutzern zuzuhören.

„Ein Ansatz besteht darin, die häufigen Frustrationsquellen zu reduzieren, die oft mit robusten Cybersicherheitsmaßnahmen verbunden sind, wie übermäßige und häufige Passwortabfragen“, fährt Masters fort.

„Durch risikobasierte Intelligenz können sich Unternehmen auf die größten Bedrohungen konzentrieren, während die automatisierte Behebung Probleme schnell löst, bevor sie die Benutzerproduktivität beeinträchtigen. Dieser Ansatz stellt sicher, dass Sicherheitsmaßnahmen keine unnötigen Störungen verursachen, die andernfalls Führungskräfte und alle Mitarbeiter dazu veranlassen könnten, auf unsichere Praktiken zurückzugreifen.“

Der Bericht enthält eine praktische Checkliste, die IT- und Sicherheitsverantwortlichen dabei hilft, ihre Bemühungen in Gang zu bringen:

• Führen Sie eine durch interne Anhörung der Interaktionen zwischen Sicherheit und Führungsebene, um das Ausmaß der Verhaltenslücke zu verstehen
• Beheben Sie zuerst die einfachsten Risiken, indem Sie möglicherweise Zugriffsrichtlinien und akzeptable Nutzungsrichtlinien aktualisieren und dokumentieren sowie Kontrollen bereitstellen, die unbemerkt im Hintergrund laufen. Der Schlüssel liegt darin, direkte Konflikte mit der Führung nach Möglichkeit zu vermeiden
• Erwägen Sie spielerische Sicherheitsschulungen und Tabletop-Übungen anhand realer Fallstudien, damit Führungskräfte die Auswirkungen schlechter Cyber-Hygiene verstehen können
• Implementieren Sie ein „White-Glove“-Sicherheitsprogramm für Führungskräfte, das darauf abzielt, Vertrauen aufzubauen und die Hürden für die Meldung von Sicherheitsproblemen zu senken

Führungskräfte, die wenig Zeit haben, werden immer Fehler machen. Aber mit einem stärkeren Fokus auf Sensibilisierung und weniger aufdringlicher Sicherheit können Unternehmen viel tun, um das Potenzial für Störungen zu minimieren.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster

Internet-Sicherheit 27 Januar 2026

Datenschutz ist wichtig: Was Compliance-Teams im Jahr 2026 erwarten können

Der 28. Januar ist der Welttag des Datenschutzes – ein Anlass, das Recht auf Datenschutz und Datensicherheit zu feiern, das viele von uns heute als selbstverständlich ansehen. Es war…

Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster