Fehler sind menschlich, aber in der IT-Sicherheit können sie weitreichende Folgen haben. Umso wichtiger ist es, eine positive Fehlerkultur zu etablieren, damit Mitarbeitende Fehler nicht aus Angst verschweigen, sondern melden, damit das Unternehmen sie beheben und daraus lernen kann. Das trägt nicht nur zu einem positiven Arbeitsklima bei, sondern wirkt sich aktiv auf die IT-Sicherheit des Unternehmens aus.
Jede:r Zweite verschweigt eigene Fehler
Eine aktuelle Studie von GData, Statista und brand eins (veröffentlicht im „Cybersicherheit in Zahlen“ Magazin), belegt, dass circa die Hälfte aller deutschen Arbeitnehmer:innen einen Fehler in der IT-Sicherheit nicht einräumen würde. Das hat weitreichende Folgen für die Unternehmens-IT und beeinträchtigt die Sicherheit von Unternehmen.
Fehler werden meist aus Angst nicht gemeldet. Die Mitarbeitenden fürchten negative Konsequenzen, insbesondere dann, wenn eine falsche Handlung sich bereits negativ auf die IT-Sicherheit ausgewirkt hat. Dabei könnte viel Schaden begrenzt oder gar verhindert werden, wenn Fehler frühzeitig gemeldet würden. Die Fehlerkultur eines Unternehmens hat also enorme Auswirkungen auf die IT-Sicherheit – im negativen wie im positiven Sinne.
Menschliche Fehler in der IT-Sicherheit
Eine positive Fehlerkultur ist deshalb so wichtig, weil sehr viele erfolgreiche Cyberangriffe auf menschliche Fehler zurückzuführen sind. Ob Phishing, Social Engineering, Malware oder Ransomware – zahlreiche etablierte Angriffsmethoden zielen auf menschliche Fehler oder die Manipulation menschlicher Verhaltensweisen ab.
Insbesondere das Social Engineering hat den Menschen als schwächstes Glied der Sicherheitskette im Visier und nutzt systematisch Methoden des Trickbetrugs, um an Daten oder Zugänge zu kommen. Unaufmerksamkeit, Unsicherheit oder Unwissen werden gezielt ausgenutzt und vermeintlich kleine Fehler provoziert, über die die Angreifer sich dann weitere Befugnisse erschleichen.
Ein Fehler kann weitreichende Folgen haben, insbesondere dann, wenn er nicht bemerkt oder nicht gemeldet wird und die IT-Abteilung des Unternehmens nicht rechtzeitig reagieren kann. Wenn der Angriff dann bemerkt wird, ist der Schaden häufig bereits eingetreten, während ein frühzeitiges Handeln Schlimmeres verhindern kann. Deshalb ist es so wichtig, Mitarbeitende zu sensibilisieren und eine positive Fehlerkultur zu etablieren, um durch den konstruktiven Umgang mit Fehlern die Unternehmenssicherheit zu erhöhen.
Positive und negative Fehlerkultur
Unter dem Begriff „Fehlerkultur“ versteht man die Art und Weise, wie Unternehmen mit Fehlern und den dadurch entstandenen Konsequenzen umgehen. Bei einer negativen Fehlerkultur können Fehler im extremen Fall zur Abmahnung oder sogar Kündigung führen. Im Bereich der IT-Sicherheit gibt es Einzelfälle, in denen der betreffende Mitarbeiter sogar vom Unternehmen angezeigt wurde. Mitarbeitende geben Fehler deshalb aus Angst nicht zu und suchen nach Möglichkeiten, sie zu vertuschen, was wiederum die Folgen verschlimmern kann.
Bei einer positiven Fehlerkultur wird offen und ehrlich über Fehler gesprochen. Fehler werden zwar auch als solche deklariert, aber mit einem konstruktiven Ansatz: Wie kam der Fehler zustande, wie lässt er sich in Zukunft vermeiden und was kann man generell aus dem Fehler lernen? Je nach Art des Fehlers werden Präventionsmaßnahmen ergriffen. Im Kern geht es darum, Fehler nicht als Schuldzuweisung zu betrachten, sondern als Lerngelegenheit – für Arbeitnehmer:in, Arbeitgeber:in und das Unternehmen insgesamt. Manche Unternehmen sprechen daher auch bewusst von einer „Lernkultur“ statt einer „Fehlerkultur“.
Konstruktiver Umgang mit Fehlern
Der Umgang mit Fehlern hängt natürlich auch von der Art des Fehlers und den daraus entstandenen Folgen ab. Einmalige Fehler und Wiederholungsfehler erfordern jeweils einen unterschiedlichen Umgang. Ebenso haben technische, systematische oder inhaltliche Fehler unterschiedliche Bewandtnis und ob ein Fehler nur geringe Auswirkungen oder weitreichende Folgen hatte, spielt bei dem Umgang damit natürlich ebenfalls eine essentielle Rolle.
Für eine positive Fehlerkultur sind im Kern vor allem zwei Dinge wichtig:
- Rückendeckung durch die Führungsebene: Um eine positive Fehlerkultur zu etablieren, braucht es einen entsprechenden Umgang der Führungsebene mit Fehlern. Wenn Mitarbeitende keine Angst vor persönlichen Konsequenzen haben müssen, sondern darin gefördert werden, Fehler anzusprechen und beheben zu wollen, dann stärkt das die Unternehmenssicherheit.
- Fehlerkultur im Team: Ein konstruktiver Umgang mit Fehlern ist Teamsache. Es braucht Vertrauen und einen guten Zusammenhalt innerhalb des Teams, damit Fehler offen angesprochen und gemeinsam daran gearbeitet werden kann. Deshalb ist es sinnvoll, die Zusammenarbeit und das Teamwork aktiv zu fördern.
Neues Seminar zum Thema „Fehlerkultur“
Eine offene Fehlerkultur ist ein wichtiger Bestandteil von Cyber-Resilienz. Deshalb bieten wir zu dieser Thematik von der isits AG ein neues Seminar an, das als eintägige Schulung jeweils im September und Dezember dieses Jahr in Bochum stattfindet.
Die Schulung ist für alle Interessenten gedacht und an keine formalen Voraussetzungen gebunden. In der Schulung wird unter anderem näher auf die unterschiedlichen Arten von Fehlern eingegangen, wie Fehler vermieden werden können und wie Sie ganz praktisch eine positive Fehlerkultur in Ihrem Unternehmen etablieren können. Hier können Sie sich informieren und zu dem Seminar anmelden: Fehlerkultur in der IT-Sicherheit
geschrieben von
Annika Brockhaus, für die isits AG International School of IT Security