«Awareness muss kontinuierlich gelebt werden»

Katja Dörlemann, wie definieren Sie Cyber Resilience aus der Perspektive des «Faktors Mensch»?
Cyber Resilience heisst für uns als Nutzerinnen und Nutzer: zu verstehen, was im Ernstfall zu tun ist, und ein Gefühl für den Kontext der Bedrohungslage zu haben. In Organisationen spielt der Faktor Mensch eine Schlüsselrolle. Vorfälle melden, bearbeiten, nachbereiten – das alles passiert durch Menschen. Und wenn diese in ihrer Rolle vorbereitet sind und wissen, wie sie mit dem Stress umgehen können, wird die Organisation als Ganzes widerstandsfähiger.

Was sind typische Verhaltensmuster, die IT-Systeme angreifbar machen – und wie lässt sich das Bewusstsein dafür stärken?
Schwaches Passwortmanagement und Phishing sind die Klassiker. Das Bewusstsein, dass das ein Problem ist, fehlt meistens gar nicht – viele wissen durchaus Bescheid. Aber wenn der sichere Weg meine Arbeit behindert und ich keinen Nutzen darin sehe, nehme ich den Mehraufwand oft nicht in Kauf. Da reicht dann auch das beste Training nicht aus. 

Warum ist Security Awareness kein einmaliger Akt, sondern ein Prozess?
Weil Organisationen und ihre Mitarbeitenden sich permanent verändern. Die meisten wissen, wie sie sich richtig verhalten sollten – und tun es trotzdem nicht. Warum? Oft, weil im sich stetig wandelnden Arbeitsalltag Prozesse und Tools nicht passen oder weil Vorbilder fehlen. Awareness ist nicht einfach ein Kurs, sondern eine Haltung der gesamten Organisation, die ständig erneuert und gelebt werden muss.

Wo sehen Sie die grössten Lücken im Sicherheitsverhalten?
Ich sehe die grössten Schwächen oft auf Seiten der Organisationen. Es ist nicht immer einfach für Mitarbeitende, sich sicher zu verhalten, wenn ihnen die passenden Mittel fehlen. Gibt es einen Passwortmanager? Wurde er erklärt? Gehört es zu meinen Zielen, Sicherheitsvorgaben umzusetzen? Das muss gewährleistet sein.

Wie wichtig ist die Community für den Fortschritt in der Awareness-Arbeit?
Sehr wichtig. Awareness ist ein junges Feld. Wir können nicht auf jahrzehntelange Erfahrung zurückgreifen wie andere Disziplinen. Deshalb ist der Austausch mit anderen unerlässlich – um voneinander zu lernen und schneller besser zu werden.

Welche Rolle spielt Empathie in der Cybersicherheitskommunikation?
Empathie ist absolut zentral. Wer Menschen überzeugen will, muss verstehen, was sie bewegt, und ihre Sprache sprechen. Schuldzuweisungen bringen nichts – am besten vermeidet man sie gleich von Anfang an.

Als Präsidentin der Swiss Internet Security Alliance: Wo setzt die Allianz Schwerpunkte?
Wir fördern den Austausch zwischen Fachleuten und Praktikern und bereiten Informationen für Internetnutzer und -nutzerinnen auf, etwa über iBarry.ch. Das sind unsere Kernaufgaben. 

Wie kann man Führungskräfte dafür sensibilisieren, dass Cybersicherheit kein reines IT-Thema ist?
Indem man sich ehrlich mit ihnen auseinandersetzt. Wer weiss, was Führungskräfte antreibt, kann das Thema entsprechend platzieren – als Wettbewerbsvorteil, Risikominimierung, Reputationsgewinn. Wenn Cybersicherheit für sie trotzdem keine Priorität hat, bleibt nur: die Risiken aufzeigen und die Entscheidung akzeptieren.

Was möchten Sie mit Ihrer Keynote an der Digital Conference Ostschweiz bewirken?
Mir ist wichtig, dass der Mensch in der Cybersicherheitsdiskussion nicht zu kurz kommt. Mitarbeitende müssen von Anfang an mitgenommen werden – nicht erst ganz am Ende via eLearning, wenn schon alles entschieden ist. Meine Botschaft richtet sich an Verantwortliche und Führungskräfte, die diesen blinden Fleck noch haben.

Was kann die Geisteswissenschaft der Cybersicherheit beibringen?
Literatur zeigt, wie man Botschaften in Geschichten verpackt, die Menschen berühren. Wir lernen an Beispielen, in einem verständlichen Kontext. Das funktioniert in der Cybersicherheit genauso gut.