Erinnern Sie sich, wie wir nach Covid wieder zusammenkommen konnten? Das lag nicht daran, dass jeder "für sich" bestimmte, wie lange er sich die Hände waschen sollte. Es funktionierte erst, als klare, gemeinsame Regelnfür alle galten: einheitliche Abläufe, Nachverfolgung und eine Art "Hygienepass", der zeigte, dass Verantwortung übernommen wurde. Nicht für sich selbst, sondern für alle. Cyberhygiene funktioniert genauso. Sie wird von Einzelnen umgesetzt, ja. Aber sie gehört und wird gesteuertvom Unternehmen. Punkt.
Klärung der Verantwortung:Wir wollen persönliche Cyberhygiene, aber sie ist nicht privat. Die Einzelperson führt Maßnahmen aus (meldet sich mit Mehrfaktor an, aktualisiert, meldet Auffälligkeiten); das Unternehmen bestimmt, ermöglicht und trägt Verantwortung (macht Mehrfaktor verpflichtend, pusht Updates, erleichtert das Melden, überprüft die Wirksamkeit). Persönliches Verhalten ohne gemeinsame Regeln ist Zufall; gemeinsame Regeln ohne technische Unterstützung sind Theater. Es spielt keine Rolle, ob Experten individuelle Ratschläge zur persönlichen Cyberhygiene geben – das führt eher zu Fehlern als zu Erfolgen. Die Einzelperson ist bestenfalls ausführend. Das Unternehmen trägt die Verantwortung.Kollektive Cyberhygiene entsteht erst, wenn Standards, Werkzeuge und Nachverfolgung sachlich und tatsächlich das Richtige für alle einfach machen. Und dann wird die Verantwortung nach oben getragen.
Heute sprechen wir immer noch von Dingen wie "Nicht klicken", "Seien Sie misstrauisch", "Aktualisieren Sie öfter", als wäre Cybersicherheit eine Frage des Gewissens und kein System. Doch die Daten sind eindeutig: Social Engineering, geleakte Daten und Lieferantenwege treiben weiterhin Angriffe voran. Anders gesagt: Sie können den Nutzer nicht durch Ermahnungen aus einer schlecht gestalteten Umgebung "herausbekommen" und hoffen, dass einzelne cyberhygienische Maßnahmen den Tag retten. Es braucht kollektive Regeln, sichere Standards und messbare Effekte. (Verizon, 2024; ENISA, 2021).
Die unbequeme Wahrheit
Wir reden gern von Menschen als "schwacher Link" (ich gehöre definitiv dazu), selten aber von Organisationen als feindliche Umgebung. Boni und KPIs belohnen Schnelligkeit, während Sicherheit durch das Ausbleiben von Vorfällen honoriert wird (also unsichtbarer Erfolg). Wer bremst, wird zum "Problem". Das ist kein Verhalten, sondern Steuerung und Anreizsystem.
Und wir moralisieren: "Du hast geklickt" – wenn das als persönliche cyberhygienische Verantwortung dargestellt wird, ist das nichts anderes als ein Zeigefinger, der Systemfehler individualisiert. Das Ergebnis: Schweigekultur, Schatten-IT, verspätete Alarme und größere Schäden. Forschungen zeigen, dass psychologische Sicherheit (die Möglichkeit, ohne Scham Alarm zu schlagen) frühere Warnsignale und schnellere Entdeckung bringt. Angst wirkt kurzfristig, schädigt aber langfristig die Compliance. (Edmondson, 1999). Wer meine früheren Texte kennt, mag hier innehalten und sagen, ich hätte Cyberpsychologie und Schulungen befürwortet. Das ist richtig. Doch was ich jetzt schreibe, betrifft schlechte Psychologie und noch schlechtere Ausbildungsstrategien.
Hygiene, wirklich: von persönlichen Gewohnheiten zu kollektiven Spielregeln
Ein deutliches, unbestreitbares Beispiel: Als die Gesellschaft nach Covid wieder öffnen musste, reichte es nicht, wenn "einige gut waren". Das Verhalten aller musste vorhersehbar werden durch klare, gemeinsame Regeln. Übertragen auf Cyber bedeutet das: sichere Standardeinstellungen, einheitliche Arbeitsweisen und Nachweise, dass es tatsächlich funktioniert – nicht nur mehr Poster in der Teeküche. (Verizon, 2024).
Deshalb sind Lieferanten keine Randnotiz. Es reicht, dass eine Partei schlampig ist, damit alle anderen betroffen sind. ENISA zeigt, wie Angriffe über die Lieferkette zunehmen und immer raffinierter werden. In der Hygiene-Analogie: Man lädt nicht zu einem gemeinsamen Buffet ein, wenn das Catering nicht dieselben Regeln befolgt. (ENISA, 2021).
Zwei anschauliche Vergleiche, die schwer zu widerlegen sind
Händewaschen hilft nur, wenn Wasser aus dem Hahn kommt. Die Gewohnheit des Einzelnen ist wertlos, wenn das System (der Hahn) nicht an ist: Sichere Standardoptionen müssen aktiv sein, nicht nur "möglich". Es ist die Pflicht des Unternehmens, das sicherzustellen.
Hygienepass für soziale Kontakte. Zutritt zum Raum setzt gemeinsame Regeln und Nachweise voraus. In der Cyberwelt gilt dasselbe: Ohne nachgewiesene Hygiene (Updates, Login-Schutz, Wiederherstellungsfähigkeit) sollte man nicht in fremde Umgebungen gelassen werden. Das ist keine Strafe, sondern Fürsorge für das Kollektiv.
Warum der Fokus auf das Individuum verlockend, aber auch irreführend ist
Aufklärungskampagnen und "Phishing-Tests" klingen gut und wirken handlungsfähig. Die Forschung ist jedoch uneinheitlich: Die Wirkung ist oft vorhanden, aber kurzlebig und unsicher über die Zeit. Das bedeutet nicht, dass Schulungen nutzlos sind, sondern dass keine Schulung schlechte Gestaltung ausgleichen kann. (Bada & Sasse, 2020; Falling & failing…, 2024).
Außerdem werden Regeln manchmal eher zur Disziplinierung als zum Schutz genutzt: Überwachung, Kontrolle, Verantwortung wird nach unten delegiert. Wer das ausspricht, legt Machtungleichheiten offen, aber Organisationen, die Cybersicherheit entpolitisieren, erhalten ehrliche Berichte und bauen echte Resilienz auf.
Drei einfache "Hände waschen"-Tipps für kollektive Cyberhygiene
Machen Sie das Sichere automatisch. Aktivieren Sie die Mehrfaktorauthentifizierung für alle, standardisieren Sie sichere Konfigurationen und beheben Sie kritische Schwachstellen schnell (messen Sie in Tagen, nicht in Quartalen). So werden echte Angriffsflächen reduziert, wie die Statistik zeigt. (Verizon, 2024).
Messen Sie drei Werte jede Woche.a) Medianzeit bis zum Update, b) Abdeckung der Mehrfaktorauthentifizierung, c) Zeit von Alarm bis zur Reaktion (Erkennung/Wiederherstellung). Berichten Sie diese an die Führungsebene, denn Hygiene ist kollektiv. (Verizon, 2024).
Machen Sie die Lieferkette sicher. Fordern Sie von Lieferanten einen "Hygienepass": Nachgewiesene Prozesse für Updates und Schwachstellenmanagement, klare Kontaktwege und die Möglichkeit, den Zugriff schnell zu sperren und testen, ob das funktioniert. (ENISA, 2021).
Das ist kein weiterer Zeigefinger gegenüber Einzelnen, sondern praktische Führung: Umgebungen schaffen, in denen das Einfache richtig ist, Fehler keine Katastrophen auslösen und alle erst eintreten, wenn das Hygieneniveau kollektiv stimmt. Wer von individueller Moral zu kollektiver Hygiene wechselt, ist nicht nur sicherer, sondern auch wählbar in anderen Ökosystemen. Und vielleicht ist das die wahre Bedeutung von Cybersicherheit und Cyberhygiene: eine Frage der Wahlmöglichkeit in einer zunehmend wettbewerbsorientierten digitalen Welt.
Quellen (APA)
Bada, M., & Sasse, A. (2020). Welche (wenn überhaupt) Verhaltensänderungstechniken nutzen staatlich geführte Cybersicherheitskampagnen?Journal of Cybersecurity, 6(1).
Edmondson, A. C. (1999). Psychologische Sicherheit und Lernverhalten in Arbeitsteams.Administrative Science Quarterly, 44(2), 350–383.
ENISA. (2021).Bedrohungslage bei Angriffen auf Lieferketten.Agentur der Europäischen Union für Cybersicherheit.
Verizon. (2024).Data Breach Investigations Report (DBIR 2024).Verizon Business.
