Cyber-Security vs. Handlungsfähigkeit: drei Tipps für die richtige Balance

Wer Sicherheitsrichtlinien zu strikt auslegt, riskiert Umgehungslösungen seitens der Mitarbeiter*innen. Wer sie zu locker handhabt, öffnet Tür und Tor für Angriffe. Der Schlüssel liegt in der Balance – und die ist alles andere als trivial. 

Wie gelingt es, technische Schutzmaßnahmen so zu gestalten, dass sie nicht als Einschränkung wahrgenommen werden? Welche Rolle spielt die Unternehmenskultur in der Cyber-Security? Und wie kann eine enge Zusammenarbeit zwischen IT und Fachbereichen gelingen, um Sicherheitsziele und geschäftliche Anforderungen in Einklang zu bringen?

Diese und weitere Fragen beantworten unsere Experten Christopher Hock und Dr. Roman Krepki. Sie geben drei Tipps, wie Sie den Spagat zwischen Sicherheit und Handlungsfähigkeit meistern können. Und sie zeigen, warum Cyber-Security ein integraler Bestandteil der IT-Transformation ist, die Unternehmen angehen sollten, um zentrale Herausforderungen zu lösen, die ihre IT-Landschaft betreffen.

Tipp #1: Kooperation statt Silodenken 

„Sicherheitsteams sollten eng mit den Fachabteilungen zusammenarbeiten, um deren IT-Bedürfnisse zu verstehen, geeignete Lösungen zu entwickeln und Vorgaben argumentiert und transparent zu kommunizieren. Alle Beteiligten müssen die Gründe hinter IT-Maßnahmen verstehen und darauf vertrauen, dass sie darauf abzielen, die gemeinsamen Geschäftsziele zu erreichen. Dann sind Mitarbeiter*innen eher bereit, diese Vorgaben auch einzuhalten“, erklärt Christopher Hock, Director bei Forvis Mazars.

Zu strenge Richtlinien fördern hingegen das Entstehen von Schatten-IT, also teils riskanten Umgehungslösungen seitens der Mitarbeiter*innen mit Hard-, Software oder Cloud-Diensten, deren Verwendung nicht mit der IT-Abteilung abgestimmt wurde. „Der effektivste Ansatz, um alle Mitarbeiter*innen mitzunehmen, kombiniert technische Kontrollen mit internen Kommunikations- und Trainingsmaßnahmen. Ein Cyber-Security-Konzept kann nur nachhaltig wirken, wenn man dieses in der Unternehmenskultur verankert und die Mitarbeiter*innen aktiv einbindet“, so Hock.

Eine enge Partnerschaft der IT mit den Fachabteilungen könne zudem gegenseitiges Vertrauen schaffen, und kompensierende Maßnahmen wie Monitoring helfen den Cyber-Teams, das Nutzerverhalten im Blick zu behalten. Dr. Roman Krepki, Senior Manager und Experte für Cyber-Security bei Forvis Mazars, betont: „Hier ist ein Cyber-Security-Officer gefragt, der die Bedürfnisse des Business versteht, um Regeln und Governance so aufzubauen, dass die Geschäftsprozesse nicht gehemmt werden. Nur so wird aus dem „Show-Stopper“ Sicherheit ein „Business Enabler“.“

Tipp #2: Zielgruppenorientierte Awareness und eine konstruktive Fehlerkultur

„Ein wirksames Cyber-Security-Konzept muss ansprechend und zielgruppengerecht umgesetzt werden“, erklärt Dr. Roman Krepki. Dies könne auch spielerisch erfolgen, z. B. durch Gamification und über unterschiedliche Kommunikationskanäle: vom Podcast über Artikel bis hin zu Praxis-Workshops.

Alle Awareness-Maßnahmen sollten zielgerichtet auf die unterschiedlichen Rollen im Unternehmen und die Erfahrungslevel der Mitarbeiter*innen abgestimmt sein: Führungskräfte benötigen beispielsweise andere Inhalte als IT-Fachkräfte. „Es darf kein Überforderungsgefühl ausgelöst werden“, betont Krepki. Daher müsse sich der Cyber-Security-Officer in die Fachbereiche hineinversetzen, um die richtigen Aktivitäten zu planen. Diese werden als greifbarer empfunden und verinnerlicht, wenn reale Cyber-Angriffe oder aktuelle Phishing-Vorfälle aus dem eigenen Branchenumfeld aufgezeigt werden.

Hinzu kommt der richtige Umgang mit Fehlern: Wenn Vorgesetzte offen über ihre eigenen Versäumnisse sprechen, ermutigt das u. a. Mitarbeiter*innen, verdächtige Vorfälle ohne Angst vor Sanktionen zu melden oder eigene Unsicherheiten zu kommunizieren. Zudem benötigt es klare, zeitsparende Meldeprozesse über anonyme, digitale Kanäle. „Je unkomplizierter der Prozess, desto eher wird er genutzt“, so Krepki.

Tipp #3: IT-Transformation als Führungsauftrag

„Cyber-Security gehört auf die Agenda der Unternehmensführung. Wenn Führungskräfte aktiv an Sicherheitsinitiativen teilnehmen und regelmäßig über Vorfälle, Schwachstellen sowie Fortschritte informiert werden, wird IT-Sicherheit als gemeinsames Anliegen des Unternehmens und strategischer Bestandteil der digitalen Transformation wahrgenommen – nicht als isolierte Fachdisziplin“, erklärt Krepki.

Sicherheitsaspekte sollten daher regelmäßig in Management-Meetings und strategischen Entscheidungen berücksichtigt werden. Wer Cyber-Security als geschäftskritischen Faktor begreift und nach außen vermittelt – etwa bei Investitionen, Partnerschaften oder Produktentwicklungen – stärkt ihre Bedeutung für das gesamte Unternehmen.

Führungskräfte haben dabei eine zentrale Vorbildfunktion: Wenn sie mit gutem Beispiel vorangehen, Sicherheitsprinzipien sichtbar umsetzen und konsequent einfordern, schaffen sie Vertrauen und fördern eine Sicherheitskultur, die auf intrinsischer Motivation statt auf Kontrolle basiert.

Fazit: Den Balanceakt als Teil der IT-Transformation meistern

Der Spagat zwischen Cyber-Security und geschäftlicher Handlungsfähigkeit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess – und ein zentraler Bestandteil jeder IT-Transformation. Sie verlangt nicht nur technische Lösungen, sondern auch organisatorisches Verständnis, klare Kommunikation und Führung mit Haltung. Das schafft die nötige Balance zwischen Schutz und Produktivität, Kontrolle und Vertrauen.

Weitere Informationen zum Thema Cyber-Security haben wir hier für Sie in unserem englischsprachigen Report zusammengestellt.

Haben Sie noch Fragen an unsere Expert*innen? Dann setzen Sie sich gern mit uns in Verbindung – wir unterstützen Sie dabei, Ihre IT-Sicherheit strategisch, praxisnah und zukunftsorientiert weiterzuentwickeln.