In einer digitalen und modernen Arbeitswelt, in der Cyberrisiken täglich zunehmen, reicht es nicht, Verantwortung für IT-Sicherheit allein in der Geschäftsleitung zu verankern. IT ist Chefsache – aber sie ist auch Teamsache, Kultursache und Prozesssache. Am Ende entscheidet immer das Zusammenspiel aus Technik, Verhalten und Führung darüber, wie sicher ein Unternehmen wirklich ist. Denn: Cybercrime kennt keine Hierarchien.
Ein stark unterschätzter Faktor in der IT-Sicherheit ist die gelebte Fehlerkultur. Mitarbeitende müssen sich sicher fühlen – nicht nur im technischen Sinn, sondern auch im menschlichen. Sie sollen sich trauen, Fragen zu stellen, Unsicherheiten anzusprechen oder Verdachtsmomente zu melden, ohne Angst vor Schuldzuweisungen zu haben. Entscheidend ist nicht, dass alles reibungslos läuft, sondern dass Vorfälle rechtzeitig erkannt und adressiert werden, bevor sie eskalieren können. Schweigen aus Angst bringt niemandem etwas. Wer Sicherheit will, muss Vertrauen schaffen.
Ein eindrückliches Beispiel aus unserem eigenen Alltag war ein CEO-Fraud-Versuch. Eine unserer Kolleginnen erhielt eine E-Mail – angeblich von mir, dem Geschäftsführer – mit der dringlichen Bitte, Apple-Gutscheine für Kundengeschenke zu besorgen und die Codes zu schicken. Die Nachricht wirkte glaubwürdig, die Sprache war professionell und der Ton dringlich. Sie reagierte zunächst, frage per E-Mail nach, was genau ich brauche und erhielt prompt eine noch drängendere Antwort. Sie wurde aber stutzig – und fragte direkt bei mir nach. Damit deckte sie den Betrug auf, noch bevor etwas passieren konnte. Diese Erfahrung hat unser Team mehr sensibilisiert als jedes noch so gute Online-Training. Warum? Weil es real war und weil uns wieder einmal mehr klar wurde, dass jede einzelne Reaktion zählt.
Viele Unternehmen setzen auf standardisierte E-Learning-Module zur IT-Sicherheit. Sie erfüllen eine wichtige Funktion – bleiben aber oft abstrakt und wenig einprägsam. Wesentlich wirksamer sind Formate, die realitätsnah, interaktiv und teamorientiert aufgebaut sind. Wenn Menschen über echte Fallbeispiele nachdenken, gemeinsam Szenarien durchspielen oder sogar spielerisch in Form von Gamification lernen, bleibt das Thema nicht nur besser hängen, sondern es wird zur gemeinsamen Aufgabe.
Sicherheitskultur wird nicht ausschliesslich über Richtlinien eingeführt und verordnet – sie wird beobachtet und gelebt. Führungspersonen spielen dabei eine zentrale Rolle: Wenn Vorgesetzte nämlich offen mit eigenen Unsicherheiten oder auch kleinen Fehlentscheidungen umgehen, aktiv Feedback einholen und dieses ernst nehmen und Meldungen wertschätzen statt sanktionieren, senden sie ein starkes Signal an ihr Team. Es geht nicht darum, perfekt zu sein – sondern glaubwürdig.
In der Praxis erleben wir häufig, dass Awareness vorhanden ist, aber nicht umgesetzt wird – schlicht, weil niemand weiss, wohin mit einem Verdacht: Wer ist zuständig? Was passiert mit der Meldung? Wird sie ernst genommen? All das sind zentrale Fragen, die ein Unternehmen nicht dem Zufall überlassen darf. Es braucht klare, einfach zugängliche und gut kommunizierte Prozesse. Nur dann wird aus Bewusstsein auch Handlung. Nur dann wird aus Beobachtung eine Reaktion.
Natürlich spielt Technik weiterhin eine zentrale Rolle: Ohne moderne Sicherheitslösungen ist kein Unternehmen heute ausreichend geschützt. Dazu gehören intelligente E-Mail-Filter, Antivirenlösungen, die auch neue Bedrohungsformen (z.B. durch KI) erkennen, funktionierende und regelmässig geprüfte Backups, aktuelle Software, sichere Passwortverwaltung und wo immer möglich Zwei-Faktor-Authentifizierung. Technik schafft den Rahmen – aber sie ersetzt nicht das, was Menschen täglich tun – oder eben unterlassen.
Auch mit aller Vorbereitung kann es zu einem Vorfall kommen. Dann zählt, dass schnell und gezielt reagiert werden kann. Ein funktionierender Notfallplan ist deshalb kein «Nice-to-Have», sondern eine Pflicht, die – wie ein Feueralarm – regelmässig geübt wird. Ein klarer Ablauf mit definierten Eskalationsstufen, festen Rollen innerhalb des Unternehmens und der Einbindung externer Spezialisten entscheidet im Ernstfall über Schadensbegrenzung oder Kontrollverlust.
Also: IT-Security ist nicht nur Chefsache – aber sie beginnt dort. Sie betrifft alle im Unternehmen. Erst wenn Technik, Prozesse, Verhalten und vor allem eine gelebte Kultur des Vertrauens ineinandergreifen, entsteht eine Sicherheitsarchitektur, die nicht nur auf dem Papier funktioniert. Denn wer sich sicher fühlt, meldet frühzeitig. Wer weiss, was zu tun ist, reagiert richtig. Und wer Verantwortung übernimmt, schützt nicht nur Daten – sondern das ganze Unternehmen.
Claudio Zala ist Inhaber und Geschäftsführer der Föllmi ICT AG. Nach seiner Ausbildung zum Informatiker bei der Schweizerischen Post nahm er eine Stelle bei der damaligen Büro Föllmi AG an. Mit dem Fokus auf Managed Services gestaltete er die Entwicklung des Unternehmens aktiv mit und absolvierte parallel mehrere Weiterbildungen. Zehn Jahre später übernahm er im Rahmen die Nachfolgeregelung die Leitung der Firma, richtete das Unternahmen klar auf Informatik aus, vervollständigte das Angebot um Providerdienste und baute die heutige Niederlassungsstruktur auf.
Claudio Zala ist Unternehmer aus Überzeugung. Er lebt mit seiner Lebenspartnerin in Heiligkreuz, ist gerne in Bewegung - und begeistert sich für alles, was Motoren hat.
Stellen Sie mit wenigen Klicks Ihre IT-Lösung zusammen.
Jetzt konfigurieren!Um unsere Website für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.