Katja Dörlemann
Expertin für Human-Centred Security bei Switch, Präsidentin der Swiss Internet Security Alliance und Vorstandsmitglied bei Women in Cyber Switzerland
Mit der fortschreitenden Digitalisierung wird immer deutlicher: Der entscheidende Faktor in der Cybersicherheit ist nicht nur die Technologie, sondern der Mensch. Denn Menschen treffen die zentralen Entscheidungen – darüber, ob Sicherheitsmassnahmen eingeführt, finanziert und tatsächlich gelebt werden.
Die nationale Cyberstudie 2024 sowie KMU Cybersicherheit 2025 (cyberstudie.ch) zeichnen ein paradoxes Bild: Sowohl die Schweizer Bevölkerung (2024) als auch kleine und mittlere Unternehmen (2025) sehen dringenden Handlungsbedarf. Dennoch bleibt das Handeln hinter der Erkenntnis zurück. Nur noch 40 Prozent der Unternehmen planen, ihre Cybersicherheitsmassnahmen in den nächsten ein bis drei Jahren zu erhöhen – 2024 waren es noch 48 Prozent. Diese Diskrepanz zwischen Bedrohungswahrnehmung und Handlungsbereitschaft verweist auf ein zentrales Problem: Cybersicherheit wird häufig als technisches Randthema verstanden, während der menschliche Faktor, der letztlich über den Erfolg oder Misserfolg von Sicherheitsstrategien entscheidet, zu wenig berücksichtigt wird.
Der Mensch steht im Spannungsfeld von Technologie und Alltag. In vielen Organisationen wird Cybersicherheit nach wie vor reaktiv behandelt – sie wird erst berücksichtigt, wenn bestehende Systeme erweitert oder neue Technologien eingeführt werden. Bei der Entwicklung von Sicherheitsmassnahmen und -technologien liegt der Fokus meist auf technischer Perfektion, weniger auf der Benutzerfreundlichkeit oder der Integration in alltägliche Arbeitsabläufe. Cybersicherheit, die den Alltag erschwert, wird umgangen, sie bleibt wirkungslos.
Diese einseitige Perspektive führt dazu, dass Vorgaben als hinderlich oder unpraktisch wahrgenommen werden. Anwenderinnen und Anwender stehen vor der Herausforderung, sicherheitskonformes Verhalten in einen ohnehin dichten Arbeitsalltag zu integrieren. Aktivitäten wie die Prüfung potenziell betrügerischer E-Mails, das Erlernen sicherer Passwortpraktiken oder die sorgfältige Datenklassifizierung sind zeitaufwendig und bieten keinen unmittelbaren individuellen Nutzen.
Die allgemeine Annahme ist, dass Mitarbeitende sich sicher verhalten, sobald sie ausreichend geschult wurden. Menschen brauchen allerdings mehr als ein gutes E-Learning: Der zusätzliche Aufwand muss sich lohnen.
Es erfordert Zeit, sich genau mit potenziell betrügerischen E-Mails auseinanderzusetzen, der Schulung aufmerksam zu folgen, den Passwortmanager einzurichten und das Dokument zu klassifizieren. Es erfordert situativ relevantes Wissen, um die Risiken einschätzen und auf Bedrohungen im jeweiligen Kontext reagieren zu können. Und es erfordert unterstützende Technologie und Prozesse, um komplexe, einzigartige Passwörter zu managen, betrügerische E-Mails leichter zu erkennen oder die Phishingmail zu melden.
In vielen Organisationen erfolgt dieser zusätzliche Aufwand ohne strukturelle Anerkennung. Sicheres Verhalten wird erwartet, aber selten als Teil der Leistungsziele oder der Arbeitszeit berücksichtigt. Daraus ergibt sich ein motivationales Defizit: Der Aufwand ist hoch, der wahrgenommene Nutzen gering.
Die Herausforderungen für Führung und Organisation sind gross. Als Führungskraft liegt das Hauptaugenmerk auf dem Fortbestand der Organisation. Die Berücksichtigung des Themas Cybersicherheit ist dafür unverzichtbar. Aber in welchem Ausmass? Es ist nicht leicht, einen Überblick zu gewinnen und das Verhältnis zwischen Nutzen und Aufwand realistisch einzuschätzen. Eine umsichtige und vertrauensvolle Beratung ist wichtig, um die Entscheidung für die zum jeweiligen Geschäft passenden Sicherheitsmassnahmen zu unterstützen.
Expertinnen und Experten fällt es allerdings häufig schwer, das Risiko einer schwachen Cybersicherheitsstrategie verständlich zu kommunizieren sowie die Verantwortung der Führung klar darzustellen. Standards wie der IKT-Minimalstandard oder ISO 27001 bieten wertvolle Orientierung, aber nicht zwingend die nötige Hilfe bei der Planung der konkreten Massnahmen.
Austausch und vereinte Expertise über Organisationsgrenzen hinweg können hier dienlich sein, um Ressourcen zu bündeln und den eigenen Standpunkt zu reflektieren.
Ein Beispiel dafür ist die Swiss Internet Security Alliance (SISA) – das nationale Netzwerk für Cybersicherheit engagiert sich seit 2014 mit Partnern aus Wirtschaft, Behörden und Bildung für eine sichere digitale Zukunft. Mit Kampagnen, praxisnahen Materialien, Tools und aktivem Netzwerk stärkt sie Bewusstsein, Kompetenz und Austausch für cybersicheres Verhalten.
Im besten Fall unterstützt Cybersicherheit den Alltag einer Organisation, anstatt ihn zu behindern, und wird Teil des bestehenden Arbeitsprozesses. Tools und Prozesse sollen so gestaltet sein, dass sicheres Verhalten der einfachste Weg ist – nicht der komplizierteste. Beispiele sind ein vorinstallierter Passwortmanager, komfortable Data-Sharing-Plattformen oder ein intuitiver Meldeprozess. Wenn Sicherheit reibungslos in den Arbeitsalltag eingebettet ist, wird sie weniger aufwendig und kostet weniger Zeit und Nerven.
Der Faktor Mensch muss als aktiver Mitgestalter verstanden werden, er ist Teil der Lösung. Das bedeutet: Er muss verstanden, befähigt und eingebunden werden. Nur so kann Cybersicherheit im Alltag wirken – nicht als Bremse, sondern als Unterstützung.
Cybersicherheit ist längst keine reine IT-Frage mehr, sondern eine Führungsaufgabe. Sie verlangt nicht, dass Führungskräfte selbst zu Expertinnen und Experten werden – wohl aber, dass sie Verantwortung übernehmen, sich informieren und mit gutem Beispiel vorangehen. Die KMU Cybersicherheit 2025 bestätigt diese Sicht: Die befragten IT-Dienstleistungsunternehmen empfehlen ihren Kundinnen und Kunden an erster Stelle, Cybersicherheit ernster zu nehmen (36 Prozent). Auf Platz zwei folgen Personalschulungen (26 Prozent), erst danach technische Massnahmen wie Systemupdates (15 Prozent).
Jede Führungskraft muss sich heute bewusst mit Cyberrisiken auseinandersetzen und fundiert entscheiden, welches Risiko ihre Organisation eingehen kann – und welches nicht. Gleichzeitig müssen Expertinnen und Experten Cybersicherheit als Unterstützung zentraler Arbeitsprozesse verstehen – und diese im Dialog mit den Menschen gestalten, die sie täglich anwenden. Am Ende entscheidet nicht die Technologie über Sicherheit, sondern der Mensch, der sie nutzt.
Text Katja Dörlemann, Expertin für Human-Centred Security bei Switch, Präsidentin der Swiss Internet Security Alliance und Vorstandsmitglied bei Women in Cyber Switzerland
Schreibe einen Kommentar