Cyberattacken zählen zu den grössten Bedrohungen für Gesellschaft und Wirtschaft. Der häufigste Ansatzpunkt solcher Angriffe ist das Social Engineering – und damit steht der Mensch im Zentrum. Menschen sind durch ihren kulturellen Hintergrund geprägt – oder präziser gesagt: Jede Person ist durch mindestens einen kulturellen Hintergrund geprägt. Wie wirkt sich diese nationale kulturelle Prägung eigentlich auf unser Cybersecurity-Verhalten aus?
Symbolbild Firefly
Das Zusammenspiel von nationaler Kultur und Cybersecurity ist ein Aspekt, der von der Wissenschafts-Community bisher wenig beleuchtet wurde. Meine Frage als Forscherin lautete daher: Welche Dimensionen von nationaler Kultur haben einen Einfluss auf das Cybersecurity-Verhalten?
Aber: Warum ist das überhaupt relevant zu wissen? Nun ja, gerade die Schweiz ist eine sehr international ausgerichtete Wirtschaftsnation. Die Teams in den Unternehmen sind häufig äusserst divers zusammengestellt.
Nehmen wir einmal meine Forschungsgruppe, das Competence Center Digital Trust: Wir haben aktuell zehn Mitarbeitende aus fünf verschiedenen Nationen. In einem solchen Umfeld wird deutlich: Culture matters! Es lohnt sich, über den Tellerrand zu blicken – auch beim Verhalten im Cyberspace.
Unser Forschungsprojekt
Um erste Antworten auf meine Forschungsfrage zu finden, hat sich unser Team mit einem Partner aus einem anderen Kulturkreis zusammengetan – wir starteten eine Kollaboration mit den sehr engagierten Forschenden der Biaka University Institute of Buea (BUIB) aus Kamerun.
Ein erster Ansatzpunkt, um den Zusammenhang von nationaler Kultur und Cybersecurity-Verhalten zu erforschen, war die Literatur. Hier hat sich das Modell der Kulturdimensionen von Hofstede als sehr passend erwiesen. Es ist eines der bekanntesten Kulturmodelle und definiert insgesamt sechs Dimensionen, die sehr dienlich für interkulturelle Zusammenarbeit sind.
Aber: Modelle sind eben immer «nur» Modelle und können (und wollen auch) gar nicht die Komplexität des echten Lebens vollumfänglich abbilden. Daher war für uns der Kontakt zu Personen «aus dem Feld» eine weitere zentrale Quelle. Wir führten qualitative Interviews mit relevanten Stakeholdern in der Schweiz und Kamerun durch, darunter Expertinnen, Lehrkräften, Chief Security Officers (CTO) und Studierenden im Bereich Cybersecurity.
Um eins vorwegzunehmen: Im Folgenden schildere ich auszugsweise einige spannende Ergebnisse aus unserem kleinen Forschungsprojekt. Die Aussagen sind allgemeine Tendenzen, die typischerweise auf Menschen eines Kulturkreises zutreffen.
Klar ist: am Ende ist jeder Mensch ein wertvolles Individuum! Unsere Ergebnisse können Awareness schaffen und hilfreiche Indikatoren für den Führungsalltag und Cybersicherheitsfachleute, einschliesslich Ausbildenden geben – nicht mehr, aber auch nicht weniger!
Wie die nationale Kultur unser Cybersecurity-Verhalten beeinflussen kann
Beispiele in Anlehnung an Hofstedes Kulturmodell:
1. Die Dimension «Individualismus/Kollektivismus»
Die Schweiz ist tendenziell individualistisch geprägt. In der Literatur gibt es Hinweise darauf, dass dies einerseits positive Auswirkungen auf das Cybersecurity-Verhalten haben kann, da persönliche Verantwortung hier grosse Rolle spielt. Menschen fühlen sich oft selbst dafür verantwortlich, ein gutes Passwort zu wählen oder beim Einrichten eines neuen Geräts auf Firewall und Virenschutz zu achten. Darüber hinaus neigen Menschen in individualistisch geprägten Kulturen dazu, ihre Online-Identitäten zu schützen, was ihr Risiko verringert, Opfer von Cyberangriffen zu werden.
Andererseits teilt man in individualistisch geprägten Kulturen das eigene Wissen weniger. Diese Tendenz behindert den Erfahrungsaustausch und somit auch die Entwicklung einer starken Cybersicherheitskultur innerhalb von Organisationen.
In kollektivistisch geprägten Kulturen wie in Kamerun stehen Vertrauen, langfristige Loyalität und Gruppenzugehörigkeit im Vordergrund. Diese Prägung kann eine positive Dynamik entfalten, wenn Teams ihr gemeinsames Wissen und ihre Erfahrungen teilen und sich gegenseitig zu gutem Cyberverhalten ermutigen.
Vertrauen, und leider auch blindes Vertrauen, sowie das rege Teilen von Online-Links ohne ordnungsgemässe Überprüfung können Menschen in kollektivistischen Gesellschaften im Cyberspace anfälliger machen. In diesem Umfeld spielt das Verhalten der Peer-Gruppe eine grosse Rolle, die als Vorbild für gutes Cyberverhalten dient.
2. Die Dimension der «Machtdistanz»
In Kulturen, in denen hierarchische Strukturen eine bedeutende Rolle spielen, werden Entscheidungen häufig «top-down» getroffen. Ein Beispiel hierfür ist Kamerun, das eine hohe Machtdistanz aufweist. Unsere Analysen zeigen, dass Kulturen mit hoher Machtdistanz das Cybersecurity-Verhalten leichter durch Richtlinien oder Direktiven steuern können – Regeln werden befolgt.
Dies mag für Führungskräfte vorteilhaft erscheinen. Diese kulturelle Eigenschaft hat jedoch auch eine Schattenseite: Menschen aus Kulturen mit hoher Machtdistanz sind es weniger gewohnt, Autoritäten zu hinterfragen oder auf Mängel hinzuweisen. Mitarbeitende auf unteren Hierarchieebenen in solchen Kulturen verlassen sich oft stark auf ihre Vorgesetzten und achten weniger auf Sicherheitsmassnahmen, wodurch sie anfälliger für «Business E-Mail Compromise»-Angriffe werden, bei denen Hacker sich als Führungskräfte ausgeben, um sensible Informationen oder Geldüberweisungen zu verlangen.
Im Gegensatz dazu verfolgt die Schweiz als Land mit geringer Machtdistanz einen konsensorientierten Ansatz. Die Literatur zeigt, dass dieses Merkmal positiv mit einem hohen Mass an Cybersecurity-Entwicklung korreliert. Geringe Machtdistanz bringt jedoch auch gewisse Herausforderungen mit sich. Konsensorientierte Entscheidungsfindung kann zu Verzögerungen führen. Ausserdem entsteht in solchen Kulturen Raum für individuelle Interpretationen und Handlungen, wenn Führungskräfte keine klaren und verbindlichen Cybersecurity-Richtlinien etablieren. Die daraus resultierende fehlende Einheitlichkeit kann zu Missverständnissen, inkonsistenter Umsetzung und Schwachstellen innerhalb der Organisation führen.
3. Die Dimension der «Vermeidung von Unsicherheit»
Sowohl die Schweiz als auch Kamerun teilen das kulturelle Merkmal, Unbekanntes lieber zu vermeiden. Dennoch ergaben sich aus unseren Interviews unterschiedliche Auswirkungen im Zusammenhang mit dem Cybersecurity-Verhalten in beiden Ländern.
Unsere Analysen ergaben, dass Schweizer Mitarbeitende dazu neigen, neue bzw. Ihnen unklare/unbekannte Cybersicherheitsregeln zu hinterfragen, um Unsicherheit möglichst zu vermeiden. Dieses Nachhaken und Hinterfragen verringert tendenziell die Gefahr von erfolgreichen Cyberangriffen. Andererseits ergaben unsere Interviews, dass Mitarbeitende aus Kamerun Veränderungen abwehrten, um das Unbekannte zu vermeiden – und dies leider auch, wenn es um die Einführung wichtiger Cybersicherheitstechnologien ging. Solch ein Widerstand kann die Verwundbarkeit gegenüber Cyberkriminalität erhöhen, weil im Extremfall die Umsetzung notwendiger Sicherheitsmassnahmen verzögert wird.
Tipps für die Führungspraxis
Was lässt sich nun aus diesen Beispielen ableiten? Culture matters! Der kulturelle Einfluss auf das Cybersecurity-Verhalten sollte anerkannt werden! Dies ist besonders für internationale Unternehmen wichtig, die Mitarbeitende aus verschiedenen Teilen der Welt beschäftigen. Solche Organisationen sollten ihrem Sicherheits- und IT-Personal auch interkulturelle Schulungen anbieten, um Kompetenz in diesem Bereich auf- bzw. auszubauen. Die Vielfalt der Kulturen und Persönlichkeiten in einem Unternehmen anzuerkennen, ist für die Verbesserung der *Cybersecurity-Awareness von grosser Bedeutung.
Mein Rat an Führungskräfte: Passen Sie Ihre Cybersecurity-Schulungen an die kulturellen Normen an, die Ihre Organisation beeinflussen. In Organisationen, die in Kulturen mit hoher Machtdistanz oder mit stark hierarchischen Strukturen arbeiten, ist es beispielsweise entscheidend, die Wahrnehmung von Autorität und Hierarchie bei den Mitarbeitenden zu berücksichtigen. In solchen Arbeitsumgebungen sollten Führungskräfte sich nicht davor scheuen, die Durchsetzung der Sicherheitsziele und -richtlinien konsequent einzufordern. Dies stellt sicher, dass die Mitarbeitenden die Bedeutung von Cybersecurity-Massnahmen verstehen und eher bereit sind, sich daran zu halten. In konsensorientierten Kulturen ist ein aktives und moderierendes Verhalten der Führungskraft entscheidend, um zu vermeiden, dass Entscheidungen zu spät oder etwa gar nicht getroffen werden. Eine passive Haltung gemäss dem Motto «das weiss man doch» ist angesichts der Diversität und kulturellen Prägungen zu kurz gegriffen.
Weitere Forschung im Rahmen einer Cybersecurity Community
Wie geht es forschungsseitig in meinem Team weiter? Inzwischen haben wir ein weiterführendes Projekt mit fünf Schweizer und fünf afrikanischen Partnern gestartet, mit dem Ziel, eine Schweiz-Afrika-Community rund um Cybersecurity aufzubauen. Ganz nach dem Leitgedanken: «Bringe ein, was du gut kannst, und bekomme zurück, was dich voranbringt». Das Projekt, das im Herbst 2024 gestartet ist und bis 2026 läuft, konzentriert sich zunächst auf das Thema Social Engineering. Unsere ersten Forschungsergebnisse fassen wir derzeit in einem «Praxisleitfaden – Kultur und Cyberverhalten in Unternehmen» zusammen.
Bleiben Sie über unser Projekt informiert und kontaktieren Sie mich gerne, wenn Sie Ideen für eine Zusammenarbeit haben! Alle Infos auf: www.digitaltrust-competence.ch
Disclaimer:
Dieser Beitrag wurde im Kontext des von Movetia finanzierten Forschungsprojekts «Swiss-Africa Cybersecurity Community» und des TPH-finanzierten Forschungsprojekts «Cybersecurity Capacity Building with BUIB» erstellt; die Inhalte geben die Ansichten der Autorenschaft wieder, und die Förderorganisationen können nicht für die Verwendung der darin enthaltenen Informationen verantwortlich gemacht werden. Movetia fördert Austausch, Mobilität und Kooperation in der Aus- und Weiterbildung sowie in der Jugendarbeit – in der Schweiz, in Europa und weltweit. www.movetia.ch
Die Autorin
Prof. Dr. Bettina Schneider ist Dozentin am Institut für Wirtschaftsinformatik der FHNW und leitet das Kompetenzzentrum für Digitales Vertrauen. Als diplomierte Wirtschaftsinformatikerin sowie Wirtschaftspädagogin engagiert sie sich in der Forschung sowie Aus- und Weiterbildung. Ihren Fokus legt sie auf die Themenbereiche Datenschutz, Cybersicherheit für Kleinstunternehmen sowie dem Einfluss kultureller Faktoren auf das Cybersicherheitsverhalten. www.digitaltrust-competence.ch
Publikation in Zusammenarbeit mit:
SWONET – Swiss Women Network
www.swonet.ch
Der Beitrag erschien im topsoft Fachmagazin 24-4
Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.