"Wenn die Sicherheitskultur im Unternehmen stimmt, brauche ich auch keine Viren-Scanner", beschreibt Holger Kurrek den Idealfall. "Jeder Mitarbeiter würde zweifelhafte Mails und Anhänge gar nicht erst öffnen", so der Gruppenleiter Technische Infrastruktur beim Fraunhofer-Institut für Software- und Systemtechnik (ISST) weiter. Das Beispiel verdeutlicht, dass IT-Sicherheit weit über den Kauf von Technik hinausgeht. Das ISST hat deshalb auf der Basis seiner zehnjährigen Beratungserfahrung ein Untersuchungsinstrumentarium entwickelt, das die Unternehmenskultur und damit die Einstellung der Mitarbeiter zum Ausgangspunkt macht. Mit ihrem Security-Maturity-Modell analysieren die Fraunhofer-Berater anhand von Fragenkatalogen, Checklisten und Interviews die IT-Sicherheit unter drei Aspekten: Kultur als zentrales Element, Organisation und Technik.

Um die Reife der Sicherheitskultur zu ermitteln, stellt der ISST-Berater Fragen, die auf Bewusstsein, Einstellung und Verhalten der Mitarbeiter zielen. Vertrauen die Mitarbeiter der Software blind? Oder akzeptieren sie auch hier ihre eigene Verantwortung? Empfinden sie IT-Sicherheit als störend, unnötig und teuer? Oder sehen sie Sicherheitsmaßnahmen als Vorteil für das Unternehmen?

Am Ende der Bestandsaufnahme teilt der Berater jeden untersuchten Bereich in einen von vier Reifegraden ein. Anschließend macht er Vorschläge, wie sich alle Bereiche auf einen Level heben lassen. Als Referenz gilt der Bereich mit dem höchsten vorgefundenen Niveau. Das Ziel: eine einheitliche und verlässliche Sicherheitsqualität. "Nur, wer die höchste Stufe erreicht, verfügt über ein intaktes Sicherheitsmanagement", erklärt Kurrek.

Zu den empfohlenen Maßnahmen gehört etwa, Sicherheitsschulungen für Mitarbeiter in die normale Weiterbildung zu integrieren sowie Sicherheitsverantwortliche zu benennen und in der Administration zu verankern - am besten im Vorstand. "Denn nur in einer Top-Position kann ein Sicherheitsverantwortlicher die erforderlichen Mittel locker machen", sagt Kurrek.