Security Champions in der Fläche – von reiner Awareness zur echten Sicherheitskultur

Zweifeln Sie als (C)ISO manchmal, ob Ihr Sicherheitsprogramm trotz bisheriger, umfangreicher Investitionen seine Wirkung über die Technik hinaus entfaltet?

Ob Ihre Botschaften in allen Geschäftsbereichen, auch in Ihrem Standort im Tessin, ankommen?
Ob Mitarbeitende aus Ihrem Fachbereich BI in Lausanne, wo sensible Daten verarbeitet werden, Weisungen und Best Practices einhalten, auch wenn das Monatsende naht?
Ob flächendeckend mögliche Risiken gemeldet statt ignoriert werden?
Ob unternehmensweit alle Führungskräfte an einem Strang ziehen anstatt in unterschiedliche Richtungen?
Wie Sie Ihr Team und Wirkung vergrössern könnten, ohne mehr Mitarbeiter einzustellen?

Falls Sie sich in diesen Fragen wiederfinden, haben wir einen Lösungsvorschlag – budgetfreundlich und praxiserprobt. In unserem Beitrag «Sicherheitskultur ist mehr als Awareness» nennen wir fünf Erfolgsfaktoren für eine erfolgreiche Sicherheitskultur:

Leadership-Awareness von Kopf bis Fuss
Zielgruppengerechte Inhalte und Kommunikation
Messung von Zielen
Unterstützung durch Security Champions in der Fläche
Kontinuierliche Verbesserung

Dieser Artikel widmet sich dem Baustein Security Champions in der Fläche, beleuchtet Möglichkeiten, wie Unternehmen den ersten Schritt machen können und was sie damit gewinnen.

Die Ausgangslage: Zu wenige Ressourcen für wachsenden Bedarf

In unseren Mandaten sehen wir immer wieder, dass Cybersecurity-Teams unter Druck stehen. Wachsende Anforderungen, neue regulatorische Vorgaben und technische Herausforderungen erfordern höchste Aufmerksamkeit. Gleichzeitig sind die vorhandenen Ressourcen wie Zeit, Budget und Knowhow zu gering, wodurch viele Security-Initiativen gezwungenermassen auf das technisch Mögliche oder das rechtlich Notwendige beschränkt bleiben. Als Konsequenz kommt der Mensch hinter der Technik zu kurz. Verteilte Standorte, unterschiedliche lokale Kulturen und Sprachen erschweren es zusätzlich, alle Menschen zu erreichen.

Das bedeutet: Lokale Kontexte, individuelle Bedürfnisse und der Umgang mit Risiken im Alltag werden oft nur unzureichend adressiert. Kommunikation verläuft top-down und versandet. Awareness erreicht zwar viele – verändert aber oft wenig.

Ohne Verbindung zur Arbeitsrealität der Teams bleibt Sicherheitskultur ein schönes Ziel – aber keine Bewegung. Den eigenen Headcount vergrössern wäre eine Option – aber in den meisten Fällen steht diese nicht zur Diskussion. Gibt es andere Möglichkeiten?

Die Chance: Security Champions als Kulturvermittler vor Ort

Champions sind lokal verankerte Mitarbeitende mit erweitertem Sicherheitsverständnis – und der Fähigkeit, zwischen zentraler Security und dem operativen Alltag zu vermitteln. Sie kennen die Sprache, Prozesse und Herausforderungen ihrer Teams und platzieren Sicherheitsanforderungen so, dass sie als Unterstützung statt als Hürde wahrgenommen werden. Gleichzeitig liefern sie wertvolles Feedback zurück an die zentrale Stelle – und verbessern so die strategische Ausrichtung der Sicherheitsarbeit.

Während Security Champions in IT-Teams längst etabliert sind, fehlen sie in vielen Bereichen des operativen Geschäfts noch – obwohl gerade hier enormes Potenzial liegt. Zentrale Awareness-Kampagnen erreichen zwar viele, verändern aber wenig. Es braucht Aktualität, Nähe, Relevanz – und Menschen vor Ort, die Sicherheit sichtbar machen und mit Leben füllen.

Greifbare Sicherheitskultur – was ein Championsprogramm ermöglichen kann

1. Führung sichtbar machen – Sicherheit beginnt im Alltag

Anstatt Sicherheitskultur top-down durch den CEO in Townhalls anzupreisen, fungieren Champions als greifbare, lokale Repräsentanten der Sicherheitsstrategie – sichtbar, ansprechbar und glaubwürdig.

Praxisimpuls: Wer Champions mit dem «Segen von oben» ausstattet, zeigt: Das Thema ist nicht nur IT-Sache – sondern Führungsauftrag.

2. Kommunikation ermöglichen – bidirektional statt von oben herab

Champions sind Rückkanal: Sie hören ihren Kollegen zu, erkennen Unsicherheiten, greifen Feedback auf – und speisen es zurück ins Security-Team.

Praxisimpuls: Champions bauen Brücken zwischen Strategie und Realität – und machen Security zu einem Dialog, nicht einem Monolog.

3. Einbindung ermöglichen – Teilhabe statt Diktat

Kultur entsteht durch Beteiligung. Mittels eines Champions-Programms wird Sicherheit nicht mehr nur als Sammlung von Weisungen erlebt, sondern als Format, das man selbst mitgestalten kann.

Praxisimpuls: Wer mitwirken darf, übernimmt Verantwortung. Champions ermöglichen diese Mitwirkung – dezentral, wirksam, nachhaltig.

4. Fehlerkultur stärken – Sicherheit heisst auch: Fehler ansprechen zu dürfen

Champions helfen, Meldehemmnisse abzubauen und fördern einen konstruktiven Umgang mit Sicherheitsvorfällen – bevor sie eskalieren.

Praxisimpuls: Champions machen aus Schweigen Handlung – und aus Angst eine Chance zur Verbesserung.

Der Hebel: Steigende Sicherheit ohne steigende Kosten

Die Einführung von Security Champions erfordert eine initiale Ausbildung, um das notwendige Know-how zu vermitteln, ein solides Rollenverständnis und eine gute Verzahnung mit dem zentralen Team. Aber: Der Return ist hoch – nicht nur in Form verbesserter Sicherheitsprozesse, sondern auch in Form messbarer kultureller Effekte.

Unsere Erfahrung zeigt:

Schwachstellen werden dort entdeckt, wo sonst niemand hinschaut.
Der Austausch ist schneller, einfacher und erreicht mehr.
Führungskräfte können direkt auf eine Ressource zugreifen.
Das bereits vorhandene Sicherheits-Know-how ist oft grösser als angenommen.
Die Motivation an einem wichtigen Thema mitzuarbeiten ist hoch.
Ausbildungen kommen gezielt dort an, wo sie gebraucht werden.
Die Zusammenarbeit mit dem Security-Team verbessert sich merklich.

Und das Beste: Dies alles geschieht ohne zusätzlichen Headcount im Security-Team – sondern durch gezielte Aktivierung bereits vorhandener Ressourcen.

Die grosse Frage ist aber: Wo und wie anfangen?

Konzept als Start und Ziel

Alles beginnt mit einem Konzept. Was soll erreicht werden? Welche Aufgaben sollen delegiert werden? Mit der Zeit werden mehrstufige Champions mit unterschiedlichen Erfahrungen und Aufgaben Sinn machen – aber am Anfang gilt: Keep it simple! Definieren Sie dazu kleine, erreichbare Ziele.

Auswahl des Piloten

Den Anfang sollte ein Pilot machen, zeitlich und organisatorisch begrenzt, um erste Erkenntnisse zu gewinnen, bevor eine grössere Audienz angesprochen wird. Doch wo genau anfangen? Die Antwort auf diese Frage ist individuell und hängt von drei Faktoren ab: der Rolle der Fachabteilung, der Bereitschaft der Mitarbeitenden – und dem Engagement der Führungskräfte.

Kommunikation

Betonen Sie die Vorteile für Führungskräfte und Freiwillige und verkaufen Sie diese! Kommunikation endet jedoch nicht mit dem initialen Marketing, sondern beginnt damit. Der konstante Austausch über dedizierte Kanäle ist wichtig und zeigt den Freiwilligen, dass sie nicht auf sich alleine gestellt sind.

Review & ständige Verbesserung

Prüfen Sie regelmässig die gesteckten Ziele und holen Sie sich gezielt Feedback vom Piloten ab. Gemäss der 80/20 Regel ist der Anfang nicht perfekt, aber als lernende Organisation reift das Konzept auf dem Weg.

Fazit: Security Champions als strategische Kulturmassnahme

Security Champions in der Fläche sind mehr als interne Multiplikatoren. Sie sind das fehlende Glied zwischen technischer und organisatorischer Sicherheitsarchitektur und gelebter Sicherheitskultur. Sie adressieren wie keine andere Massnahme den Faktor Mensch. Richtig eingesetzt, helfen sie dabei, abstrakte Security-Ziele in konkrete Verhaltensänderungen zu übersetzen – und die Säulen einer starken Kultur zu tragen.

Security Champions bringen Kultur dahin, wo sie wirkt: in die Fläche, zu den Menschen.

Sie wollen mit 5 Freiwilligen starten, statt mit 10'000 E-Mails? Lassen Sie uns darüber sprechen, wie ein Pilotprogramm bei Ihnen aussehen könnte. Tauschen wir uns gerne unverbindlich dazu aus.

Wie Champions zur positiven Sicherheitskultur beitragen können am Beispiel der SBB:

Was passiert, wenn Sicherheitskultur fehlt?
Zwei Beispiele von Angriffen, bei deren Aufarbeitung mangelnde Sicherheitskultur als Faktor identifizert wurde:

Impressum

TEMET AG
Kanzleistrasse 4
8004 Zürich
Telefon: +41 44 302 24 42
E-Mail: info@temet.ch

UID: CHE-115.517.011

Urheberrechte

Das Urheberrecht und alle anderen Rechte an den Inhalten, Bildern, Fotos oder sonstigen Dateien auf der Website gehören ausschliesslich dem Betreiber dieser Website oder den namentlich genannten Rechteinhabern. Für die Vervielfältigung sämtlicher Dateien muss vorab die schriftliche Zustimmung der Urheberrechtsinhaber eingeholt werden.
Wer ohne Zustimmung der jeweiligen Urheberrechtsinhaber eine Urheberrechtsverletzung begeht, kann sich strafbar machen und der Urheberrechtsinhaber kann unter Umständen Schadenersatzansprüchen geltend machen.

Haftungsausschluss

Alle Angaben auf unserer Website wurden sorgfältig geprüft. Wir sind bemüht, dafür Sorge zu tragen, dass die von uns bereitgestellten Informationen aktuell, richtig und vollständig sind. Dennoch ist das Auftreten von Fehlern nicht völlig auszuschliessen, so dass wir für die Vollständigkeit, Richtigkeit und Aktualität der Informationen, auch journalistisch-redaktioneller Art, keine Gewähr übernehmen können. Haftungsansprüche, die sich auf Schäden materieller oder ideeller Art beziehen, welche durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter und unvollständiger Informationen verursacht wurden, sind grundsätzlich ausgeschlossen.
Der Herausgeber kann Texte nach eigenem Ermessen und ohne vorherige Ankündigung ändern oder löschen und ist nicht dazu verpflichtet, die Inhalte dieser Website zu aktualisieren. Die Nutzung dieser Website bzw. der Zugang zu ihr erfolgt auf eigenes Risiko des Besuchers. Der Herausgeber, seine Kunden oder Partner sind nicht verantwortlich für Schäden, wie z.B. direkte, indirekte, zufällige oder Folgeschäden, die angeblich durch den Besuch dieser Website verursacht wurden und übernehmen folglich keine Haftung für solche Schäden.
Der Herausgeber übernimmt auch keine Verantwortung oder Haftung für den Inhalt und die Verfügbarkeit von Websites Dritter, die über externe Links von dieser Website aus erreicht werden können. Für den Inhalt der verlinkten Seiten sind ausschliesslich deren Betreiber verantwortlich. Der Herausgeber distanziert sich daher ausdrücklich von allen fremden Inhalten, die möglicherweise straf- oder haftungsrechtlich relevant sind oder gegen die guten Sitten verstossen.