Homepage >  Katalog >  Organisation und Verwaltung - Öffentliche Sicherheit und Ordnung

Sicherheitskultur. Relevante Dimensionen für die Unternehmenspraxis


Masterarbeit, 2018

88 Seiten, Note: 1,0


Leseprobe


Inhaltsverzeichnis

Summary

Abkürzungsverzeichnis

1. Einleitung

2. Begriffsbestimmungen
2.1 Sicherheit
2.1.1 Sicherheit im Sinne von Systemsicherheit bzw. safety
2.1.2 Sicherheit im Sinne von Informationssicherheit
2.1.3 Sicherheit im Sinne von Angriffssicherheit bzw. security
2.1.4 Abgrenzung zu anderen Sicherheitsgebieten und -Begriffen
2.2 Kultur
2.3 Organisation
2.4 Sicherheitskultur
2.4.1 Historischer Abriss
2.4.2 Häufigkeit der relevanten Begriffe
2.4.3 Organisationskultur
2.4.4 Begriffsverständnis von Sicherheitskultur
2.4.5 Sicherheitskultur vs. Sicherheitsklima
2.4.6 Sicherheitskultur vs. Awareness
2.4.7 Sicherheitskultur vs. Organisatorische Resilienz
2.4.8 Sicherheitskultur vs. Sicherheitsmanagement

3. Modelle und Strukturen der Sicherheitskulturforschung
3.1 Kulturebenenmodell nach Schein
3.2 safety-culture -Modell der INSAG
3.3 Eisbergmodell der Sicherheitskultur
3.4 Sicherheit durch organisationales Lernen (SOL)
3.5 Vergleich der Sicherheitskulturansätze

4. Dimensionen der Sicherheitskultur
4.1 Metaanalyse von Büttner et al. (2007) zur Sicherheitskultur
4.2 Wiener Sicherheitskulturfragebogen (WSF) als Operationalisierungsbeispiel
4.3 CLTRe als Operationalisierungsbeispiel

5. Empirische Untersuchung
5.1 Fragestellung
5.2 Beschreibung der Methode
5.3 Beschreibung der Ergebnisse
5.4 Diskussion der Ergebnisse

6. Zusammenfassung

7. Ausblick

Literaturverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Anhang
Anhang A: Aufgabengebiete mit Sicherheitsbezug in Unternehmen
Anhang B: Sicherheitskulturmodell in der Politikwissenschaft
Anhang C: Levels of culture
Anhang D: Vergleich der Konzepte Organisationskultur und Sicherheitskultur
Anhang E: Vergleichende Darstellung von acht Erhebungsverfahren der Sicherheitskultur
Anhang F: Semistrukturierter Interviewleitfaden
Anhang G: Interview Person „G“
Anhang H: Interview Person „H“
Anhang I: Interview Person „I“

Summary

Die Analyse und Beeinflussung der Sicherheitskultur ist eine Aufgabe im Sicherheitsmanagement. Doch welche Faktoren beeinflussen eine sicherheitsförderliche Kultur in einer Organisation? Zur Bestimmung der „Sicherheitskultur“ stehen für Anwendungsfelder im Krankenhaus und in der Informationssicherheit valide Messinstrumente basierend auf psychometrischen Fragebögen zur Verfügung. Für Organisatio­nen im Allgemeinen stehen Instrumente mit nachgewiesener Güte nicht zur Verfügung. Fraglich ist, in wie fern die zwei eben genannten Analyseinstrumente Gültigkeit für allgemeine Organisationen aufwei­sen. Experten für Sicherheit, im Sinne von Angriffssicherheit bzw. security, bewerteten darum die In­haltsvariabilität nach ihrem Verständnis von Sicherheit. Prüfergebnis ist, dass die Gültigkeit der kultur­bestimmenden Dimensionen in der security -, safety - und Informationssicherheit nur zum Teil vergleich­bar sind, wobei in einem Teilbereich sogar ein Gegensatz festgestellt wurde. Eine Übertragung der bei­den Tests auf ein breiteres Anwendungsfeld ist nicht möglich. Weiterhin ist die Diskussion ergebnisof­fen, welche Dimensionen die Allgemeine Sicherheitskultur bestimmen.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Sicherheit ist ein wesentlicher Wettbewerbsfaktor und Basis der Existenzsicherung von Organisatio- nen.1 Neben dem wirtschaftlichen Erfolg übt Sicherheit in Organisationen einen starken Einfluss auf das Wohlbefinden und die Zufriedenheit der Mitglieder einer Organisation aus und erhöht die gesellschaft­liche Akzeptanz der Organisation an sich.2 Zunehmend verpflichten gesetzliche Auflagen die Organisa­tionen dazu, vorgegebene Sicherheitsstandards zu erfüllen, dies gilt insbesondere für Sicherheit im Sinne von Arbeitssicherheit und Informationssicherheit. Ferner ist die öffentliche Kriminalitätsbekämp­fung an Mitteln und Möglichkeiten limitiert. Organisationen setzen auch zur Reduzierung diesbezügli­cher Schäden eigene Ressourcen ein. Erschwerend kommt hinzu, dass der technologische Fortschritt, die Globalisierung, die Dynamik der immer stärkeren Vernetzung zu neuen Bedrohungsfeldern führt.3 Organisationen reagieren darauf durch angepasste oder ergänzte Sicherheitsmaßnahmen.

In größeren Organisationen betreuen Fachkräfte und -Abteilungen das Thema Sicherheit. Dennoch ist das Sicherheitsniveau wesentlich davon abhängig, ob die Mitarbeitenden der Organisation sicherheits­gerechtes Verhalten zeigen. Sicherheitsaufgaben sind als Querschnittsaufgaben zu verstehen, die alle Mitglieder einer Organisation betreffen.4 Das Niveau der Sicherheit einer Organisation ist dabei in der Regel nicht statisch im Sinne von einem Zustand, es wird durch das Zusammenspiel der Organisation mit dem Bedrohungsfeld erzeugt. Somit ist Sicherheit eine Leistung der Organisation.5 „Sicherheit ent­steht kontinuierlich aus dem (systemischen) Zusammenwirken von intra- und extraorganisationalen Faktoren (wie z. B. den Organisationsmitgliedern, der Technologie, den Strukturen oder Regeln)“.6 Ob Bedrohungen zu Schäden führen ist das Ergebnis von oftmals komplexen Vorgängen, die sich im sys­temisch vernetzten System der Organisation aus Bedrohung und Sicherheitsniveau ergeben.7

Bei der genaueren Analyse, wie Organisationsmitglieder das Sicherheitsniveau ihrer Organisation be­einflussen, wird den Grundhaltungen, Einstellungen und Kompetenzen der Organisationsmitglieder eine entscheidende Rolle zugeschrieben.8 Hier hält der Begriff Kultur Einzug in Sicherheitsbetrachtungen, da Kultur ein Muster darstellt, das von den gemeinsamen Grundannahmen der Mitglieder einer Organi­sation oder Gruppe geprägt ist.9 Die Sicherheitskultur bestimmt, wie sich die Mitglieder aufgrund der Rahmenbedingungen einer Organisation in sicherheitsrelevanten Sachverhalten von sich heraus verhal- ten.10 Beispielsweise ist es möglich, dass in einem Start-up mit 50 Mitarbeitenden, geringe Schäden durch Sicherheitsereignisse auftreten, obwohl keine formalen Sicherheitsstrukturen oder Sicherheitsbe­auftragten vorhanden sind. Während in einem Konzern, trotz hochwertiger Sicherheitsvorkehrungen und elaborierter Sicherheitsstrukturen, hohe Schäden auftreten, auch wenn die Schäden im Verhältnis zur Größe der Organisationen relativiert werden. Hier ist die Annahme, dass im Startup die Mitarbei­tenden kulturell bedingt geringe Hemmnisse haben Probleme und Fehler offen zuzugeben und sich voll für die Organisation verantwortlich fühlen. Dieses Beispiel zeigt, wie das kulturelle Umfeld die Sicher­heit einer Organisation beeinflussen kann.

Im Sicherheitsmanagement besteht die Herausforderung das Sicherheitsniveau einer Organisation zu messen, die Wirkung von Sicherheitsmaßnahmen zu bestimmen und zielgerichtete Ansätze für Sicher­heitsoptimierungen zu implementieren.11 Bei Sicherheitsoptimierungen ist ein Ansatz im Sicherheits­management der großen Anzahl an sicherheitsrelevanten Eventualitäten mit einer ebenso großen Anzahl an Regeln zu begegnen. Dieser Ansatz folgt einerseits der klassischen betriebswirtschaftlichen Organi­sations- und Managementlehre, die dem menschlichen Handeln Planmäßigkeit und Rationalität unter­stellt und darüber hinaus gehende Einflussfaktoren auf das menschliche Handeln als „Störfaktor“ be- trachtet.12 Andererseits entspricht dieses Verhalten der Logik aus einem Ansatz den ASHBY (1974) in seinem "Law of requisite variety" formulierte: Erhöhte Umweltkomplexität kann nur durch eine Steige­rung des internen Komplexitätsniveaus abgebildet werden.13 Probleme ergeben sich jedoch durch den Faktor Mensch, der mit seinen begrenzten Ressourcen zum limitierenden Faktor wird. Mitarbeitende können nicht unbegrenzt viele Regeln kennen. Ferner können kulturelle Einflüsse dazu führen, dass selbst bekannte Regeln nicht beachtet werden. Einer kybernetischen Managementperspektive folgend, die beispielsweise von Drucker (1999) und Malik (2013) vertreten wird, steht für Führungskräfte nicht das detaillierte Organisieren im Vordergrund, sondern „das Schaffen von Rahmenbedingungen, inner­halb dessen sich durch das Verhalten und Handeln der Organisationsmitglieder neue Strukturen und Handlungsweisen von selbst entwickeln.“14 Demnach können Mitarbeitende auch dann eigenständig und angemessen auf sicherheitsrelevante Eventualitäten reagieren, wenn dieses Verhalten nicht als Ar­beitsanweisung vorbestimmt wird. Voraussetzungen hierzu sind, unter anderem, die kulturellen Rah­menbedingungen der Organisation.15

Sicherheitskultur hat das Potential zum Schlüsselkonzept im Sicherheitsmanagement zu avancieren. Po­tentielle Einflussfaktoren auf die Sicherheit und Sicherheitskultur sind jedoch unvollständig erforscht. Ferner ist das menschliche Verhalten komplex.16 Die Forschungslücke besteht vor allem darin, dass die Einflussfaktoren noch nicht grundsätzlich identifiziert sind, die Auswirkung auf die Sicherheitskultur in Organisationen haben.17 Sind die Dimensionen der Sicherheitskultur entschlüsselt, dann können gezielte Maßnahmen, sowie Analyseinstrumente für Vorher- Nachhermessungen entwickelt werden. Ferner er­möglicht die Bestimmung von Sicherheitskultur eine Vergleichbarkeit, im Sinne von Benchmarking, mit anderen Organisationen.

In der Fachliteratur greifen Standardwerke für das Sicherheitsmanagement das Thema Sicherheitskultur bislang gar nicht auf oder streifen es nur am Rande. Beispielsweise fehlt das Thema im Management­handbuch Sicherheitswirtschaft und Unternehmenssicherheit. In den über 1200 Seiten taucht das Thema Sicherheitskultur nicht ansatzweise auf.18 Vergleichbar sieht es im Handbuch Unternehmenssicherheit auf. Auf rund 600 Seiten finden sich lediglich Hinweise auf unspezifische Sensibilisierungsmaßnahmen und Schulungen als Teil eines umfassenden Sicherheits-, Kontinuitäts- und Risikomanagement.19 Auch im englischsprachigen Standardwerk SECURITY AND LOSS PREVENTION finden sich zwar An­sätze zu Training und Sozialisation für Mitarbeiter, jedoch zielen die punktuellen Einzelaspekte nicht auf die kulturelle Prägung der Mitarbeitenden ab.20 Intensiver wird Sicherheitskultur in spezialisierten Standardwerken, wie Human Factors, Psychologie sicheren Handelns in Risikobranchen von Badke- Schaub et al. (2012), oder Arbeits- und Organisationspsychologie von Nerdinger et al. (2014) disku- tiert.21

In zwei Spezialgebieten der Sicherheit bestehen valide Instrumente zur Analyse der Sicherheitskultur: Einerseits erhebt der Wiener Sicherheitskulturfragebogen (WSF) im Krankenhaus die Sicherheitskultur im Sinne von Patinentensicherheit. Anderseits wurde das norwegische CLTRe zur Bestimmung von Informationssicherheitskultur in Organisationen entwickelt. Die zu klärende Frage ist, ob die Gültigkeit von WSF und CLTRe auch im Kontext von Organisationen oder Unternehmen im Allgemeinen ihre Gültigkeit behalten, wenn ein Verständnis von Sicherheit im Sinne von Angriffssicherheit bzw. security zugrunde gelegt wird? Wenn die Generalisierbarkeit dieser zwei Instrumente positiv ausfällt, kann auf dieser Basis das Konstrukt Sicherheitskultur praxisorientiert nutzbar gemacht werden.

Die fehlenden Grundlagen einerseits und der populärwissenschaftlich, inflationäre Gebrach der zugrun­deliegenden Begriffe andererseits macht zunächst eine grundsätzliche Begriffsklärung erforderlich. Was ist Kultur, was ist Sicherheit? Was ist Sicherheitskultur und worin unterscheiden sich engverwandte Begriffe wie Organisationskultur, Sicherheitsklima und Organisatorische Resilienz? Diese Begriffsklä­rungen und ein historischer Abriss der Sicherheitskulturforschung befinden sich in Kapitel 2.

In Kapitel 3 werden Theorien und Modelle der Sicherheitskultur herangezogen, um zu prüfen, ob sich daraus die Dimensionen der Sicherheitskultur ableiten lassen. Es werden auch Systeme zur Kategorisie­rung der Dimensionen vorgestellt. In Kapitel 4 werden anhand einer Metastudie und anhand dem Bei­spiel von zwei ausgewählten Analyseinstrumenten die möglichen Dimensionen von Sicherheitskultur vorgestellt.

Kapitel 5 enthält die empirische Untersuchung, hier geht es um die Frage, ob die inhaltliche Gültigkeit der zwei Analyseinstrumente WSF und CLTRe bei einer Generalisierung erhalten bleibt. Dabei wird ein Sicherheitsverständnis der Angriffssicherheit bzw. security im Kontext von Organisationen zu­grunde gelegt. Die Experteninterviews werden auch zur explorativen Suche nach potentiellen Dimensi­onen der Sicherheitskultur genutzt. Abschließend werden in Kapitel 6 die theoretischen und empirischen Untersuchungsergebnisse zusammengefasst. In Kapitel 7 sind Anregungen für zukünftige Forschungs­ansätze formuliert.

2. Begriffsbestimmungen

Die theoretischen Grundlagen der Sicherheitskulturdiskussion werden zunächst im Hinblick auf die Fra­gestellung beleuchtet. Zur ersten Annäherung an das Konzept der Sicherheitskultur werden „Sicherheit“ und „Kultur“ getrennt voneinander als Begriff geklärt. Anschließend wird auf die Sicherheitskultur als solche eingegangen. Sicherheitskultur ist ein dynamisches, organisationsindividuelles Konstrukt, dessen sich wechselseitig beeinflussende Faktoren in der vorliegenden Forschungsarbeit untersucht werden.

Viele Begriffe der Sicherheitskulturdiskussion finden in Praxis und Literatur uneinheitliche Anwen­dung, wozu bereits der Begriff „Sicherheit“ zählt. Ferner überlappen sich einige mit Sicherheitskultur zusammenhängenden Konzepte, so dass hier eine Abgrenzung vorzunehmen ist, z.B. Organisationskul­tur, Sicherheitsklima und Organisatorisch Resilienz.

2.1 Sicherheit

Im Deutschen ist praktisch jedes Substantiv mit dem Wort "Sicherheits" erweiterbar. Die breite Anwen­dung erschwert die Begriffsbestimmung. Selbst innerhalb wissenschaftlicher Disziplinen besteht ein stark uneinheitliches Begriffsverständnis von „Sicherheit“: Beispielsweise konstatiert der Verein Deut­scher Ingenieure (VDI), dass „selbst das beispielhafte Normenwerk des Deutschen Instituts für Nor­mung (DIN) [.] eine bemerkenswerte Vielzahl unterschiedlicher Begriffsbestimmungen für Sicherheit [.] aufweist.“22 Die meisten Erklärungsversuche zielen auf die Multidimensionalität des Sicherheits­begriffs ab.23 Deutlich wird dies daran, dass im englischsprachigen Bereich Differenzierungen in security und safety bestehen, was im Deutschen mit dem Begriff Sicherheit zusammengefasst wird.

In der Diskussion um den Sicherheitsbegriff können zwei Probleme identifiziert werden. Einerseits be­steht disziplinübergreifend und auch innerdisziplinär eine unerwartet große Varianz der Interpretationen des Sicherheitsbegriffes. Andererseits unterliegt Sicherheit einem Wandel, da sich mindestens die Zeit als Kontext wandelt. Deutlich wird dies beispielsweise durch die erstmals im Jahr 2005 veröffentlichte Norm zur Informationssicherheit DIN/ISO 27001. Erst wenige Jahre vor dem Erscheinen kamen ver­netze digitalen Anwendungen auf.24 Organisationen nutzen heute Datenspeicherung in Clouds, digitale Shared Workspaces, Videokonferenzen via Internet und betreiben digital und global vernetzte For­schung und Wertschöpfung.25 Einhergehend mit diesen Neuerungen treten neue Bedrohungen auf, mit denen sich Organisationen auseinanderzusetzen haben.26 In dem sich die Zeit verändert, verändert sich die Sicherheitslage, was sich auf das Verständnis von „Sicherheit“ auswirkt.27 Einerseits bestehen alte Bedrohungen fort. Andererseits kommen neue Bedrohungen hinzu. Im Ergebnis ist der Begriff Sicher­heit vor allem deshalb im Wandel, weil die individuellen Erwartungen an Sicherheit kontextuell unter­schiedlich und zeitlich im Wandel sind.28

Sicherheit ist „ein relativer Zustand der Risiko- und Gefahrenfreiheit für einen exakt definierten Kontext (Zeitraum, Umgebung, Rahmenbedingungen, Akteure usw.)“.29 Diese allgemeine Definition wird in den nachfolgenden Kapiteln 2.1.1 bis 2.1.3 weiter spezifiziert. In der Praxis haben sich in großen Orga­nisationen Spezialisierungen bzw. Aufgabengebiete entwickelt, in denen das Thema Sicherheit behan­delt wird. Schmidt (2012) gibt hierzu ein ausdifferenziertes Beispiel, siehe Anhang A. Dabei ist die Zersplitterung von Sicherheitsaufgaben in mehrere Verantwortungsbereiche einer Organisation wiede­rum uneinheitlich. Einheitlich ist nur, dass Sicherheitsaufgaben in größeren Organisationen unterglie­dert sind.30

Nachfolgend werden drei typische und große organisationale Aufgabengebiete differenziert betrachtet, die sich mit Sicherheitsfragen auseinandersetzen, um später auf Gemeinsamkeiten und Unterschiede der jeweiligen Sicherheitskultur zu prüfen:

- Aufgabengebiet Systemsicherheit bzw. safety. Sicherheit im Sinne von Systemsicherheit ist ein Sicherheitsgebiet das auf Arbeitssicherheit (safety) aufbaut. Hier wird Sicherheitskultur schon seit den Untersuchungen zur Ursache des atomaren Unfalls in Tschernobyl 1985 erforscht und hat in Praxisanwendungen Einzug gehalten.31
- Aufgabengebiet Informationssicherheit. Der Bereich Sicherheit im Sinne von Informationssicher­heit ist eng mit Informationstechnologie (IT) verknüpft, hier wird Sicherheitskultur schon seit den frühen 2000ern thematisiert.32
- Aufgabengebiet Angriffssicherheit bzw. security. Im Anwendungsbereich von Sicherheit im Sinne von Angriffssicherheit bzw. security findet der Begriff Sicherheitskultur heute noch keine Anwen­dung.

Diese drei spezialisierten Aufgabengebiete, die Sicherheitsaufgaben in Organisationen wahrnehmen, kommen zu unterschiedlichen Auffassungen über Sicherheit. Nachfolgend werden diese Auffassungen genauer analysiert.

2.1.1 Sicherheit im Sinne von Systemsicherheit bzw.safety

Die Arbeiten von Roland/Moriarty (1990), Büttner et al. (2007) und Strunk et al. (2015) legen einen Sicherheitsbegriff zugrunde der als „Systemsicherheit“ zu verstehen ist. Sicherheit in diesem Sinne ist eine „Systemqualität [.], die es dem System erlaubt unter spezifizierten Vorgaben ohne größere Zu­sammenbrüche mit einem akzeptablen Minimum zufälliger Verluste und unbeabsichtigter Schädigung von Organisation und Umwelt zu funktionieren.“33 Die in der vorliegenden Arbeit untersuchten Systeme sind Organisationen.

„Systemsicherheit“ ist eine Weiterentwicklung des Begriffs „Arbeitssicherheit“, der im englischen Sprachraum als safety bezeichnet wird und eng an Arbeitssicherheit ausgerichtet ist.34 Den Autoren die­ser Perspektive folgend ergibt sich ein Sicherheitsverständnis, bei dem es in Sicherheitsangelegenheiten um die Förderung einer betrieblichen Praxis geht, die „auf die Vermeidung gesundheitlicher Schädigun­gen“ abzielt. „Sicherheit wird nach diesem Verständnis als gefahrenfreier Zustand bei der Berufsaus­übung definiert“.35

Wenn in Organisationen die Sicherheit im Sinne von Systemsicherheit bzw. safety analysiert und ver­ändert wird, treten Prozesse in den Fokus, die Ursache für fehlerhaftes oder fahrlässiges Handeln sind und sich dadurch negativ auf die Organisation auswirken. In Abgrenzung zum security -Begriff ist safety geprägt von der Vermeidung zufälliger und fahrlässiger Schäden, siehe auch Kapitel 2.1.3. Zur Abgren­zung lässt sich feststellen, dass bei der Angriffssicherheit- bzw. security vorsätzlich herbeigeführte Schäden im Vordergrund stehen.

Je größer die Organisation, desto diversifizierter sind in der Regel die Sicherheitsstrukturen, so dass die Anwendungsfelder in der Systemsicherheit bzw. safety weiter differenziert zu betrachten sind. Schwer zu unterscheiden von Systemsicherheit bzw. safety sind die Begriff „Business-Continuity bzw. Business Resilienz“. Das sind in vielen Organisationen ein oder mehrere Aufgabengebiete der Systemsicherheit bzw. safety, siehe hierzu auch Anhang A . Unter dem Management der betrieblichen Kontinuität (Busi­ness-Continuity bzw. Business Resilienz) verstehen sich Strategien, Pläne und Handlungen, um Tätig­keiten oder Prozesse aufrechtzuerhalten, deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden.36 Neben dem vorwiegend präventiven Charakter von Systemsi­cherheit kommt mit der Betrachtung von Sicherheit im Sinne von Business -Continuity und Business- Resilienz ein stärkerer Fokus auf die Überwindung von Ereignissen, die bereits zu Systemstörungen oder -Ausfällen geführt haben.37 In Kapitel 2.4.7 wird das hierzu entwickelte Konstrukt der „Organisa­torischen Resilienz“ vom Konstrukt Sicherheitskultur abgegrenzt.

2.1.2 Sicherheit im Sinne von Informationssicherheit

„Sicherheit (im Sinne von Informationssicherheit) ist eine Eigenschaft eines Systems, die dadurch ge­kennzeichnet ist, dass die als bedeutsam angesehenen Bedrohungen, die sich gegen die schützenswerten Güter richten, durch besondere Maßnahmen soweit ausgeschlossen sind, dass das verbleibende Risiko akzeptiert wird“.38 Diese Auslegung des Begriffs Informationssicherheitskultur stammt aus dem Jahr 1992 und beinhaltet, wie die oben erwähnte Definition von Sicherheit im Sinne von Systemsicherheit, auch eine Bewertung der Bedrohungen. Demnach wird auf Bedrohungen fokussiert, die nicht mehr ak­zeptable Schadenrisiken an schützenwerten Gütern verursachen. Bereits bei der Definition von Sicher­heit im Sinne von Systemsicherheit lag der Fokus auf Schadenrisiken die, nach individueller Bewertung, ein akzeptables Minimum übersteigen.

Aktuellere Definitionen der Informationssicherheit fokussieren stärker auf IT-Spezifika. Beeinflusst durch die erstmals 2005 veröffentliche internationale Norm ISO 27001, die ein Managementsystem zur Schaffung von Informationssicherheit beschreibt.39 Die Veröffentlichung dieser Norm führte dazu, dass Sicherheit im Sinne von Informationssicherheit zunehmend inhaltlich detaillierter definiert wird, in dem die Haupt- und Nebenzieleziele der ISO 27001 aufgezählt werden. Informationssicherheit ist demnach „über die drei Aspekte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen definiert. Diese drei Aspekte können als die primären Schutzziele angesehen werden, deren Aufrechterhaltung in Kom­bination die Informationssicherheit ausmacht. Weitere Aspekte und damit Schutzziele wie Authentizität, Zurechenbarkeit, Nichtabstreitbarkeit und Verlässlichkeit können ebenfalls betrachtet werden.“40

2.1.3 Sicherheit im Sinne von Angriffssicherheit bzw. security

Sicherheit (im Sinne von Angriffssicherheit) befasst sich mit der Abwehr bewusst herbeigeführter or­ganisationsinterner- und externer Störereignisse auf den ordnungsmäßigen Betrieb.41 Beispielsweise zählen hier zu Diebstahl, Sabotage, Geheimnisverrat durch interne Täter oder Diebstahl, Sachbeschädi­gung und Betriebsspionage durch externe Täter.

Begrifflich wird von „Bedrohungen“ gesprochen, um Umstände zu benennen, die einen sicheren Zu­stand akut negativ beeinflussen und vorsätzlich menschengemacht sind. Dies ist sowohl im Anwen­dungsgebiet der Informationssicherheit, als auch Angriffssicherheit bzw. security der Fall. Während auf dem Feld der Systemsicherheit „Gefahren“ den sicheren Zustand negativ beeinflussen und dabei fahr­lässig menschgemacht oder zufällig bzw. von natürlichem Ursprungs sind.42 Nachfolgend wird in der Regel der Begriff „Bedrohung“ als Hyperonym für „Gefahr“ und „Bedrohung“ genutzt.

2.1.4 Abgrenzung zu anderen Sicherheitsgebieten und -Begriffen

Die Analyse von Sicherheit, und auch Sicherheitskultur, ist abhängig vom Referenzrahmen. In der Po­litikwissenschaft werden Sicherheit und auch Sicherheitskultur im Hinblick auf die Gesellschaft als Ganzes und die Beziehung zwischen Organisationen betrachtet.43 In Anhang B ist ein Modell der Si­cherheitskultur aus Perspektive der Politikwissenschaft abgebildet.

Ferner ist hier noch Sicherheit als psychologisches Anreizsystem bzw. Grundbedürfnis abzugrenzen. Dieses Begriffsverständnis von Sicherheit wird intensiv im Bereich der Motivationsforschung aufge­griffen, z.B. Maslow (1945).

2.2 Kultur

„Kultur“ wird als Forschungsgegenstand von etlichen Wissenschaftsdisziplinen beansprucht: Soziolo­gie, Kulturwissenschaften, Psychologie, Politikwissenschaften und den Sicherheitswissenschaften. Ähnlich wie Sicherheit, so ist auch Kultur ein häufig gebrauchter Begriff mit uneinheitlicher Definition. Unter Kultur verstehen unterschiedliche Disziplinen jeweils etwas anderes. Aber auch innerhalb der Disziplinen ist nicht selten umstritten, was unter Kultur zu verstehen ist.44 Schon im Jahr 1952 wurden von Kroeber und Klucichohn bis zu 300 thematisch abgrenzbare Definitionen für Kultur festgestellt.45 Die Uneinheitlichkeit der Kulturbegriffe ist wissenschaftlich betrachtet problematisch, da Kultur als Auffangbecken für fehlende theoretische Erklärungen missbraucht werden kann.46 Kultur kann als „ter­minologischen Staubsauger“ missverstanden werden, um alles aufzusaugen, was in irgendeiner Form mit Kultur zu tun hat: Werte, Normen, Geschäftsmodelle, Regeln, Symbole, Denkweisen, Glaubenss­ätze, Mythen, Dogmen, Bedeutungen.47 „Kulturelles in Form von (tradierten) Werten oder Normen be­einflusst menschliches Verhalten - auch im Umgang mit technischen Sachsystemen. Dieser Zusammen­hang wird zwar oftmals konstatiert, belastbare empirische Belege gibt es jedoch kaum.“48

Nach Wilpert (1993) dreht sich die Diskussion um den Kulturbegriff mit „einer Ellipse vergleichbar um zwei zentrale Konzeptualisierungspunkte: Einen eher kognitivistischen und einen eher handlungs- und institutionen-theoretischen Ansatz.“49 Als kognitivistisch werden bei der Verwendung von Kulturdefi­nitionen jene Konzeptionen bezeichnet, die Kultur als symbolisch vermittelte Orientierungssysteme ver­stehen, wobei vorwiegend Konzepte gruppenspezifischen Denkens, Wahrnehmens und Wertens ver­wendet werden. Handlungs- und institutionen-theoretische Ansätze hingegen rechnen der Kultur über die Kognitionen hinaus auch „kulturelle Artefakte, Institutionen und Organisationsformen als Ergebnis und Randbedingungen individuellen und kollektiven Handelns.“50

Luhmann (1972) folgt den kognitivistischen und systemtheoretischen Perspektiven, wonach unter Kul­tur Erwartungen zu verstehen sind, an denen sich das Verhalten orientiert.51 Demnach werden „alle Kon­takte zwischen Menschen durch komplementäre Verhaltenserwartungen gesteuert.“52 Individuen müs­sen in Gruppen entsprechend der Gruppenerwartungen in vorgezeichneten und akzeptierbaren Bahnen handeln, sonst werden sie von der Gruppe „nicht verstanden und abgelehnt. Gewisse Erwartungen wer­den dann als Verhaltensprämissen der Gruppe bzw. Organisation zusammengestellt und so „relativ ent­täuschungsfest stabilisiert“.53 Dieses Begriffsverständnis teilt Thomas (1993), er sieht Kultur als univer­selles, für eine Gesellschaft, Organisation und Gruppe aber sehr typisches Orientierungssystem. Dieses Orientierungssystem wird aus spezifischen Symbolen gebildet und in der jeweiligen Organisation tra­diert. Es beeinflusst das Wahrnehmen, Denken, Werten und Handeln aller ihrer Mitglieder und definiert somit deren Zugehörigkeit zur Organisation.54

In dem Kultur als Orientierungssystem gefasst wird, erklärt sich dessen Entstehung, Aufrechterhaltung und Weitergabe. Denn Orientierung ist ein zentrales menschliches Bedürfnis. Teil der Orientierungs­funktion von Kulturen ist es den Mitgliedern Sinnstiftungs- und Bewertungsmaßstäbe zur Verfügung zu stellen, mit deren Hilfe die komplexen Umweltanforderungen bewältigt werden. Diese Bewertungsmaß­stäbe werden im Laufe der menschlichen Sozialisation erworben und wirken daher auch meist automa­tisch, ohne eine bewusst kognitive Steuerung.55

Die breitgefächerten Strömungen und vielfältigen Differenzen in der Kulturdiskussion sollen hier nicht diskutiert werden, hierzu wird auf die Überblicksarbeiten von Rauer et al (2014), Büttner et al (2007) und Martin (2002) verwiesen. Von Relevanz ist im Hinblick auf die Fragestellung, wie sich Kultur in Organisationen empirisch beobachten lässt. In der Selbstwahrnehmung ist Kultur nicht unmittelbar zu­gänglich, es fallen „kulturelle [...] Regeln erst dann auf, wenn durch überraschendes Verhalten oder unerwartete Entscheidungen gegen sie verstoßen wird.“56 Demnach unterstützt „Abweichendes Verhal­ten“ die Selbstwahrnehmung von Kultur.57

In der zugrundeliegenden Literatur stimmen die Autorinnen und Autoren in dem Punkt überein, dass sich das Konstrukt Kultur sowohl aus sichtbaren als auch aus unsichtbaren Elementen zusammensetzt.58 In diesem Zusammenhang wird von der „Concepta-„ bzw. „Perceptaebene“ gesprochen. Die Percep- taebene umfasst dabei die sichtbar, beobachtbar manifestierten Elemente einer Kultur. Hierzu sind so­wohl die materiellen Artefakten wie beispielsweise Kleidung oder Architektur als auch die immateriel­len Artefakte einer Kultur wie Sitten, Sprache, Gebräuche und soziale Strukturen zu zählen. Die Con- ceptaebene hingegen beschreibt die nicht beobachtbaren Bestandteile der Kultur. Insbesondere Werte, Einstellungen und Normen lassen sich zu dieser schwer analysierbaren Ebene zählen.59

Bei der Analyse von Kultur sind zunächst die sichtbaren Manifestationen von Kultur zu entziffern. Ma­nifestationen der Kultur sind Rituale, erzählte Geschichten, Humor, Jargon, physische Arrangements und formale Strukturen und Regeln, so wie auch informelle Normen und Praktiken.60 Diese Position unterstützt Czarniawska-Joerges (1992) in dem sie konstatiert, dass Manifestationen Bestandteil von Kultur sind. Hierzu zählt wie sich die mit Mitglieder einer Organisation anziehen, wie Witze erzählt werden und Kaffeepausen ablaufen. Ebenso zählt dazu, das Verhalten auf Feierlichkeiten und bei offi­ziellen Meetings, wie jemand entlassen wird, welche Geschichten erzählt werden. Und die materiellen Manifestationen zeigen sich auch in der Hierarchie der Organisation, der Art wie Arbeit organisiert ist, ob und wie Kontrollen stattfinden.61

Ausgehend von den materiellen Artefakten, als sichtbare Dinge, kann auf die empirisch nicht unmittel­bar zugänglichen Einstellungen, Werthaltungen, Gedanken und Gefühle geschlossen werden.62 „Werte, Einstellungen und Normen werden überhaupt durch ihre Manifestationen in Artefakten wahrnehm- bar“.63 Die sichtbaren und unsichtbaren Elemente werden im Kulturebenenmodell aufgegriffen und wei­ter spezifiziert, siehe hierzu Kapitel 3.1.

2.3 Organisation

Sicherheitskultur als Analysekonzept lässt sich auf unterschiedlichen Aggregationsebenen anwenden (Individuum, Gruppe, Organisationen, Gesellschaftssystem u.a.).64 Die hier durchgeführte Untersu­chung bezieht sich auf die Ebene der Organisation als Institution. In der Organisationstheorie werden unter dem institutionellen Organisationsbegriff ganze Systeme betrachtet, wie etwa Unternehmen, Schu­len, Behörden, . . Kennzeichnend für Organisationen sind eine spezifische Zweckorientierung, gere gelte Arbeitsteilung und beständige Grenzen.65

Aus dem Erkenntnisinteresse an einer Sicherheitskultur und Organisationskultur ist es dabei zweckmä­ßig, Organisation als ein System zu betrachten. Organisationen besitzen eine innere Struktur, die nicht nur aus formalen Regeln bestehen, sondern auch aus vielem anderen: Sinnzuschreibungen, informellen Verhaltenserwartungen, Handlungen, Entscheidungen und Kommunikation. Dennoch ist der in der Or­ganisationstheorie gerne genutzte instrumentelle Organisationsbegriff für hiesige Zwecke unzureichend, da die Strukturbildung als isolierte quasi exogene Expertenentscheidung modelliert wird, während aus­geblendet wird, dass der gesamte Strukturentstehungsprozess durch die Mitglieder und ihren offiziellen und inoffiziellen Reaktionen und Modifikationsversuchen entsteht.66 Ein Ziel der Sicherheitskulturfor­schung ist schließlich, Abweichung von organisatorischen Regeln zu erklären, was nur bei Betrachtung der Organisation als System möglich ist.

Nach Luhmann (1968) können Unternehmen als spezifische Organisationstypen beschrieben werden, die von anderen sozialen Systemen durch Entstehung, Ziel- und Zwecksetzung, Art und Grund der Mit­gliedschaft sowie die Qualität der Verhaltenserwartungen abgrenzbar sind.

Pidgeon (1991) weist darauf hin, dass der Kontext der Analyse von Sicherheitskultur vergrößert und verkleinert werden kann. Innerhalb der Organisation könnte zum Beispiel eine Arbeitsgruppe oder Ab- teilung Kontext der Analyse sein, und organisationsübergreifend eine Wirtschaftseinheit oder ein regi­onaler oder überregionaler Wirtschaftsverband. Auch die Politikwissenschaft bedient sich dem Sicher­heitskulturbegriff im gesamtgesellschaftlichen Kontext, vielzitiert sind die diesbezüglichen Publikatio­nen von Daase et al. (2012).

Mit dem Ziel eine hohe Allgemeingültigkeit zu erreichen wird in dieser Untersuchung soweit möglich von Organisation gesprochen. Wenn die Quellen Einschränkungen auf Unternehmen vornehmen, wird diese übernommen.

2.4 Sicherheitskultur

In diesem Kapitel wird die historische Entwicklung der „Sicherheitskultur“ dargestellt. Ferner wird Si­cherheitskultur vom größeren Konzept, der Organisationskultur, abgegrenzt. Anschließend wird der Be­griff Sicherheitskultur selbst diskutiert. Sodann sind weitere, engverwandte Begriffe der Sicherheitskul­tur abzugrenzen, wie das Sicherheitsklima, dem in der empirischen Forschung eine entscheidende Rolle zukommt. Nur vermeintlich nahestehende Begriffe, wie das subjektive Sicherheitsgefühl, das nicht mit Sicherheitskultur zu tun hat, werden hier nicht aufgegriffen.

2.4.1 Historischer Abriss

Über einen Umweg kam der Kulturbegriff in die Sicherheitswelt. „Etwa zu Beginn der 80er Jahre wurde in der Organisationsforschung der Begriff Kultur als weitere Metapher eingeführt und fand vor dem Hintergrund beträchtlicher Wirtschaftserfolge japanischer Konzerne in den 70er Jahren schnell große Resonanz bei Managern und Wissenschaftlern.“67 In dieser Zeit avancierte Japan zum Vorbild für west­liche Industriegesellschaften. Es wurden Unterschiedsfaktoren zwischen westlichen und japanischen Unternehmen herausgearbeitet, deren gemeinsamer Nenner kulturelle Dimensionen darstellten.68 Es war nicht die überlegende Technologie oder bessere Struktur, sondern die zum Teil unausgesprochenen Re­geln und impliziten Normen, welche die Erfolge der japanischen Unternehmen begründeten.

So war die Diskussion über Kultur in Organisationen anfänglich von der Idee geprägt, dass Kultur in besonders intensiver Weise das organisatorische Handeln beeinflusst und sich in bestimmten Fällen zur treibenden Kraft für herausragende Leistungen entwickelt.69 Noch in den 1980er Jahren erhielt Unter­nehmens- und Organisationskultur und ihr Einfluss auf Unternehmen bzw. Organisationen reges wis­senschaftliches und populärwissenschaftliches Interesse. „Unternehmenskultur avancierte (in den 1980ern und -90ern) zum bestverkauften Sachbuchthema [.]. Sein inzwischen inflationärer Gebrauch [.] behindert eine nähere Klärung und ein einheitliches Verständnis des Kulturbegriffs zusätzlich.“70

In die 1980er Jahre viel auch die Kernreaktorkatastrophe von Tschernobyl. 1986, im Jahr des Unfalls, kam die Frage auf, wie ein Schadenereignis so großen Ausmaßes geschehen konnte. Es wurde schnell deutlich, dass das Bedienpersonal nicht durch Wissensdefizite den Reaktorunfall verursacht hatte.“71 Denn es war bekannt, dass eine falsche Bedienung des Reaktorsystems zu erheblichen Folgen in Form einer Kernschmelze führen konnte. Letztlich lag die Ursache von Tschernobyl in der Kombination des technischen Designs mit unzureichender Sicherheitskultur.72 Erstmals belegt ist das Wort safety culture in einem Bericht der Wiener Atom Energie Agentur (IAEA) zur Ursachenerklärung der Kernreaktorka­tastrophe von Tschernobyl im Jahr 1986.73 Der Begriff Sicherheitskultur fand schnell Einzug in die Literatur.74 Mit der Integration des Kulturansatzes in die Sicherheitsforschung wurde der Faktor Mensch in zuvor stark technisch geprägten Systemvorstellungen greifbarer. Es geht darum, in einer Organisation „ein vernünftiges, von Vertrauen geprägtes Verhältnis zur Technik“ sicherzustellen.75 Hinweise auf menschliche Bedienfehler, die wesentlich bedingt durch kulturelle Einflüsse in Form von organisatio- nalen Faktoren und Umweltfaktoren waren, konnten neben Tschernobyl auch beim Unfall im Kernkraft­werk Tree Miles Island, beim Chemieunfall in Bhopal und dem Untergang der Herald of Free Enterprise gefunden werden.76

Anfänglich hat sich die wissenschaftliche Auseinandersetzung noch eng an der safety culture einer Hochrisikoorganisation orientiert. In den 1990ern erweiterte sich das Interesse an der Sicherheitskultur über die Unfallursachenerforschung hinaus zu einem präventiven Ansatz, an dem maßgeblich noch die INSAG selbst beteiligt war.77 „Mit dem Ziel einer präventiv orientierten Sicherheitsforschung beabsich­tigten die Autoren, eine ganzheitliche Perspektive auf die technischen, sozialen und organisationsstruk­turellen Komponenten der Systemsicherheit zu entfalten.“78 Darüber hinaus hat sich das Forschungsin­teresse seit den 2000ern weiter diversifiziert. Das Konzept der Sicherheitskultur wurde in andere An­wendungsgebiete übertragen, zum Beispiel in Krankenhäuser oder auf das Feld der Informationssicher- heit.79 Heute besteht der Mangel darin, die diversifizierten Ansätze zur Sicherheitskultur auf Gemein­samkeiten hin zu prüfen.

2.4.2 Häufigkeit der relevanten Begriffe

Nachfolgende Abbildung zeigt, wie seit den 1990ern der Begriff Sicherheitskultur an Häufigkeit der

Erwähnung in wissenschaftlichen Publikationen zunimmt.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Sicherheitskultur in ausgewählten Fachpublikationen80

Am 15.Januar 2018 erzeugte die Suchmaschine Google zu „Sicherheitskultur“ 226.000 Suchergebnisse und zu „ safety culture“ 2.540.000 Treffer. Hingegen fanden sich zu „ security culture“ nur 375.000 Einträge und zu „ information security culture“ noch 126.000. Noch weniger Aufmerksamkeit fand der deutsche Begriff „Informationssicherheitskultur“, der nur 445 Treffer bei Google aufwies. Keinerlei Verbreitung hatte der Begriff „Angriffssicherheitskultur“.

Dominierend war zum oben genannten Stichtag der Begriff „ security awareness“ mit 9,5 Mio. Sucher­gebnissen. Zum Begriff Organisationskultur fanden sich 292.000 Suchergebnisse, wobei die englisch­sprachige Entsprechung organizational culture 5,1 Mio. Suchergebnisse erzielte und der oft Synonym verwendete Begriff corporate culture sogar 8 Mio. Treffer aufgewiesen hat.

Inhaltlich ist im deutschsprachigen Raum trotz großer Beliebtheit des Sicherheitskulturbegriffes eine unscharfe Differenzierung von safety -, security - und information security culture festzustellen. Dies zeigt sich auch in der großen Häufigkeit des Begriffs „Sicherheitskultur“ und der erheblich geringeren Häufigkeit des diversifizierten Begriffs Informationssicherheitskultur. Eine Angriffssicherheitskultur ist noch gänzlich unbekannt, der englischsprachige Begriff „ security culture“ findet hingegen Anwendung.80

2.4.3 Organisationskultur

Wie in Kapitel 2.4.2 dargestellt, setzte die Forschung zur Organisationskultur historisch früher ein, im Vergleich zur Sicherheitskultur. Der Organisationskulturansatz geht davon aus, dass jede Organisation, ähnlich wie eine Volksgruppe, im Laufe ihrer historischen Entwicklung spezifische Vorstellungs- und Orientierungsmuster und damit eine individuelle Organisationskultur entwickelt, die einen starken und nachhaltigen Einfluss auf das Verhalten ihrer Mitglieder hat.81 Ferner ist die Annahme, dass Organisa­tionen eigenständige kulturelle Einheiten sind und Handlungen vor diesem Hintergrund her zu verstehen und interpretieren sind. Demnach bilden Organisationen jeweils eigene, unverwechselbare Orientie­rungsmuster aus, die das Verhalten der Mitglieder beeinflussen, die aber auch gemeinsame Verständi­gungsräume, Wahrnehmungsräume und Wertorientierungen liefern und damit den Mitgliedern Ent­scheidungen abnehmen. Diese gemeinsamen Orientierungen stützen und organisieren das Handeln unter anderem durch Rituale, Symbole und Analogien.82 Organisationskultur wird als emergent symbolischer Prozess verstanden, der ein Sinnsystem sozial konstruiert.83

„Kulturen stellen ein Stück gewachsene Geschichte dar, die sich zwischen die formale Organisation der Arbeit und das Techniksystem schiebt; ohne sie wäre die Arbeitsorganisation weitgehend überfordert, wäre das Management eine Höllenaufgabe.“84 Kultur entsteht in der Organisation über informale Rege­lungen, die sich zu einem gemeinsamen Verständnis über die Art und Weise der Zusammenarbeit etab­lieren und häufig auf geteilten Werten und Normen basierten. Verstöße gegen diese durch Selektion und Sozialisation stabilisierten kulturellen Regelungen werden von Mitarbeitenden häufig schwerwiegender empfunden, wie ein Verstoß gegen formale Regelungen.85 Letztlich bildet Organisationskultur den Rah­men für alle Handlungen innerhalb einer Organisation. Die Kultur bestimmt das beobachtbare Handeln in einer Organisation, wobei identisches Verhalten in unterschiedlichen Organisationen unterschiedlich zu interpretieren ist.86

Schreyögg (2012) hat Kernmerkmale von Organisationskulturen wie folgt zusammengefasst:

- „Organisationskulturen entstehen durch historische Lernprozesse im Umgang mit Problemen, sodass sie sich stets im Wandel befinden. Sie werden überwiegend nicht bewusst von den Or­ganisationsmitgliedern gelernt, sondern in einem Sozialisationsprozess vermittelt, und stellen kollektive Phänomene dar, die das individuelle Verhalten von Organisationsmitgliedern weit­gehend vereinheitlichen.
- Organisationsmitglieder empfinden ihre Organisationskultur als selbstverständlich und reflek­tieren diese nur selten. Organisationskulturen spielen sich nicht nur auf der kognitiven Ebene der Organisationsmitglieder ab, sondern in hohem Maße auch auf der emotionalen Ebene.
- Dabei vermittelt eine Organisationskultur den Angehörigen einer Organisation Orientierung im komplexen Arbeitsalltag, indem sie Vorgaben hinsichtlich der Interpretation von und der Reak­tion auf Ereignisse macht und somit das Verhalten untereinander sowie miteinander regelt.“87

Praxisorientierte Ansätze in der Forschung zur Organisationskultur betrachten Organisationskultur im Hinblick darauf, wie Organisationen top-down durch das Management beeinflusst werden kann. Neben der Beeinflussung von oben wird Kultur in Organisationen aber im Wesentlichen durch alle Mitarbei­tenden, und nicht nur durch Führungskräfte und deren Einfluss geprägt. Demnach lässt sich die zielge­richtete Gestaltung der Unternehmenskultur lässt nicht im Rahmen eines Projekts abarbeiten, sondern ist ein langwieriger Prozess.88

Organisationskultur ist ein dynamisches, multidimensionales, hypothetisches Konstrukt wie der Faktor Mensch exakt zu Ort, Zeit und Situation passendes Verhalten zeigt.89 Zwar wurden Modelle der Orga­nisationskultur entwickelt. Aber diese Modelle eigenen sich nicht die Wirkmechanismen und Zusam­menhänge so zu erklären, dass die Ableitung von Prädiktorvariablen und eine Verhaltensvorhersage möglich ist.90 Jedoch sind die entwickelten Modelle geeignet Kultur, sei es Organisationskultur oder Sicherheitskultur, zu beschreiben. So findet sich in der Organisationskulturdiskussion das Kultureben­enmodell wieder, nach dem Organisationskultur aus den drei Ebenen sichtbaren Artefakten, bewussten Überzeugungen und Werten sowie größtenteils unbewussten Komponenten besteht, siehe hierzu Kapitel 3.1.91 Häufig diskutiert werden darüber hinaus die Modelle von Hofstede (1984), der Kultur mit dem Bild einer Zwiebel erklärt, oder das 7-S-Modell von Waterman, Peters und Phillips (1980), die drei harte und vier weiche Faktoren als Standbeine der Unternehmenskultur herausgearbeitet haben. Diese erklä­renden Modelle der Organisationskultur bzw. Unternehmenskultur werden für die vorliegende Frage­stellung nicht aufgegriffen. Es lassen sich keine potentiellen Prädiktorvariablen aus diesen Modellen deduktiv ableiten.

Organisationen weisen eigenständige Orientierungsmuster auf, die sicherheitsbezogene Erfahrungen enthalten und das durch kollektiv kulturelle Prozesse vermittelt werden.92 „Die Kultur einer Organisa­tion stellt kein geschlossenes Konzept dar. [...] Konsens oder Integration treten v.a. innerhalb von Sub­kulturen auf. Die Kultur einer Organisation setzt sich so gesehen aus einer Reihe von Subkulturen zu­sammen, oder sie zerfällt in Gegenkulturen. [.] Bei der Idee der Subkulturen wird davon ausgegangen, dass eine übergeordnete Kultur bzw. Basiskultur besteht zu gewissen unternehmensweit gültigen Grund- annahmen.“93

2.4.4 Begriffsverständnis von Sicherheitskultur

„Trotz seiner häufigen Verwendung wurde der Begriff Sicherheitskultur nicht von allen Autoren, und erst recht nicht einheitlich definiert“.94 Im Jahr 1996 definierte der Soziologe Thomas Rein Sicherheits­kultur als „das Gesamt der auch im Modus nicht mehr weiter reflektierter Selbstverständlichkeit von den Einzelnen parat gehaltenen Wahrnehmungsfiltern, Deutungsmustern und regulativen Konzepten der Handlungsleitung in Sicherheitsfragen.“95 Er konstatiert, dass sich einige Kulturbereiche außerhalb der Reflektion bzw. des Bewusstseins befinden.96

Die INSAG (2002) definiert Sicherheitskultur „als die Gesamtheit der von der Mehrheit der Mitglieder einer Organisation geteilten sicherheitsbezogenen Grundannahmen und Normen [.], die ihren Aus­druck im konkreten Umgang mit Sicherheit in allen Bereichen der Organisation finden.“97 Diese IN­SAG-Definition von Sicherheitskultur findet bis heute die weiteste Verbreitung.98 Obwohl die Autoren und Autorinnen Sicherheit aus der Perspektive Systemsicherheit bzw. safety betrachten, wurde inhalt­lich keine Einschränkung darauf vorgenommen.

„Sicherheitskultur wird allgemein als Vorherrschen sicherheitsförderlicher Bedingungen, als geschulter Ansatz effektiven Handelns und als das Bestehen auf einer sicheren Technik als Grundlage des Handelns und der selbstkritischen Problembewältigung verstanden.“99 Ergänzende inhaltliche Konkretisierungen, wie z.B. gute Zusammenarbeit und effektive Kommunikation, finden sich darüber hinaus bei etlichen Autorinnen und Autoren mit erfahrungsgeleiten Definitionsansätzen, wie sie im kerntechnischen Um­feld zu finden sind.100

Es stellt sich die Frage, ob der oben vollzogene Blickwinkel aus der Systemsicherheit bzw. safety Dif­ferenzen zum Begriffsverständnis von Sicherheitskultur aus dem Betrachtungswinkel der Informations­sicherheit aufweist? Karlsson et al. (2015) stellen hierzu fest, dass auch auf dem Feld der Informations­sicherheit ein uneinheitliches Begriffsverständnis von Informationssicherheitskultur vorliegt. Die Auto­rinnen und Autoren legen Wert darauf, dass Sicherheitskultur das Resultat von Gruppenprozessen ist.101 Es gibt gemeinsame Muster von Werten, mentalen Modellen und Handlungen in Organisationen, die sich im Laufe der Zeit unter den Mitarbeitenden herauskristallisiert und Auswirkungen auf die Informa­tionssicherheit haben (eigene Übersetzung).102 Ferner wird auf soziale Vermittlungs- und Kommunika­tionsaspekte als Voraussetzung des Entstehens von Sicherheitskultur hingewiesen. Sicherheitskultur entwickelt sich durch kollektive Aneignung und repräsentiert „das geteilte Bewußtsein und korrespon­dierende Verhalten aller Systemmitglieder, das die Sicherheit des Gesamtsystems fördert.“103

Karlsson et al (2015) und da Veiga et al. (2017) stellen ihr Verständnis von (Informations-) Sicherheits­kultur in Bezugnahme auf die Organisationskultur dar. Ihr Verständnis einer Sicherheitskultur unter­scheidet sich von der Organisationskultur vor allem durch den Kontext und durch die genannten Bei­spiele. Da Veiga et al. (2017) konstatieren, information security culture „relates to the way things are done in the organisation to protect information, which is visible in artefacts (e.g. posters on online train­ing), collective values, norms and knowledge (e.g. customer information is valuable and should be pro­tected) and basic assumptions (information is a strategic asset).104 Die Recherche einer Sicherheitskul­turdefinition aus dem Blickwinkel der Angriffssicherheit bzw. security war in der zugrundeliegenden Literatur ohne Ergebnis.

Den beiden Forschungslinien zur Sicherheitskultur im Sinne von Systemsicherheit bzw. safety und In­formationssicherheit gemeinsam sind einerseits die sicherheitsbezogenen Definitionsbestandteile. Fer­ner lassen sich „die mentalen Repräsentationen auf kollektiver Ebene in Form von Werten, Normen, Einstellungen oder auch Bewusstsein in der Mehrzahl der Definitionen hervorheben.“ Daraus resultiert sicherheitsrelevantes Verhalten, wobei die meisten Autorinnen und Autoren betonen, dass das individu­elle oder kollektive Verhalten mehr Ausdruck, und weniger ein Bestandteil von Sicherheitskultur ist, d.h. Verhalten ist demzufolge nicht definitorischer Bestandteil von Sicherheitskultur.105

Unklarheiten erkennt Strunk (2015) in drei Aspekten von Sicherheitskultur:106

- Der Sicherheitskulturansatz ist breit, was kein Nachteil sein muss auch wenn Abgrenzungsprob­leme entstehen. „So besteht der Vorteil des Kulturbegriffs gerade darin, ein umfassendes und breites (um nicht zu sagen „holistisches“) Konzept anzubieten.“107
- Sicherheitskulturen sind hypothetische Konstrukte, sie „greifen selbst wieder auf hypothetische Konstrukte wie Wert, Bewusstsein oder Symbolsystem zurück die durch weitere, meist wiede­rum theoretische Konstrukte definitionsbedürftig sind.“108
- Es besteht eine Kreiskausalität, in dem Individuen gleichzeitig Gestalter der Kultur und Träger der Kultur sind. „Individuen (treten) zum einen als Gestalter von Sicherheitskultur in Erschei­nung, indem sie Werte, Einstellungen, Wahrnehmungen, Fähigkeiten und Verhaltensmuster zei­gen. Zum anderen führen soziale Interaktionen (Gruppen-Normen, Rollen, Führungsverhalten) zu gemeinsam geteilten Werten, Einstellungen, Wahrnehmungen, Fähigkeiten und Verhaltens­mustern, die auf das Individuum zurück wirken. Kultur wird von Individuen geschaffen, die sich als Einzelne aber auch in sie einfügen.“109

Unstrittig ist, dass Sicherheitskultur eine Subkomponente der Organisationskultur darstellt.110 „Sicher­heit ist, sofern entsprechend gelebt, ein Teilaspekt der Unternehmenskultur.“111 Demnach operiert Si­cherheitskultur nicht in einem Vakuum, gerade in Hochrisikoorganisationen ist „ safety “ ist die dominie­rende Charakteristik der Organisationskultur.112 Sicherheitskultur ist beeinflusst und beeinflusst selbst andere, nicht sicherheitsbezogenen Prozesse in Organisationen.113 Differenzierungen der Subkulturen finden sich in abstrakter Form, zum Beispiel in neutrale Subkulturen, verstärkende Subkulturen und Gegenkulturen bei Young (1989) und Aktouf (1985). Die Frage, wie genau sich Organisationskultur und Sicherheitskultur überschneiden kann durch den aktuellen Forschungsstand nicht hinreichend ge­klärt werden. Für die vorliegende Untersuchung wird Sicherheitskultur eigenständig betrachtet, wenn­gleich im Rahmen der Ermittlung potentieller Dimensionen auf die Organisationskulturdiskussion zu­rückgegriffen wird.

[...]

1 Sennewald (2003) S. 19

2 vgl. Fahlbruch et al. (2012) S. 22

3 vgl. Müller ( 2010) S.1

4 vgl. Pokoyski (2009) S. 14

5 vgl. Beloyová, Banse (2013) S. 23

6 Fahlbruch et al. (2012) S. 23

7 vgl. Endreß/Feißt (2014) S. 19

8 vgl. Beloyová/Banse (2013) S. 23

9 Schein (2010) S. 5

10 vgl. Strunk et al. (2009) S. 364

11 vgl. Müller (2010) S. 16

12 vgl. Voegel (2011) S. 39

13 vgl. Ashby (1964) S. 207

14 vgl. Voegel (2011) S. 39

15 vgl. Simon (2013) S. 162f.

16 vgl. Strunk/Schiepek (2014) S. 139

17 vgl. Künzler (2002) S. 42

18 Stober et al. (2012)

19 Müller (2015)

20 vgl. Purpura (2008) S. 123f.

21 Badke-Schaub et al. (2012)

22 VDI (2010) S. 12

23 vgl. Stober (2012) S. 5

24 Jendrian (2014) S. 552

25 Klaffke (2016) S. V

26 vgl. Müller ( 2010) S.1

27 vgl. Stober (2012) S. 10

28 vgl. Endreß/Feißt (2019) S.19

29 vgl. Stober (2012) S. 10

30 vgl. Schmidt (2012) 875ff.

31 vgl. Fahlbruch et al. (2012) S. 31

32 Vgl. Karlsson et al. (2015) S. 247

33 Büttner et al. (2007) S. 11

34 ebd. S. 11

35 Badke-Schaub et al. (2012) S. 23

36 vgl. Hilles (2011)

37 vgl. Schmidt (2012) S. 881

38 Amann/Azmüller (1992) S.287

39 DIN/ISO 27001 S. 2

40 Brenner et al. (2017) S. 3f.

41 vgl. Stober (2012) S. 5

42 vgl. Giebel (2012) S. 30f.

43 vgl. Lange et al. (2014) S. 280ff.

44 vgl. Appelsmeyer et al. (2011) S. 56

45 vgl. Thomas (2003) S. 35

46 vgl. Daase (2011) S. 60f.

47 Kühl (2017) S. 1

48 Banse (2010) S. 195

49 Wilpert, 1993, S. 360

50 ebd. S. 361

51 vgl. Luhmann (1972) S. 31

52 ebd. S. 31

53 vgl. ebd. S. 31

54 vgl. Tomas (1993) S. 380

55 Genkova et al. (2012) S. 41

56 Grubendorfer (2016) S. 20

57 ebd S. 24

58 vgl. Erll/Gymnich (2010) S. 22f.

59 vgl. Scherm/Süß (2001) S. 20f.

60 Martin (2002) S. 55

61 Czarniawska-Joerges (1992) S 108

62 Roth (1999) S. 318f.

63 ebd. S. 318f.

64 vgl. Siedschlag / Jerkoviü S.303

65 vgl. Schreyögg et al (2016) S. 9

66 ebd. S. 9

67 Büttner et al. (2007) S. 15

68 vgl. Schreyögg et al (2016) S. 337f.

69 ebd. S. 331

70 Büttner et al. (2007) S. 16

71 Rauer (2011) S. 67

72 vgl. Mara (2011) S 13

73 vgl. INSAG (1986)

74 Büttner et al. (2007) S. 38

75 Kuhlmann, A. (2001): S. 126

76 vgl. Nerdinger et al. (2014) S. 503

77 INSAG (1992) S. 27f.

78 Büttner et al. (2007) S. 57

79 Schlienger/Teufel (2002) S.191

80 Rauer (2001) S. 67

81 vgl. Schreyögg (2012) S. 317

82 vgl. Weißbach/Poy (1994) S. 393

83 vgl. Schreyögg (2003) S. 439

84 Weißbach/Poy (1994) S. 394

85 vgl. Bach et al. (2017) S. 30f.

86 Scott et al. (2002) S. 108

87 vgl. Schreyögg (2012) S. 173f.

88 Bach et al. (2017) S. 243

89 Cooper (2000) S. 112

90 vgl. ebd. S. 131

91 Scott et al. (2002) S. 107

92 vgl. Künzler (2002) S. 58

93 Künzler (2002) S. 64

94 Büttner et al. (2007) S 38

95 Rein (1996) S. 648

96 vgl. ebd. S. 648

97 Manser (2012) S. 309

98 vgl. Fahlbruch et al. (2012) S. 31

99 Büttner et al. (2007) S. 39

100 vgl. ebd. S. 44

101 vgl. Karlsson et al. (2015) S. 247

102 Karlsson et al. (2015) S. 247

103 Wilpert (1991) S. 13

104 da Veiga et al. (2017) S. 75

105 ebd. S. 44

106 Strunk (2015) S. 267

107 ebd. S. 367

108 Büttner et al. (2007) S. 43

109 Strunk (2015) S. 269

110 vgl. Cooper (2000) S. 112

111 Helisch (2009) S. 27

112 Cooper (2000) S. 113

113 ebd. S. 113

Ende der Leseprobe aus 88 Seiten

Details

Titel
Sicherheitskultur. Relevante Dimensionen für die Unternehmenspraxis
Hochschule
Hochschule für Wirtschaft und Recht Berlin
Note
1,0
Autor
Jahr
2018
Seiten
88
Katalognummer
V1169160
ISBN (eBook)
9783346588043
ISBN (Buch)
9783346588050
Sprache
Deutsch
Schlagworte
Awareness, Security Awareness, Security Culture, Sicherheitskultur, Sicherheitstraining, Unternehmenskultur, Sicherheitstest, Sicherheitskulturfragebogen, Fragebogen, Sicherheit, Security, Test
Arbeit zitieren
Christoph Öxle (Autor:in), 2018, Sicherheitskultur. Relevante Dimensionen für die Unternehmenspraxis, München, GRIN Verlag, https://www.grin.com/document/1169160

Kommentare

  • Noch keine Kommentare.
Blick ins Buch
Titel: Sicherheitskultur. Relevante Dimensionen für die Unternehmenspraxis


Ähnliche Arbeiten


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden