Die fehlenden Grundlagen einerseits und der populärwissenschaftlich, inflationäre Gebrach der zugrundeliegenden
Begriffe andererseits macht zunächst eine grundsätzliche Begriffsklärung erforderlich. Was ist Kultur, was ist Sicherheit? Was ist Sicherheitskultur und worin unterscheiden sich engverwandte Begriffe wie Organisationskultur, Sicherheitsklima und Organisatorische Resilienz?
Diese Begriffsklärungen und ein historischer Abriss der Sicherheitskulturforschung befinden sich in Kapitel 2.
In Kapitel 3 werden Theorien und Modelle der Sicherheitskultur herangezogen, um zu prüfen, ob sich daraus die Dimensionen der Sicherheitskultur ableiten lassen. Es werden auch Systeme zur Kategorisierung der Dimensionen vorgestellt. In Kapitel 4 werden anhand einer Metastudie und anhand dem Beispiel von zwei ausgewählten Analyseinstrumenten die möglichen Dimensionen von Sicherheitskulturvorgestellt.
Kapitel 5 enthält die empirische Untersuchung, hier geht es um die Frage, ob die inhaltliche Gültigkeit der zwei Analyseinstrumente WSF und CLTRe bei einer Generalisierung erhalten bleibt. Dabei wird ein Sicherheitsverständnis der Angriffssicherheit bzw. security im Kontext von Organisationen zugrunde gelegt. Die Experteninterviews werden auch zur explorativen Suche nach potentiellen Dimensionen der Sicherheitskultur genutzt. Abschließend werden in Kapitel 6 die theoretischen und empirischen Untersuchungsergebnisse zusammengefasst. In Kapitel 7 sind Anregungen für zukünftige Forschungsansätze formuliert.
Inhaltsverzeichnis
Summary
Abkürzungsverzeichnis
1. Einleitung
2. Begriffsbestimmungen
2.1 Sicherheit
2.1.1 Sicherheit im Sinne von Systemsicherheit bzw. safety
2.1.2 Sicherheit im Sinne von Informationssicherheit
2.1.3 Sicherheit im Sinne von Angriffssicherheit bzw. security
2.1.4 Abgrenzung zu anderen Sicherheitsgebieten und -Begriffen
2.2 Kultur
2.3 Organisation
2.4 Sicherheitskultur
2.4.1 Historischer Abriss
2.4.2 Häufigkeit der relevanten Begriffe
2.4.3 Organisationskultur
2.4.4 Begriffsverständnis von Sicherheitskultur
2.4.5 Sicherheitskultur vs. Sicherheitsklima
2.4.6 Sicherheitskultur vs. Awareness
2.4.7 Sicherheitskultur vs. Organisatorische Resilienz
2.4.8 Sicherheitskultur vs. Sicherheitsmanagement
3. Modelle und Strukturen der Sicherheitskulturforschung
3.1 Kulturebenenmodell nach Schein
3.2 safety-culture -Modell der INSAG
3.3 Eisbergmodell der Sicherheitskultur
3.4 Sicherheit durch organisationales Lernen (SOL)
3.5 Vergleich der Sicherheitskulturansätze
4. Dimensionen der Sicherheitskultur
4.1 Metaanalyse von Büttner et al. (2007) zur Sicherheitskultur
4.2 Wiener Sicherheitskulturfragebogen (WSF) als Operationalisierungsbeispiel
4.3 CLTRe als Operationalisierungsbeispiel
5. Empirische Untersuchung
5.1 Fragestellung
5.2 Beschreibung der Methode
5.3 Beschreibung der Ergebnisse
5.4 Diskussion der Ergebnisse
6. Zusammenfassung
7. Ausblick
Literaturverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
Anhang
Anhang A: Aufgabengebiete mit Sicherheitsbezug in Unternehmen
Anhang B: Sicherheitskulturmodell in der Politikwissenschaft
Anhang C: Levels of culture
Anhang D: Vergleich der Konzepte Organisationskultur und Sicherheitskultur
Anhang E: Vergleichende Darstellung von acht Erhebungsverfahren der Sicherheitskultur
Anhang F: Semistrukturierter Interviewleitfaden
Anhang G: Interview Person „G“
Anhang H: Interview Person „H“
Anhang I: Interview Person „I“
Summary
Die Analyse und Beeinflussung der Sicherheitskultur ist eine Aufgabe im Sicherheitsmanagement. Doch welche Faktoren beeinflussen eine sicherheitsförderliche Kultur in einer Organisation? Zur Bestimmung der „Sicherheitskultur“ stehen für Anwendungsfelder im Krankenhaus und in der Informationssicherheit valide Messinstrumente basierend auf psychometrischen Fragebögen zur Verfügung. Für Organisationen im Allgemeinen stehen Instrumente mit nachgewiesener Güte nicht zur Verfügung. Fraglich ist, in wie fern die zwei eben genannten Analyseinstrumente Gültigkeit für allgemeine Organisationen aufweisen. Experten für Sicherheit, im Sinne von Angriffssicherheit bzw. security, bewerteten darum die Inhaltsvariabilität nach ihrem Verständnis von Sicherheit. Prüfergebnis ist, dass die Gültigkeit der kulturbestimmenden Dimensionen in der security -, safety - und Informationssicherheit nur zum Teil vergleichbar sind, wobei in einem Teilbereich sogar ein Gegensatz festgestellt wurde. Eine Übertragung der beiden Tests auf ein breiteres Anwendungsfeld ist nicht möglich. Weiterhin ist die Diskussion ergebnisoffen, welche Dimensionen die Allgemeine Sicherheitskultur bestimmen.
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1. Einleitung
Sicherheit ist ein wesentlicher Wettbewerbsfaktor und Basis der Existenzsicherung von Organisatio- nen.1 Neben dem wirtschaftlichen Erfolg übt Sicherheit in Organisationen einen starken Einfluss auf das Wohlbefinden und die Zufriedenheit der Mitglieder einer Organisation aus und erhöht die gesellschaftliche Akzeptanz der Organisation an sich.2 Zunehmend verpflichten gesetzliche Auflagen die Organisationen dazu, vorgegebene Sicherheitsstandards zu erfüllen, dies gilt insbesondere für Sicherheit im Sinne von Arbeitssicherheit und Informationssicherheit. Ferner ist die öffentliche Kriminalitätsbekämpfung an Mitteln und Möglichkeiten limitiert. Organisationen setzen auch zur Reduzierung diesbezüglicher Schäden eigene Ressourcen ein. Erschwerend kommt hinzu, dass der technologische Fortschritt, die Globalisierung, die Dynamik der immer stärkeren Vernetzung zu neuen Bedrohungsfeldern führt.3 Organisationen reagieren darauf durch angepasste oder ergänzte Sicherheitsmaßnahmen.
In größeren Organisationen betreuen Fachkräfte und -Abteilungen das Thema Sicherheit. Dennoch ist das Sicherheitsniveau wesentlich davon abhängig, ob die Mitarbeitenden der Organisation sicherheitsgerechtes Verhalten zeigen. Sicherheitsaufgaben sind als Querschnittsaufgaben zu verstehen, die alle Mitglieder einer Organisation betreffen.4 Das Niveau der Sicherheit einer Organisation ist dabei in der Regel nicht statisch im Sinne von einem Zustand, es wird durch das Zusammenspiel der Organisation mit dem Bedrohungsfeld erzeugt. Somit ist Sicherheit eine Leistung der Organisation.5 „Sicherheit entsteht kontinuierlich aus dem (systemischen) Zusammenwirken von intra- und extraorganisationalen Faktoren (wie z. B. den Organisationsmitgliedern, der Technologie, den Strukturen oder Regeln)“.6 Ob Bedrohungen zu Schäden führen ist das Ergebnis von oftmals komplexen Vorgängen, die sich im systemisch vernetzten System der Organisation aus Bedrohung und Sicherheitsniveau ergeben.7
Bei der genaueren Analyse, wie Organisationsmitglieder das Sicherheitsniveau ihrer Organisation beeinflussen, wird den Grundhaltungen, Einstellungen und Kompetenzen der Organisationsmitglieder eine entscheidende Rolle zugeschrieben.8 Hier hält der Begriff Kultur Einzug in Sicherheitsbetrachtungen, da Kultur ein Muster darstellt, das von den gemeinsamen Grundannahmen der Mitglieder einer Organisation oder Gruppe geprägt ist.9 Die Sicherheitskultur bestimmt, wie sich die Mitglieder aufgrund der Rahmenbedingungen einer Organisation in sicherheitsrelevanten Sachverhalten von sich heraus verhal- ten.10 Beispielsweise ist es möglich, dass in einem Start-up mit 50 Mitarbeitenden, geringe Schäden durch Sicherheitsereignisse auftreten, obwohl keine formalen Sicherheitsstrukturen oder Sicherheitsbeauftragten vorhanden sind. Während in einem Konzern, trotz hochwertiger Sicherheitsvorkehrungen und elaborierter Sicherheitsstrukturen, hohe Schäden auftreten, auch wenn die Schäden im Verhältnis zur Größe der Organisationen relativiert werden. Hier ist die Annahme, dass im Startup die Mitarbeitenden kulturell bedingt geringe Hemmnisse haben Probleme und Fehler offen zuzugeben und sich voll für die Organisation verantwortlich fühlen. Dieses Beispiel zeigt, wie das kulturelle Umfeld die Sicherheit einer Organisation beeinflussen kann.
Im Sicherheitsmanagement besteht die Herausforderung das Sicherheitsniveau einer Organisation zu messen, die Wirkung von Sicherheitsmaßnahmen zu bestimmen und zielgerichtete Ansätze für Sicherheitsoptimierungen zu implementieren.11 Bei Sicherheitsoptimierungen ist ein Ansatz im Sicherheitsmanagement der großen Anzahl an sicherheitsrelevanten Eventualitäten mit einer ebenso großen Anzahl an Regeln zu begegnen. Dieser Ansatz folgt einerseits der klassischen betriebswirtschaftlichen Organisations- und Managementlehre, die dem menschlichen Handeln Planmäßigkeit und Rationalität unterstellt und darüber hinaus gehende Einflussfaktoren auf das menschliche Handeln als „Störfaktor“ be- trachtet.12 Andererseits entspricht dieses Verhalten der Logik aus einem Ansatz den ASHBY (1974) in seinem "Law of requisite variety" formulierte: Erhöhte Umweltkomplexität kann nur durch eine Steigerung des internen Komplexitätsniveaus abgebildet werden.13 Probleme ergeben sich jedoch durch den Faktor Mensch, der mit seinen begrenzten Ressourcen zum limitierenden Faktor wird. Mitarbeitende können nicht unbegrenzt viele Regeln kennen. Ferner können kulturelle Einflüsse dazu führen, dass selbst bekannte Regeln nicht beachtet werden. Einer kybernetischen Managementperspektive folgend, die beispielsweise von Drucker (1999) und Malik (2013) vertreten wird, steht für Führungskräfte nicht das detaillierte Organisieren im Vordergrund, sondern „das Schaffen von Rahmenbedingungen, innerhalb dessen sich durch das Verhalten und Handeln der Organisationsmitglieder neue Strukturen und Handlungsweisen von selbst entwickeln.“14 Demnach können Mitarbeitende auch dann eigenständig und angemessen auf sicherheitsrelevante Eventualitäten reagieren, wenn dieses Verhalten nicht als Arbeitsanweisung vorbestimmt wird. Voraussetzungen hierzu sind, unter anderem, die kulturellen Rahmenbedingungen der Organisation.15
Sicherheitskultur hat das Potential zum Schlüsselkonzept im Sicherheitsmanagement zu avancieren. Potentielle Einflussfaktoren auf die Sicherheit und Sicherheitskultur sind jedoch unvollständig erforscht. Ferner ist das menschliche Verhalten komplex.16 Die Forschungslücke besteht vor allem darin, dass die Einflussfaktoren noch nicht grundsätzlich identifiziert sind, die Auswirkung auf die Sicherheitskultur in Organisationen haben.17 Sind die Dimensionen der Sicherheitskultur entschlüsselt, dann können gezielte Maßnahmen, sowie Analyseinstrumente für Vorher- Nachhermessungen entwickelt werden. Ferner ermöglicht die Bestimmung von Sicherheitskultur eine Vergleichbarkeit, im Sinne von Benchmarking, mit anderen Organisationen.
In der Fachliteratur greifen Standardwerke für das Sicherheitsmanagement das Thema Sicherheitskultur bislang gar nicht auf oder streifen es nur am Rande. Beispielsweise fehlt das Thema im Managementhandbuch Sicherheitswirtschaft und Unternehmenssicherheit. In den über 1200 Seiten taucht das Thema Sicherheitskultur nicht ansatzweise auf.18 Vergleichbar sieht es im Handbuch Unternehmenssicherheit auf. Auf rund 600 Seiten finden sich lediglich Hinweise auf unspezifische Sensibilisierungsmaßnahmen und Schulungen als Teil eines umfassenden Sicherheits-, Kontinuitäts- und Risikomanagement.19 Auch im englischsprachigen Standardwerk SECURITY AND LOSS PREVENTION finden sich zwar Ansätze zu Training und Sozialisation für Mitarbeiter, jedoch zielen die punktuellen Einzelaspekte nicht auf die kulturelle Prägung der Mitarbeitenden ab.20 Intensiver wird Sicherheitskultur in spezialisierten Standardwerken, wie Human Factors, Psychologie sicheren Handelns in Risikobranchen von Badke- Schaub et al. (2012), oder Arbeits- und Organisationspsychologie von Nerdinger et al. (2014) disku- tiert.21
In zwei Spezialgebieten der Sicherheit bestehen valide Instrumente zur Analyse der Sicherheitskultur: Einerseits erhebt der Wiener Sicherheitskulturfragebogen (WSF) im Krankenhaus die Sicherheitskultur im Sinne von Patinentensicherheit. Anderseits wurde das norwegische CLTRe zur Bestimmung von Informationssicherheitskultur in Organisationen entwickelt. Die zu klärende Frage ist, ob die Gültigkeit von WSF und CLTRe auch im Kontext von Organisationen oder Unternehmen im Allgemeinen ihre Gültigkeit behalten, wenn ein Verständnis von Sicherheit im Sinne von Angriffssicherheit bzw. security zugrunde gelegt wird? Wenn die Generalisierbarkeit dieser zwei Instrumente positiv ausfällt, kann auf dieser Basis das Konstrukt Sicherheitskultur praxisorientiert nutzbar gemacht werden.
Die fehlenden Grundlagen einerseits und der populärwissenschaftlich, inflationäre Gebrach der zugrundeliegenden Begriffe andererseits macht zunächst eine grundsätzliche Begriffsklärung erforderlich. Was ist Kultur, was ist Sicherheit? Was ist Sicherheitskultur und worin unterscheiden sich engverwandte Begriffe wie Organisationskultur, Sicherheitsklima und Organisatorische Resilienz? Diese Begriffsklärungen und ein historischer Abriss der Sicherheitskulturforschung befinden sich in Kapitel 2.
In Kapitel 3 werden Theorien und Modelle der Sicherheitskultur herangezogen, um zu prüfen, ob sich daraus die Dimensionen der Sicherheitskultur ableiten lassen. Es werden auch Systeme zur Kategorisierung der Dimensionen vorgestellt. In Kapitel 4 werden anhand einer Metastudie und anhand dem Beispiel von zwei ausgewählten Analyseinstrumenten die möglichen Dimensionen von Sicherheitskultur vorgestellt.
Kapitel 5 enthält die empirische Untersuchung, hier geht es um die Frage, ob die inhaltliche Gültigkeit der zwei Analyseinstrumente WSF und CLTRe bei einer Generalisierung erhalten bleibt. Dabei wird ein Sicherheitsverständnis der Angriffssicherheit bzw. security im Kontext von Organisationen zugrunde gelegt. Die Experteninterviews werden auch zur explorativen Suche nach potentiellen Dimensionen der Sicherheitskultur genutzt. Abschließend werden in Kapitel 6 die theoretischen und empirischen Untersuchungsergebnisse zusammengefasst. In Kapitel 7 sind Anregungen für zukünftige Forschungsansätze formuliert.
2. Begriffsbestimmungen
Die theoretischen Grundlagen der Sicherheitskulturdiskussion werden zunächst im Hinblick auf die Fragestellung beleuchtet. Zur ersten Annäherung an das Konzept der Sicherheitskultur werden „Sicherheit“ und „Kultur“ getrennt voneinander als Begriff geklärt. Anschließend wird auf die Sicherheitskultur als solche eingegangen. Sicherheitskultur ist ein dynamisches, organisationsindividuelles Konstrukt, dessen sich wechselseitig beeinflussende Faktoren in der vorliegenden Forschungsarbeit untersucht werden.
Viele Begriffe der Sicherheitskulturdiskussion finden in Praxis und Literatur uneinheitliche Anwendung, wozu bereits der Begriff „Sicherheit“ zählt. Ferner überlappen sich einige mit Sicherheitskultur zusammenhängenden Konzepte, so dass hier eine Abgrenzung vorzunehmen ist, z.B. Organisationskultur, Sicherheitsklima und Organisatorisch Resilienz.
2.1 Sicherheit
Im Deutschen ist praktisch jedes Substantiv mit dem Wort "Sicherheits" erweiterbar. Die breite Anwendung erschwert die Begriffsbestimmung. Selbst innerhalb wissenschaftlicher Disziplinen besteht ein stark uneinheitliches Begriffsverständnis von „Sicherheit“: Beispielsweise konstatiert der Verein Deutscher Ingenieure (VDI), dass „selbst das beispielhafte Normenwerk des Deutschen Instituts für Normung (DIN) [.] eine bemerkenswerte Vielzahl unterschiedlicher Begriffsbestimmungen für Sicherheit [.] aufweist.“22 Die meisten Erklärungsversuche zielen auf die Multidimensionalität des Sicherheitsbegriffs ab.23 Deutlich wird dies daran, dass im englischsprachigen Bereich Differenzierungen in security und safety bestehen, was im Deutschen mit dem Begriff Sicherheit zusammengefasst wird.
In der Diskussion um den Sicherheitsbegriff können zwei Probleme identifiziert werden. Einerseits besteht disziplinübergreifend und auch innerdisziplinär eine unerwartet große Varianz der Interpretationen des Sicherheitsbegriffes. Andererseits unterliegt Sicherheit einem Wandel, da sich mindestens die Zeit als Kontext wandelt. Deutlich wird dies beispielsweise durch die erstmals im Jahr 2005 veröffentlichte Norm zur Informationssicherheit DIN/ISO 27001. Erst wenige Jahre vor dem Erscheinen kamen vernetze digitalen Anwendungen auf.24 Organisationen nutzen heute Datenspeicherung in Clouds, digitale Shared Workspaces, Videokonferenzen via Internet und betreiben digital und global vernetzte Forschung und Wertschöpfung.25 Einhergehend mit diesen Neuerungen treten neue Bedrohungen auf, mit denen sich Organisationen auseinanderzusetzen haben.26 In dem sich die Zeit verändert, verändert sich die Sicherheitslage, was sich auf das Verständnis von „Sicherheit“ auswirkt.27 Einerseits bestehen alte Bedrohungen fort. Andererseits kommen neue Bedrohungen hinzu. Im Ergebnis ist der Begriff Sicherheit vor allem deshalb im Wandel, weil die individuellen Erwartungen an Sicherheit kontextuell unterschiedlich und zeitlich im Wandel sind.28
Sicherheit ist „ein relativer Zustand der Risiko- und Gefahrenfreiheit für einen exakt definierten Kontext (Zeitraum, Umgebung, Rahmenbedingungen, Akteure usw.)“.29 Diese allgemeine Definition wird in den nachfolgenden Kapiteln 2.1.1 bis 2.1.3 weiter spezifiziert. In der Praxis haben sich in großen Organisationen Spezialisierungen bzw. Aufgabengebiete entwickelt, in denen das Thema Sicherheit behandelt wird. Schmidt (2012) gibt hierzu ein ausdifferenziertes Beispiel, siehe Anhang A. Dabei ist die Zersplitterung von Sicherheitsaufgaben in mehrere Verantwortungsbereiche einer Organisation wiederum uneinheitlich. Einheitlich ist nur, dass Sicherheitsaufgaben in größeren Organisationen untergliedert sind.30
Nachfolgend werden drei typische und große organisationale Aufgabengebiete differenziert betrachtet, die sich mit Sicherheitsfragen auseinandersetzen, um später auf Gemeinsamkeiten und Unterschiede der jeweiligen Sicherheitskultur zu prüfen:
- Aufgabengebiet Systemsicherheit bzw. safety. Sicherheit im Sinne von Systemsicherheit ist ein Sicherheitsgebiet das auf Arbeitssicherheit (safety) aufbaut. Hier wird Sicherheitskultur schon seit den Untersuchungen zur Ursache des atomaren Unfalls in Tschernobyl 1985 erforscht und hat in Praxisanwendungen Einzug gehalten.31
- Aufgabengebiet Informationssicherheit. Der Bereich Sicherheit im Sinne von Informationssicherheit ist eng mit Informationstechnologie (IT) verknüpft, hier wird Sicherheitskultur schon seit den frühen 2000ern thematisiert.32
- Aufgabengebiet Angriffssicherheit bzw. security. Im Anwendungsbereich von Sicherheit im Sinne von Angriffssicherheit bzw. security findet der Begriff Sicherheitskultur heute noch keine Anwendung.
Diese drei spezialisierten Aufgabengebiete, die Sicherheitsaufgaben in Organisationen wahrnehmen, kommen zu unterschiedlichen Auffassungen über Sicherheit. Nachfolgend werden diese Auffassungen genauer analysiert.
2.1.1 Sicherheit im Sinne von Systemsicherheit bzw.safety
Die Arbeiten von Roland/Moriarty (1990), Büttner et al. (2007) und Strunk et al. (2015) legen einen Sicherheitsbegriff zugrunde der als „Systemsicherheit“ zu verstehen ist. Sicherheit in diesem Sinne ist eine „Systemqualität [.], die es dem System erlaubt unter spezifizierten Vorgaben ohne größere Zusammenbrüche mit einem akzeptablen Minimum zufälliger Verluste und unbeabsichtigter Schädigung von Organisation und Umwelt zu funktionieren.“33 Die in der vorliegenden Arbeit untersuchten Systeme sind Organisationen.
„Systemsicherheit“ ist eine Weiterentwicklung des Begriffs „Arbeitssicherheit“, der im englischen Sprachraum als safety bezeichnet wird und eng an Arbeitssicherheit ausgerichtet ist.34 Den Autoren dieser Perspektive folgend ergibt sich ein Sicherheitsverständnis, bei dem es in Sicherheitsangelegenheiten um die Förderung einer betrieblichen Praxis geht, die „auf die Vermeidung gesundheitlicher Schädigungen“ abzielt. „Sicherheit wird nach diesem Verständnis als gefahrenfreier Zustand bei der Berufsausübung definiert“.35
Wenn in Organisationen die Sicherheit im Sinne von Systemsicherheit bzw. safety analysiert und verändert wird, treten Prozesse in den Fokus, die Ursache für fehlerhaftes oder fahrlässiges Handeln sind und sich dadurch negativ auf die Organisation auswirken. In Abgrenzung zum security -Begriff ist safety geprägt von der Vermeidung zufälliger und fahrlässiger Schäden, siehe auch Kapitel 2.1.3. Zur Abgrenzung lässt sich feststellen, dass bei der Angriffssicherheit- bzw. security vorsätzlich herbeigeführte Schäden im Vordergrund stehen.
Je größer die Organisation, desto diversifizierter sind in der Regel die Sicherheitsstrukturen, so dass die Anwendungsfelder in der Systemsicherheit bzw. safety weiter differenziert zu betrachten sind. Schwer zu unterscheiden von Systemsicherheit bzw. safety sind die Begriff „Business-Continuity bzw. Business Resilienz“. Das sind in vielen Organisationen ein oder mehrere Aufgabengebiete der Systemsicherheit bzw. safety, siehe hierzu auch Anhang A . Unter dem Management der betrieblichen Kontinuität (Business-Continuity bzw. Business Resilienz) verstehen sich Strategien, Pläne und Handlungen, um Tätigkeiten oder Prozesse aufrechtzuerhalten, deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden.36 Neben dem vorwiegend präventiven Charakter von Systemsicherheit kommt mit der Betrachtung von Sicherheit im Sinne von Business -Continuity und Business- Resilienz ein stärkerer Fokus auf die Überwindung von Ereignissen, die bereits zu Systemstörungen oder -Ausfällen geführt haben.37 In Kapitel 2.4.7 wird das hierzu entwickelte Konstrukt der „Organisatorischen Resilienz“ vom Konstrukt Sicherheitskultur abgegrenzt.
2.1.2 Sicherheit im Sinne von Informationssicherheit
„Sicherheit (im Sinne von Informationssicherheit) ist eine Eigenschaft eines Systems, die dadurch gekennzeichnet ist, dass die als bedeutsam angesehenen Bedrohungen, die sich gegen die schützenswerten Güter richten, durch besondere Maßnahmen soweit ausgeschlossen sind, dass das verbleibende Risiko akzeptiert wird“.38 Diese Auslegung des Begriffs Informationssicherheitskultur stammt aus dem Jahr 1992 und beinhaltet, wie die oben erwähnte Definition von Sicherheit im Sinne von Systemsicherheit, auch eine Bewertung der Bedrohungen. Demnach wird auf Bedrohungen fokussiert, die nicht mehr akzeptable Schadenrisiken an schützenwerten Gütern verursachen. Bereits bei der Definition von Sicherheit im Sinne von Systemsicherheit lag der Fokus auf Schadenrisiken die, nach individueller Bewertung, ein akzeptables Minimum übersteigen.
Aktuellere Definitionen der Informationssicherheit fokussieren stärker auf IT-Spezifika. Beeinflusst durch die erstmals 2005 veröffentliche internationale Norm ISO 27001, die ein Managementsystem zur Schaffung von Informationssicherheit beschreibt.39 Die Veröffentlichung dieser Norm führte dazu, dass Sicherheit im Sinne von Informationssicherheit zunehmend inhaltlich detaillierter definiert wird, in dem die Haupt- und Nebenzieleziele der ISO 27001 aufgezählt werden. Informationssicherheit ist demnach „über die drei Aspekte Vertraulichkeit, Integrität und Verfügbarkeit von Informationen definiert. Diese drei Aspekte können als die primären Schutzziele angesehen werden, deren Aufrechterhaltung in Kombination die Informationssicherheit ausmacht. Weitere Aspekte und damit Schutzziele wie Authentizität, Zurechenbarkeit, Nichtabstreitbarkeit und Verlässlichkeit können ebenfalls betrachtet werden.“40
2.1.3 Sicherheit im Sinne von Angriffssicherheit bzw. security
Sicherheit (im Sinne von Angriffssicherheit) befasst sich mit der Abwehr bewusst herbeigeführter organisationsinterner- und externer Störereignisse auf den ordnungsmäßigen Betrieb.41 Beispielsweise zählen hier zu Diebstahl, Sabotage, Geheimnisverrat durch interne Täter oder Diebstahl, Sachbeschädigung und Betriebsspionage durch externe Täter.
Begrifflich wird von „Bedrohungen“ gesprochen, um Umstände zu benennen, die einen sicheren Zustand akut negativ beeinflussen und vorsätzlich menschengemacht sind. Dies ist sowohl im Anwendungsgebiet der Informationssicherheit, als auch Angriffssicherheit bzw. security der Fall. Während auf dem Feld der Systemsicherheit „Gefahren“ den sicheren Zustand negativ beeinflussen und dabei fahrlässig menschgemacht oder zufällig bzw. von natürlichem Ursprungs sind.42 Nachfolgend wird in der Regel der Begriff „Bedrohung“ als Hyperonym für „Gefahr“ und „Bedrohung“ genutzt.
2.1.4 Abgrenzung zu anderen Sicherheitsgebieten und -Begriffen
Die Analyse von Sicherheit, und auch Sicherheitskultur, ist abhängig vom Referenzrahmen. In der Politikwissenschaft werden Sicherheit und auch Sicherheitskultur im Hinblick auf die Gesellschaft als Ganzes und die Beziehung zwischen Organisationen betrachtet.43 In Anhang B ist ein Modell der Sicherheitskultur aus Perspektive der Politikwissenschaft abgebildet.
Ferner ist hier noch Sicherheit als psychologisches Anreizsystem bzw. Grundbedürfnis abzugrenzen. Dieses Begriffsverständnis von Sicherheit wird intensiv im Bereich der Motivationsforschung aufgegriffen, z.B. Maslow (1945).
2.2 Kultur
„Kultur“ wird als Forschungsgegenstand von etlichen Wissenschaftsdisziplinen beansprucht: Soziologie, Kulturwissenschaften, Psychologie, Politikwissenschaften und den Sicherheitswissenschaften. Ähnlich wie Sicherheit, so ist auch Kultur ein häufig gebrauchter Begriff mit uneinheitlicher Definition. Unter Kultur verstehen unterschiedliche Disziplinen jeweils etwas anderes. Aber auch innerhalb der Disziplinen ist nicht selten umstritten, was unter Kultur zu verstehen ist.44 Schon im Jahr 1952 wurden von Kroeber und Klucichohn bis zu 300 thematisch abgrenzbare Definitionen für Kultur festgestellt.45 Die Uneinheitlichkeit der Kulturbegriffe ist wissenschaftlich betrachtet problematisch, da Kultur als Auffangbecken für fehlende theoretische Erklärungen missbraucht werden kann.46 Kultur kann als „terminologischen Staubsauger“ missverstanden werden, um alles aufzusaugen, was in irgendeiner Form mit Kultur zu tun hat: Werte, Normen, Geschäftsmodelle, Regeln, Symbole, Denkweisen, Glaubenssätze, Mythen, Dogmen, Bedeutungen.47 „Kulturelles in Form von (tradierten) Werten oder Normen beeinflusst menschliches Verhalten - auch im Umgang mit technischen Sachsystemen. Dieser Zusammenhang wird zwar oftmals konstatiert, belastbare empirische Belege gibt es jedoch kaum.“48
Nach Wilpert (1993) dreht sich die Diskussion um den Kulturbegriff mit „einer Ellipse vergleichbar um zwei zentrale Konzeptualisierungspunkte: Einen eher kognitivistischen und einen eher handlungs- und institutionen-theoretischen Ansatz.“49 Als kognitivistisch werden bei der Verwendung von Kulturdefinitionen jene Konzeptionen bezeichnet, die Kultur als symbolisch vermittelte Orientierungssysteme verstehen, wobei vorwiegend Konzepte gruppenspezifischen Denkens, Wahrnehmens und Wertens verwendet werden. Handlungs- und institutionen-theoretische Ansätze hingegen rechnen der Kultur über die Kognitionen hinaus auch „kulturelle Artefakte, Institutionen und Organisationsformen als Ergebnis und Randbedingungen individuellen und kollektiven Handelns.“50
Luhmann (1972) folgt den kognitivistischen und systemtheoretischen Perspektiven, wonach unter Kultur Erwartungen zu verstehen sind, an denen sich das Verhalten orientiert.51 Demnach werden „alle Kontakte zwischen Menschen durch komplementäre Verhaltenserwartungen gesteuert.“52 Individuen müssen in Gruppen entsprechend der Gruppenerwartungen in vorgezeichneten und akzeptierbaren Bahnen handeln, sonst werden sie von der Gruppe „nicht verstanden und abgelehnt. Gewisse Erwartungen werden dann als Verhaltensprämissen der Gruppe bzw. Organisation zusammengestellt und so „relativ enttäuschungsfest stabilisiert“.53 Dieses Begriffsverständnis teilt Thomas (1993), er sieht Kultur als universelles, für eine Gesellschaft, Organisation und Gruppe aber sehr typisches Orientierungssystem. Dieses Orientierungssystem wird aus spezifischen Symbolen gebildet und in der jeweiligen Organisation tradiert. Es beeinflusst das Wahrnehmen, Denken, Werten und Handeln aller ihrer Mitglieder und definiert somit deren Zugehörigkeit zur Organisation.54
In dem Kultur als Orientierungssystem gefasst wird, erklärt sich dessen Entstehung, Aufrechterhaltung und Weitergabe. Denn Orientierung ist ein zentrales menschliches Bedürfnis. Teil der Orientierungsfunktion von Kulturen ist es den Mitgliedern Sinnstiftungs- und Bewertungsmaßstäbe zur Verfügung zu stellen, mit deren Hilfe die komplexen Umweltanforderungen bewältigt werden. Diese Bewertungsmaßstäbe werden im Laufe der menschlichen Sozialisation erworben und wirken daher auch meist automatisch, ohne eine bewusst kognitive Steuerung.55
Die breitgefächerten Strömungen und vielfältigen Differenzen in der Kulturdiskussion sollen hier nicht diskutiert werden, hierzu wird auf die Überblicksarbeiten von Rauer et al (2014), Büttner et al (2007) und Martin (2002) verwiesen. Von Relevanz ist im Hinblick auf die Fragestellung, wie sich Kultur in Organisationen empirisch beobachten lässt. In der Selbstwahrnehmung ist Kultur nicht unmittelbar zugänglich, es fallen „kulturelle [...] Regeln erst dann auf, wenn durch überraschendes Verhalten oder unerwartete Entscheidungen gegen sie verstoßen wird.“56 Demnach unterstützt „Abweichendes Verhalten“ die Selbstwahrnehmung von Kultur.57
In der zugrundeliegenden Literatur stimmen die Autorinnen und Autoren in dem Punkt überein, dass sich das Konstrukt Kultur sowohl aus sichtbaren als auch aus unsichtbaren Elementen zusammensetzt.58 In diesem Zusammenhang wird von der „Concepta-„ bzw. „Perceptaebene“ gesprochen. Die Percep- taebene umfasst dabei die sichtbar, beobachtbar manifestierten Elemente einer Kultur. Hierzu sind sowohl die materiellen Artefakten wie beispielsweise Kleidung oder Architektur als auch die immateriellen Artefakte einer Kultur wie Sitten, Sprache, Gebräuche und soziale Strukturen zu zählen. Die Con- ceptaebene hingegen beschreibt die nicht beobachtbaren Bestandteile der Kultur. Insbesondere Werte, Einstellungen und Normen lassen sich zu dieser schwer analysierbaren Ebene zählen.59
Bei der Analyse von Kultur sind zunächst die sichtbaren Manifestationen von Kultur zu entziffern. Manifestationen der Kultur sind Rituale, erzählte Geschichten, Humor, Jargon, physische Arrangements und formale Strukturen und Regeln, so wie auch informelle Normen und Praktiken.60 Diese Position unterstützt Czarniawska-Joerges (1992) in dem sie konstatiert, dass Manifestationen Bestandteil von Kultur sind. Hierzu zählt wie sich die mit Mitglieder einer Organisation anziehen, wie Witze erzählt werden und Kaffeepausen ablaufen. Ebenso zählt dazu, das Verhalten auf Feierlichkeiten und bei offiziellen Meetings, wie jemand entlassen wird, welche Geschichten erzählt werden. Und die materiellen Manifestationen zeigen sich auch in der Hierarchie der Organisation, der Art wie Arbeit organisiert ist, ob und wie Kontrollen stattfinden.61
Ausgehend von den materiellen Artefakten, als sichtbare Dinge, kann auf die empirisch nicht unmittelbar zugänglichen Einstellungen, Werthaltungen, Gedanken und Gefühle geschlossen werden.62 „Werte, Einstellungen und Normen werden überhaupt durch ihre Manifestationen in Artefakten wahrnehm- bar“.63 Die sichtbaren und unsichtbaren Elemente werden im Kulturebenenmodell aufgegriffen und weiter spezifiziert, siehe hierzu Kapitel 3.1.
2.3 Organisation
Sicherheitskultur als Analysekonzept lässt sich auf unterschiedlichen Aggregationsebenen anwenden (Individuum, Gruppe, Organisationen, Gesellschaftssystem u.a.).64 Die hier durchgeführte Untersuchung bezieht sich auf die Ebene der Organisation als Institution. In der Organisationstheorie werden unter dem institutionellen Organisationsbegriff ganze Systeme betrachtet, wie etwa Unternehmen, Schulen, Behörden, . . Kennzeichnend für Organisationen sind eine spezifische Zweckorientierung, gere gelte Arbeitsteilung und beständige Grenzen.65
Aus dem Erkenntnisinteresse an einer Sicherheitskultur und Organisationskultur ist es dabei zweckmäßig, Organisation als ein System zu betrachten. Organisationen besitzen eine innere Struktur, die nicht nur aus formalen Regeln bestehen, sondern auch aus vielem anderen: Sinnzuschreibungen, informellen Verhaltenserwartungen, Handlungen, Entscheidungen und Kommunikation. Dennoch ist der in der Organisationstheorie gerne genutzte instrumentelle Organisationsbegriff für hiesige Zwecke unzureichend, da die Strukturbildung als isolierte quasi exogene Expertenentscheidung modelliert wird, während ausgeblendet wird, dass der gesamte Strukturentstehungsprozess durch die Mitglieder und ihren offiziellen und inoffiziellen Reaktionen und Modifikationsversuchen entsteht.66 Ein Ziel der Sicherheitskulturforschung ist schließlich, Abweichung von organisatorischen Regeln zu erklären, was nur bei Betrachtung der Organisation als System möglich ist.
Nach Luhmann (1968) können Unternehmen als spezifische Organisationstypen beschrieben werden, die von anderen sozialen Systemen durch Entstehung, Ziel- und Zwecksetzung, Art und Grund der Mitgliedschaft sowie die Qualität der Verhaltenserwartungen abgrenzbar sind.
Pidgeon (1991) weist darauf hin, dass der Kontext der Analyse von Sicherheitskultur vergrößert und verkleinert werden kann. Innerhalb der Organisation könnte zum Beispiel eine Arbeitsgruppe oder Ab- teilung Kontext der Analyse sein, und organisationsübergreifend eine Wirtschaftseinheit oder ein regionaler oder überregionaler Wirtschaftsverband. Auch die Politikwissenschaft bedient sich dem Sicherheitskulturbegriff im gesamtgesellschaftlichen Kontext, vielzitiert sind die diesbezüglichen Publikationen von Daase et al. (2012).
Mit dem Ziel eine hohe Allgemeingültigkeit zu erreichen wird in dieser Untersuchung soweit möglich von Organisation gesprochen. Wenn die Quellen Einschränkungen auf Unternehmen vornehmen, wird diese übernommen.
2.4 Sicherheitskultur
In diesem Kapitel wird die historische Entwicklung der „Sicherheitskultur“ dargestellt. Ferner wird Sicherheitskultur vom größeren Konzept, der Organisationskultur, abgegrenzt. Anschließend wird der Begriff Sicherheitskultur selbst diskutiert. Sodann sind weitere, engverwandte Begriffe der Sicherheitskultur abzugrenzen, wie das Sicherheitsklima, dem in der empirischen Forschung eine entscheidende Rolle zukommt. Nur vermeintlich nahestehende Begriffe, wie das subjektive Sicherheitsgefühl, das nicht mit Sicherheitskultur zu tun hat, werden hier nicht aufgegriffen.
2.4.1 Historischer Abriss
Über einen Umweg kam der Kulturbegriff in die Sicherheitswelt. „Etwa zu Beginn der 80er Jahre wurde in der Organisationsforschung der Begriff Kultur als weitere Metapher eingeführt und fand vor dem Hintergrund beträchtlicher Wirtschaftserfolge japanischer Konzerne in den 70er Jahren schnell große Resonanz bei Managern und Wissenschaftlern.“67 In dieser Zeit avancierte Japan zum Vorbild für westliche Industriegesellschaften. Es wurden Unterschiedsfaktoren zwischen westlichen und japanischen Unternehmen herausgearbeitet, deren gemeinsamer Nenner kulturelle Dimensionen darstellten.68 Es war nicht die überlegende Technologie oder bessere Struktur, sondern die zum Teil unausgesprochenen Regeln und impliziten Normen, welche die Erfolge der japanischen Unternehmen begründeten.
So war die Diskussion über Kultur in Organisationen anfänglich von der Idee geprägt, dass Kultur in besonders intensiver Weise das organisatorische Handeln beeinflusst und sich in bestimmten Fällen zur treibenden Kraft für herausragende Leistungen entwickelt.69 Noch in den 1980er Jahren erhielt Unternehmens- und Organisationskultur und ihr Einfluss auf Unternehmen bzw. Organisationen reges wissenschaftliches und populärwissenschaftliches Interesse. „Unternehmenskultur avancierte (in den 1980ern und -90ern) zum bestverkauften Sachbuchthema [.]. Sein inzwischen inflationärer Gebrauch [.] behindert eine nähere Klärung und ein einheitliches Verständnis des Kulturbegriffs zusätzlich.“70
In die 1980er Jahre viel auch die Kernreaktorkatastrophe von Tschernobyl. 1986, im Jahr des Unfalls, kam die Frage auf, wie ein Schadenereignis so großen Ausmaßes geschehen konnte. Es wurde schnell deutlich, dass das Bedienpersonal nicht durch Wissensdefizite den Reaktorunfall verursacht hatte.“71 Denn es war bekannt, dass eine falsche Bedienung des Reaktorsystems zu erheblichen Folgen in Form einer Kernschmelze führen konnte. Letztlich lag die Ursache von Tschernobyl in der Kombination des technischen Designs mit unzureichender Sicherheitskultur.72 Erstmals belegt ist das Wort safety culture in einem Bericht der Wiener Atom Energie Agentur (IAEA) zur Ursachenerklärung der Kernreaktorkatastrophe von Tschernobyl im Jahr 1986.73 Der Begriff Sicherheitskultur fand schnell Einzug in die Literatur.74 Mit der Integration des Kulturansatzes in die Sicherheitsforschung wurde der Faktor Mensch in zuvor stark technisch geprägten Systemvorstellungen greifbarer. Es geht darum, in einer Organisation „ein vernünftiges, von Vertrauen geprägtes Verhältnis zur Technik“ sicherzustellen.75 Hinweise auf menschliche Bedienfehler, die wesentlich bedingt durch kulturelle Einflüsse in Form von organisatio- nalen Faktoren und Umweltfaktoren waren, konnten neben Tschernobyl auch beim Unfall im Kernkraftwerk Tree Miles Island, beim Chemieunfall in Bhopal und dem Untergang der Herald of Free Enterprise gefunden werden.76
Anfänglich hat sich die wissenschaftliche Auseinandersetzung noch eng an der safety culture einer Hochrisikoorganisation orientiert. In den 1990ern erweiterte sich das Interesse an der Sicherheitskultur über die Unfallursachenerforschung hinaus zu einem präventiven Ansatz, an dem maßgeblich noch die INSAG selbst beteiligt war.77 „Mit dem Ziel einer präventiv orientierten Sicherheitsforschung beabsichtigten die Autoren, eine ganzheitliche Perspektive auf die technischen, sozialen und organisationsstrukturellen Komponenten der Systemsicherheit zu entfalten.“78 Darüber hinaus hat sich das Forschungsinteresse seit den 2000ern weiter diversifiziert. Das Konzept der Sicherheitskultur wurde in andere Anwendungsgebiete übertragen, zum Beispiel in Krankenhäuser oder auf das Feld der Informationssicher- heit.79 Heute besteht der Mangel darin, die diversifizierten Ansätze zur Sicherheitskultur auf Gemeinsamkeiten hin zu prüfen.
2.4.2 Häufigkeit der relevanten Begriffe
Nachfolgende Abbildung zeigt, wie seit den 1990ern der Begriff Sicherheitskultur an Häufigkeit der
Erwähnung in wissenschaftlichen Publikationen zunimmt.
Abbildung in dieser Leseprobe nicht enthalten
Abb. 1: Sicherheitskultur in ausgewählten Fachpublikationen80
Am 15.Januar 2018 erzeugte die Suchmaschine Google zu „Sicherheitskultur“ 226.000 Suchergebnisse und zu „ safety culture“ 2.540.000 Treffer. Hingegen fanden sich zu „ security culture“ nur 375.000 Einträge und zu „ information security culture“ noch 126.000. Noch weniger Aufmerksamkeit fand der deutsche Begriff „Informationssicherheitskultur“, der nur 445 Treffer bei Google aufwies. Keinerlei Verbreitung hatte der Begriff „Angriffssicherheitskultur“.
Dominierend war zum oben genannten Stichtag der Begriff „ security awareness“ mit 9,5 Mio. Suchergebnissen. Zum Begriff Organisationskultur fanden sich 292.000 Suchergebnisse, wobei die englischsprachige Entsprechung organizational culture 5,1 Mio. Suchergebnisse erzielte und der oft Synonym verwendete Begriff corporate culture sogar 8 Mio. Treffer aufgewiesen hat.
Inhaltlich ist im deutschsprachigen Raum trotz großer Beliebtheit des Sicherheitskulturbegriffes eine unscharfe Differenzierung von safety -, security - und information security culture festzustellen. Dies zeigt sich auch in der großen Häufigkeit des Begriffs „Sicherheitskultur“ und der erheblich geringeren Häufigkeit des diversifizierten Begriffs Informationssicherheitskultur. Eine Angriffssicherheitskultur ist noch gänzlich unbekannt, der englischsprachige Begriff „ security culture“ findet hingegen Anwendung.80
2.4.3 Organisationskultur
Wie in Kapitel 2.4.2 dargestellt, setzte die Forschung zur Organisationskultur historisch früher ein, im Vergleich zur Sicherheitskultur. Der Organisationskulturansatz geht davon aus, dass jede Organisation, ähnlich wie eine Volksgruppe, im Laufe ihrer historischen Entwicklung spezifische Vorstellungs- und Orientierungsmuster und damit eine individuelle Organisationskultur entwickelt, die einen starken und nachhaltigen Einfluss auf das Verhalten ihrer Mitglieder hat.81 Ferner ist die Annahme, dass Organisationen eigenständige kulturelle Einheiten sind und Handlungen vor diesem Hintergrund her zu verstehen und interpretieren sind. Demnach bilden Organisationen jeweils eigene, unverwechselbare Orientierungsmuster aus, die das Verhalten der Mitglieder beeinflussen, die aber auch gemeinsame Verständigungsräume, Wahrnehmungsräume und Wertorientierungen liefern und damit den Mitgliedern Entscheidungen abnehmen. Diese gemeinsamen Orientierungen stützen und organisieren das Handeln unter anderem durch Rituale, Symbole und Analogien.82 Organisationskultur wird als emergent symbolischer Prozess verstanden, der ein Sinnsystem sozial konstruiert.83
„Kulturen stellen ein Stück gewachsene Geschichte dar, die sich zwischen die formale Organisation der Arbeit und das Techniksystem schiebt; ohne sie wäre die Arbeitsorganisation weitgehend überfordert, wäre das Management eine Höllenaufgabe.“84 Kultur entsteht in der Organisation über informale Regelungen, die sich zu einem gemeinsamen Verständnis über die Art und Weise der Zusammenarbeit etablieren und häufig auf geteilten Werten und Normen basierten. Verstöße gegen diese durch Selektion und Sozialisation stabilisierten kulturellen Regelungen werden von Mitarbeitenden häufig schwerwiegender empfunden, wie ein Verstoß gegen formale Regelungen.85 Letztlich bildet Organisationskultur den Rahmen für alle Handlungen innerhalb einer Organisation. Die Kultur bestimmt das beobachtbare Handeln in einer Organisation, wobei identisches Verhalten in unterschiedlichen Organisationen unterschiedlich zu interpretieren ist.86
Schreyögg (2012) hat Kernmerkmale von Organisationskulturen wie folgt zusammengefasst:
- „Organisationskulturen entstehen durch historische Lernprozesse im Umgang mit Problemen, sodass sie sich stets im Wandel befinden. Sie werden überwiegend nicht bewusst von den Organisationsmitgliedern gelernt, sondern in einem Sozialisationsprozess vermittelt, und stellen kollektive Phänomene dar, die das individuelle Verhalten von Organisationsmitgliedern weitgehend vereinheitlichen.
- Organisationsmitglieder empfinden ihre Organisationskultur als selbstverständlich und reflektieren diese nur selten. Organisationskulturen spielen sich nicht nur auf der kognitiven Ebene der Organisationsmitglieder ab, sondern in hohem Maße auch auf der emotionalen Ebene.
- Dabei vermittelt eine Organisationskultur den Angehörigen einer Organisation Orientierung im komplexen Arbeitsalltag, indem sie Vorgaben hinsichtlich der Interpretation von und der Reaktion auf Ereignisse macht und somit das Verhalten untereinander sowie miteinander regelt.“87
Praxisorientierte Ansätze in der Forschung zur Organisationskultur betrachten Organisationskultur im Hinblick darauf, wie Organisationen top-down durch das Management beeinflusst werden kann. Neben der Beeinflussung von oben wird Kultur in Organisationen aber im Wesentlichen durch alle Mitarbeitenden, und nicht nur durch Führungskräfte und deren Einfluss geprägt. Demnach lässt sich die zielgerichtete Gestaltung der Unternehmenskultur lässt nicht im Rahmen eines Projekts abarbeiten, sondern ist ein langwieriger Prozess.88
Organisationskultur ist ein dynamisches, multidimensionales, hypothetisches Konstrukt wie der Faktor Mensch exakt zu Ort, Zeit und Situation passendes Verhalten zeigt.89 Zwar wurden Modelle der Organisationskultur entwickelt. Aber diese Modelle eigenen sich nicht die Wirkmechanismen und Zusammenhänge so zu erklären, dass die Ableitung von Prädiktorvariablen und eine Verhaltensvorhersage möglich ist.90 Jedoch sind die entwickelten Modelle geeignet Kultur, sei es Organisationskultur oder Sicherheitskultur, zu beschreiben. So findet sich in der Organisationskulturdiskussion das Kulturebenenmodell wieder, nach dem Organisationskultur aus den drei Ebenen sichtbaren Artefakten, bewussten Überzeugungen und Werten sowie größtenteils unbewussten Komponenten besteht, siehe hierzu Kapitel 3.1.91 Häufig diskutiert werden darüber hinaus die Modelle von Hofstede (1984), der Kultur mit dem Bild einer Zwiebel erklärt, oder das 7-S-Modell von Waterman, Peters und Phillips (1980), die drei harte und vier weiche Faktoren als Standbeine der Unternehmenskultur herausgearbeitet haben. Diese erklärenden Modelle der Organisationskultur bzw. Unternehmenskultur werden für die vorliegende Fragestellung nicht aufgegriffen. Es lassen sich keine potentiellen Prädiktorvariablen aus diesen Modellen deduktiv ableiten.
Organisationen weisen eigenständige Orientierungsmuster auf, die sicherheitsbezogene Erfahrungen enthalten und das durch kollektiv kulturelle Prozesse vermittelt werden.92 „Die Kultur einer Organisation stellt kein geschlossenes Konzept dar. [...] Konsens oder Integration treten v.a. innerhalb von Subkulturen auf. Die Kultur einer Organisation setzt sich so gesehen aus einer Reihe von Subkulturen zusammen, oder sie zerfällt in Gegenkulturen. [.] Bei der Idee der Subkulturen wird davon ausgegangen, dass eine übergeordnete Kultur bzw. Basiskultur besteht zu gewissen unternehmensweit gültigen Grund- annahmen.“93
2.4.4 Begriffsverständnis von Sicherheitskultur
„Trotz seiner häufigen Verwendung wurde der Begriff Sicherheitskultur nicht von allen Autoren, und erst recht nicht einheitlich definiert“.94 Im Jahr 1996 definierte der Soziologe Thomas Rein Sicherheitskultur als „das Gesamt der auch im Modus nicht mehr weiter reflektierter Selbstverständlichkeit von den Einzelnen parat gehaltenen Wahrnehmungsfiltern, Deutungsmustern und regulativen Konzepten der Handlungsleitung in Sicherheitsfragen.“95 Er konstatiert, dass sich einige Kulturbereiche außerhalb der Reflektion bzw. des Bewusstseins befinden.96
Die INSAG (2002) definiert Sicherheitskultur „als die Gesamtheit der von der Mehrheit der Mitglieder einer Organisation geteilten sicherheitsbezogenen Grundannahmen und Normen [.], die ihren Ausdruck im konkreten Umgang mit Sicherheit in allen Bereichen der Organisation finden.“97 Diese INSAG-Definition von Sicherheitskultur findet bis heute die weiteste Verbreitung.98 Obwohl die Autoren und Autorinnen Sicherheit aus der Perspektive Systemsicherheit bzw. safety betrachten, wurde inhaltlich keine Einschränkung darauf vorgenommen.
„Sicherheitskultur wird allgemein als Vorherrschen sicherheitsförderlicher Bedingungen, als geschulter Ansatz effektiven Handelns und als das Bestehen auf einer sicheren Technik als Grundlage des Handelns und der selbstkritischen Problembewältigung verstanden.“99 Ergänzende inhaltliche Konkretisierungen, wie z.B. gute Zusammenarbeit und effektive Kommunikation, finden sich darüber hinaus bei etlichen Autorinnen und Autoren mit erfahrungsgeleiten Definitionsansätzen, wie sie im kerntechnischen Umfeld zu finden sind.100
Es stellt sich die Frage, ob der oben vollzogene Blickwinkel aus der Systemsicherheit bzw. safety Differenzen zum Begriffsverständnis von Sicherheitskultur aus dem Betrachtungswinkel der Informationssicherheit aufweist? Karlsson et al. (2015) stellen hierzu fest, dass auch auf dem Feld der Informationssicherheit ein uneinheitliches Begriffsverständnis von Informationssicherheitskultur vorliegt. Die Autorinnen und Autoren legen Wert darauf, dass Sicherheitskultur das Resultat von Gruppenprozessen ist.101 Es gibt gemeinsame Muster von Werten, mentalen Modellen und Handlungen in Organisationen, die sich im Laufe der Zeit unter den Mitarbeitenden herauskristallisiert und Auswirkungen auf die Informationssicherheit haben (eigene Übersetzung).102 Ferner wird auf soziale Vermittlungs- und Kommunikationsaspekte als Voraussetzung des Entstehens von Sicherheitskultur hingewiesen. Sicherheitskultur entwickelt sich durch kollektive Aneignung und repräsentiert „das geteilte Bewußtsein und korrespondierende Verhalten aller Systemmitglieder, das die Sicherheit des Gesamtsystems fördert.“103
Karlsson et al (2015) und da Veiga et al. (2017) stellen ihr Verständnis von (Informations-) Sicherheitskultur in Bezugnahme auf die Organisationskultur dar. Ihr Verständnis einer Sicherheitskultur unterscheidet sich von der Organisationskultur vor allem durch den Kontext und durch die genannten Beispiele. Da Veiga et al. (2017) konstatieren, information security culture „relates to the way things are done in the organisation to protect information, which is visible in artefacts (e.g. posters on online training), collective values, norms and knowledge (e.g. customer information is valuable and should be protected) and basic assumptions (information is a strategic asset).104 Die Recherche einer Sicherheitskulturdefinition aus dem Blickwinkel der Angriffssicherheit bzw. security war in der zugrundeliegenden Literatur ohne Ergebnis.
Den beiden Forschungslinien zur Sicherheitskultur im Sinne von Systemsicherheit bzw. safety und Informationssicherheit gemeinsam sind einerseits die sicherheitsbezogenen Definitionsbestandteile. Ferner lassen sich „die mentalen Repräsentationen auf kollektiver Ebene in Form von Werten, Normen, Einstellungen oder auch Bewusstsein in der Mehrzahl der Definitionen hervorheben.“ Daraus resultiert sicherheitsrelevantes Verhalten, wobei die meisten Autorinnen und Autoren betonen, dass das individuelle oder kollektive Verhalten mehr Ausdruck, und weniger ein Bestandteil von Sicherheitskultur ist, d.h. Verhalten ist demzufolge nicht definitorischer Bestandteil von Sicherheitskultur.105
Unklarheiten erkennt Strunk (2015) in drei Aspekten von Sicherheitskultur:106
- Der Sicherheitskulturansatz ist breit, was kein Nachteil sein muss auch wenn Abgrenzungsprobleme entstehen. „So besteht der Vorteil des Kulturbegriffs gerade darin, ein umfassendes und breites (um nicht zu sagen „holistisches“) Konzept anzubieten.“107
- Sicherheitskulturen sind hypothetische Konstrukte, sie „greifen selbst wieder auf hypothetische Konstrukte wie Wert, Bewusstsein oder Symbolsystem zurück die durch weitere, meist wiederum theoretische Konstrukte definitionsbedürftig sind.“108
- Es besteht eine Kreiskausalität, in dem Individuen gleichzeitig Gestalter der Kultur und Träger der Kultur sind. „Individuen (treten) zum einen als Gestalter von Sicherheitskultur in Erscheinung, indem sie Werte, Einstellungen, Wahrnehmungen, Fähigkeiten und Verhaltensmuster zeigen. Zum anderen führen soziale Interaktionen (Gruppen-Normen, Rollen, Führungsverhalten) zu gemeinsam geteilten Werten, Einstellungen, Wahrnehmungen, Fähigkeiten und Verhaltensmustern, die auf das Individuum zurück wirken. Kultur wird von Individuen geschaffen, die sich als Einzelne aber auch in sie einfügen.“109
Unstrittig ist, dass Sicherheitskultur eine Subkomponente der Organisationskultur darstellt.110 „Sicherheit ist, sofern entsprechend gelebt, ein Teilaspekt der Unternehmenskultur.“111 Demnach operiert Sicherheitskultur nicht in einem Vakuum, gerade in Hochrisikoorganisationen ist „ safety “ ist die dominierende Charakteristik der Organisationskultur.112 Sicherheitskultur ist beeinflusst und beeinflusst selbst andere, nicht sicherheitsbezogenen Prozesse in Organisationen.113 Differenzierungen der Subkulturen finden sich in abstrakter Form, zum Beispiel in neutrale Subkulturen, verstärkende Subkulturen und Gegenkulturen bei Young (1989) und Aktouf (1985). Die Frage, wie genau sich Organisationskultur und Sicherheitskultur überschneiden kann durch den aktuellen Forschungsstand nicht hinreichend geklärt werden. Für die vorliegende Untersuchung wird Sicherheitskultur eigenständig betrachtet, wenngleich im Rahmen der Ermittlung potentieller Dimensionen auf die Organisationskulturdiskussion zurückgegriffen wird.
[...]
1 Sennewald (2003) S. 19
2 vgl. Fahlbruch et al. (2012) S. 22
3 vgl. Müller ( 2010) S.1
4 vgl. Pokoyski (2009) S. 14
5 vgl. Beloyová, Banse (2013) S. 23
6 Fahlbruch et al. (2012) S. 23
7 vgl. Endreß/Feißt (2014) S. 19
8 vgl. Beloyová/Banse (2013) S. 23
9 Schein (2010) S. 5
10 vgl. Strunk et al. (2009) S. 364
11 vgl. Müller (2010) S. 16
12 vgl. Voegel (2011) S. 39
13 vgl. Ashby (1964) S. 207
14 vgl. Voegel (2011) S. 39
15 vgl. Simon (2013) S. 162f.
16 vgl. Strunk/Schiepek (2014) S. 139
17 vgl. Künzler (2002) S. 42
18 Stober et al. (2012)
19 Müller (2015)
20 vgl. Purpura (2008) S. 123f.
21 Badke-Schaub et al. (2012)
22 VDI (2010) S. 12
23 vgl. Stober (2012) S. 5
24 Jendrian (2014) S. 552
25 Klaffke (2016) S. V
26 vgl. Müller ( 2010) S.1
27 vgl. Stober (2012) S. 10
28 vgl. Endreß/Feißt (2019) S.19
29 vgl. Stober (2012) S. 10
30 vgl. Schmidt (2012) 875ff.
31 vgl. Fahlbruch et al. (2012) S. 31
32 Vgl. Karlsson et al. (2015) S. 247
33 Büttner et al. (2007) S. 11
34 ebd. S. 11
35 Badke-Schaub et al. (2012) S. 23
36 vgl. Hilles (2011)
37 vgl. Schmidt (2012) S. 881
38 Amann/Azmüller (1992) S.287
39 DIN/ISO 27001 S. 2
40 Brenner et al. (2017) S. 3f.
41 vgl. Stober (2012) S. 5
42 vgl. Giebel (2012) S. 30f.
43 vgl. Lange et al. (2014) S. 280ff.
44 vgl. Appelsmeyer et al. (2011) S. 56
45 vgl. Thomas (2003) S. 35
46 vgl. Daase (2011) S. 60f.
47 Kühl (2017) S. 1
48 Banse (2010) S. 195
49 Wilpert, 1993, S. 360
50 ebd. S. 361
51 vgl. Luhmann (1972) S. 31
52 ebd. S. 31
53 vgl. ebd. S. 31
54 vgl. Tomas (1993) S. 380
55 Genkova et al. (2012) S. 41
56 Grubendorfer (2016) S. 20
57 ebd S. 24
58 vgl. Erll/Gymnich (2010) S. 22f.
59 vgl. Scherm/Süß (2001) S. 20f.
60 Martin (2002) S. 55
61 Czarniawska-Joerges (1992) S 108
62 Roth (1999) S. 318f.
63 ebd. S. 318f.
64 vgl. Siedschlag / Jerkoviü S.303
65 vgl. Schreyögg et al (2016) S. 9
66 ebd. S. 9
67 Büttner et al. (2007) S. 15
68 vgl. Schreyögg et al (2016) S. 337f.
69 ebd. S. 331
70 Büttner et al. (2007) S. 16
71 Rauer (2011) S. 67
72 vgl. Mara (2011) S 13
73 vgl. INSAG (1986)
74 Büttner et al. (2007) S. 38
75 Kuhlmann, A. (2001): S. 126
76 vgl. Nerdinger et al. (2014) S. 503
77 INSAG (1992) S. 27f.
78 Büttner et al. (2007) S. 57
79 Schlienger/Teufel (2002) S.191
80 Rauer (2001) S. 67
81 vgl. Schreyögg (2012) S. 317
82 vgl. Weißbach/Poy (1994) S. 393
83 vgl. Schreyögg (2003) S. 439
84 Weißbach/Poy (1994) S. 394
85 vgl. Bach et al. (2017) S. 30f.
86 Scott et al. (2002) S. 108
87 vgl. Schreyögg (2012) S. 173f.
88 Bach et al. (2017) S. 243
89 Cooper (2000) S. 112
90 vgl. ebd. S. 131
91 Scott et al. (2002) S. 107
92 vgl. Künzler (2002) S. 58
93 Künzler (2002) S. 64
94 Büttner et al. (2007) S 38
95 Rein (1996) S. 648
96 vgl. ebd. S. 648
97 Manser (2012) S. 309
98 vgl. Fahlbruch et al. (2012) S. 31
99 Büttner et al. (2007) S. 39
100 vgl. ebd. S. 44
101 vgl. Karlsson et al. (2015) S. 247
102 Karlsson et al. (2015) S. 247
103 Wilpert (1991) S. 13
104 da Veiga et al. (2017) S. 75
105 ebd. S. 44
106 Strunk (2015) S. 267
107 ebd. S. 367
108 Büttner et al. (2007) S. 43
109 Strunk (2015) S. 269
110 vgl. Cooper (2000) S. 112
111 Helisch (2009) S. 27
112 Cooper (2000) S. 113
113 ebd. S. 113
-
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X. -
¡Carge sus propios textos! Gane dinero y un iPhone X.