Schulung

Security Champions im Unternehmen: Multiplikatoren statt Einzelkämpfer

TL;DR
  • Security Champions sind Mitarbeiter aus Fachabteilungen, die als Multiplikatoren für Informationssicherheit fungieren. Sie ersetzen nicht das Security-Team, sondern erweitern dessen Reichweite in die Organisation hinein.
  • Ein typisches Champions-Programm hat einen Champion pro Abteilung oder pro 20-30 Mitarbeiter. Die Champions investieren etwa 5-10 Prozent ihrer Arbeitszeit in die Rolle und behalten ihre ursprüngliche Fachfunktion.
  • Die Auswahl basiert auf Freiwilligkeit, Interesse und Kommunikationsfähigkeit, nicht auf technischem Vorwissen. Die besten Champions sind Menschen, die in ihren Teams respektiert werden und Vertrauen genießen.
  • Die Befähigung erfolgt durch ein initiales Training (1-2 Tage), monatliche Community-Meetings, Zugang zu Informationen und direkte Kommunikation mit dem Security-Team. Champions brauchen keine Zertifizierungen, aber ein solides Grundverständnis.
  • Der größte Mehrwert der Champions liegt in der frühzeitigen Erkennung von Problemen, der praxisnahen Kommunikation von Sicherheitsthemen und der Rückmeldung aus den Abteilungen an das Security-Team.

Das Skalierungsproblem der Informationssicherheit

In den meisten mittelständischen Unternehmen besteht das Informationssicherheitsteam aus einer oder zwei Personen: dem Informationssicherheitsbeauftragten (ISB) und vielleicht einem IT-Security-Spezialisten. Dieses kleine Team ist verantwortlich für die gesamte Sicherheitsarchitektur, die Richtlinien, die Awareness-Schulungen, die Vorfallbearbeitung und die Compliance-Nachweise.

Das Problem ist offensichtlich: Zwei Personen können nicht überall gleichzeitig sein. Sie können nicht in jeder Abteilungsbesprechung sitzen, nicht jedes Projekt von Anfang an begleiten und nicht mit jedem Mitarbeiter individuell sprechen. Die Folge ist, dass Sicherheitsthemen oft erst dann auf den Tisch kommen, wenn es bereits ein Problem gibt: ein Vorfall, eine Audit-Feststellung oder eine regulatorische Anforderung, die nicht erfüllt wird.

Security Champions lösen dieses Skalierungsproblem. Sie bringen Sicherheitskompetenz in die Fachabteilungen, ohne dass das zentrale Security-Team wachsen muss. Sie sind die Augen und Ohren der Informationssicherheit im Unternehmen: nah an den täglichen Prozessen, vertraut mit den spezifischen Herausforderungen ihrer Abteilung und in der Lage, Sicherheitsthemen in der Sprache ihrer Kollegen zu kommunizieren.

Das Konzept stammt ursprünglich aus der Softwareentwicklung, wo Security Champions in Entwicklungsteams seit Jahren etabliert sind (unter Begriffen wie "Security Advocates" oder "Security Liaisons"). Die Übertragung auf das gesamte Unternehmen ist der logische nächste Schritt.

Was ein Security Champion ist und was nicht

Ein Security Champion ist ein Mitarbeiter, der neben seiner regulären Fachrolle eine zusätzliche Verantwortung für Informationssicherheit in seinem Team oder seiner Abteilung übernimmt. Die Rolle hat klare Grenzen, die von Anfang an kommuniziert werden müssen.

Was ein Security Champion ist: Ein Ansprechpartner für Sicherheitsfragen im Team. Ein Vermittler zwischen dem Security-Team und der Fachabteilung. Ein Multiplikator, der Sicherheitsbotschaften in die Abteilung trägt. Ein Frühwarnsystem, das potenzielle Risiken erkennt und meldet. Ein Vorbild, das sicherheitsbewusstes Verhalten vorlebt.

Was ein Security Champion nicht ist: Ein Ersatz für das Security-Team. Ein Sicherheitsexperte, der komplexe technische Fragen beantwortet. Ein Verantwortlicher für die Umsetzung von Sicherheitsmaßnahmen. Ein Kontrolleur, der das Verhalten der Kollegen überwacht. Ein zusätzlicher Vollzeitjob.

Die Abgrenzung ist wichtig, weil beide Extreme die Rolle gefährden. Wenn die Champions als Ersatz für fehlende Security-Ressourcen missbraucht werden, sind sie schnell überlastet und frustriert. Wenn die Rolle zu vage definiert ist, verkümmert sie zu einem Ehrentitel ohne Wirkung.

Aufbau des Champions-Programms

Der Aufbau eines Security-Champions-Programms erfolgt in definierten Schritten, die sicherstellen, dass die Rolle von Anfang an richtig positioniert, die richtigen Personen ausgewählt und die notwendige Unterstützung bereitgestellt wird.

Schritt 1: Sponsorship sichern

Bevor du das Programm startest, brauchst du die Unterstützung der Geschäftsführung. Die Champions investieren einen Teil ihrer Arbeitszeit in die Rolle, und diese Zeit muss von ihren Vorgesetzten akzeptiert und eingeplant werden. Ohne ein klares Bekenntnis der Geschäftsführung, dass das Champions-Programm gewollt und unterstützt ist, wird es an der fehlenden Zeitfreigabe scheitern.

Das Argument gegenüber der Geschäftsführung ist einfach: Ein Champions-Programm kostet weniger als eine zusätzliche Vollzeitstelle im Security-Team, erreicht aber eine deutlich größere Wirkung, weil es die Sicherheitskompetenz dezentral in die Organisation bringt. Die durchschnittliche Investition pro Champion liegt bei 5 bis 10 Prozent der Arbeitszeit, also etwa zwei bis vier Stunden pro Woche.

Schritt 2: Rolle definieren

Erstelle eine klare Rollenbeschreibung, die die Aufgaben, Erwartungen, den Zeitaufwand und die Unterstützung durch das Security-Team beschreibt.

Typische Aufgaben eines Security Champions sind: Teilnahme an monatlichen Champions-Meetings, Weiterleitung von Sicherheitsinformationen an das Team, Beantwortung einfacher Sicherheitsfragen der Kollegen, Eskalation komplexer Fragen an das Security-Team, Teilnahme an der Sicherheitsbewertung neuer Projekte und Tools in der Abteilung, Beobachtung und Meldung potenzieller Risiken, Unterstützung bei Awareness-Maßnahmen (z. B. Durchführung kurzer Team-Briefings), Rückmeldung von Feedback aus der Abteilung an das Security-Team.

Schritt 3: Champions auswählen

Die Auswahl der Champions ist der kritischste Schritt. Die falschen Personen in der Rolle können das Programm von Anfang an zum Scheitern verurteilen.

Freiwilligkeit ist entscheidend: Champions, die zur Rolle gezwungen werden, werden sie als Last empfinden und minimal investieren. Schreibe die Rolle aus und lade interessierte Mitarbeiter zu einem Informationsgespräch ein.

Kommunikationsfähigkeit vor technischem Wissen: Der Champion muss in der Lage sein, Sicherheitsthemen verständlich zu erklären und Vertrauen bei seinen Kollegen aufzubauen. Technisches Vorwissen ist wünschenswert, aber nicht entscheidend, weil es durch das Schulungsprogramm aufgebaut werden kann.

Respekt und Einfluss im Team: Der Champion sollte jemand sein, der in seinem Team gehört wird und dessen Meinung Gewicht hat. Das muss nicht die Führungskraft sein (im Gegenteil, eine Führungskraft in der Rolle wird oft als Kontrolle wahrgenommen), sondern ein Peer, dem die Kollegen vertrauen.

Vielfalt der Perspektiven: Achte auf eine Mischung aus verschiedenen Abteilungen, Hierarchieebenen und Erfahrungsstufen. Ein Champions-Netzwerk, das nur aus IT-affinen Mitarbeitern besteht, erreicht die Abteilungen nicht, in denen der größte Bedarf besteht.

Die empfohlene Anzahl ist ein Champion pro Abteilung oder pro 20 bis 30 Mitarbeiter. Bei einem Unternehmen mit 200 Mitarbeitern und acht Abteilungen wären das acht bis zehn Champions.

Schritt 4: Champions befähigen

Die initiale Schulung dauert ein bis zwei Tage und deckt folgende Themen ab: Grundlagen der Informationssicherheit (CIA-Triade, Bedrohungslandschaft, regulatorische Anforderungen), die Rolle des Champions (Aufgaben, Abgrenzung, Kommunikation mit dem Security-Team), aktuelle Bedrohungen und Trends (Phishing, Ransomware, Social Engineering), die Sicherheitsrichtlinien des Unternehmens (was gilt, wo stehen die Dokumente, wer ist Ansprechpartner) und praktische Übungen (Phishing-Mails erkennen, verdächtige Situationen bewerten, Sicherheitsfragen in Projekten stellen).

Nach der initialen Schulung folgt die kontinuierliche Weiterbildung. Monatliche Champions-Meetings (60 bis 90 Minuten) sind das Herzstück. In diesen Meetings bespricht das Security-Team aktuelle Bedrohungen und Vorfälle, die Champions berichten aus ihren Abteilungen (Beobachtungen, Fragen, Feedback), gemeinsam werden Awareness-Maßnahmen für den nächsten Monat geplant und die Champions erhalten Schulungen zu spezifischen Themen.

Schritt 5: Integration in den Arbeitsalltag

Die Champions-Rolle muss in die bestehenden Strukturen integriert werden, damit sie nicht als Zusatzaufgabe empfunden wird, die bei hoher Arbeitsbelastung als Erstes wegfällt.

In Abteilungsmeetings: Ein fester Tagesordnungspunkt "Security-Update" (5 Minuten), in dem der Champion aktuelle Themen anspricht. Das kann eine Warnung vor einer aktuellen Phishing-Kampagne sein, eine Erinnerung an eine neue Richtlinie oder ein Tipp zum sicheren Umgang mit einem bestimmten Tool.

In Projekten: Der Champion wird bei neuen Projekten in seiner Abteilung einbezogen, um Sicherheitsfragen frühzeitig zu adressieren. Das muss kein formaler Security Review sein, sondern kann ein kurzes Gespräch sein: "Welche Daten verarbeitet das neue Tool? Wo werden sie gespeichert? Wer hat Zugriff?"

Im Onboarding: Der Champion begrüßt neue Mitarbeiter in der Abteilung und gibt eine kurze Einführung in die Sicherheitsthemen, die für die Abteilung besonders relevant sind. Das ergänzt die formale Sicherheitsschulung im Onboarding um den praktischen, abteilungsspezifischen Kontext.

Die Champions-Community pflegen

Ein Champions-Programm lebt von der Community. Die Champions müssen sich als Teil einer Gruppe fühlen, die ein gemeinsames Ziel verfolgt, Erfahrungen teilt und sich gegenseitig unterstützt.

Kommunikationskanäle

Richte einen dedizierten Kommunikationskanal für die Champions ein: einen Teams- oder Slack-Kanal, in dem Informationen geteilt, Fragen gestellt und Erfahrungen ausgetauscht werden. Das Security-Team nutzt diesen Kanal, um aktuelle Warnungen und Informationen zu teilen. Die Champions nutzen ihn, um Fragen zu stellen und Beobachtungen zu melden.

Dieser Kanal dient auch als Frühwarnsystem. Wenn ein Champion eine verdächtige E-Mail meldet, die seine Abteilung erhalten hat, kann das Security-Team innerhalb von Minuten eine Warnung an alle Champions senden, die sie wiederum in ihren Teams verbreiten. Dieser Informationsfluss ist schneller als jede formale Kommunikation.

Anerkennung und Wertschätzung

Die Champions-Rolle ist freiwillig und kommt zusätzlich zur regulären Arbeit. Ohne Anerkennung verlieren die Champions über die Zeit die Motivation. Anerkennung muss nicht teuer sein, aber sichtbar.

Möglichkeiten der Anerkennung sind: Namentliche Erwähnung in der Unternehmenskommunikation, Einladung zu Security-Konferenzen oder Workshops, ein jährliches Champions-Event (Abendessen, Teambuilding), ein Zertifikat oder eine Auszeichnung, die Berücksichtigung der Rolle in der Personalentwicklung und im Jahresgespräch.

Die wirksamste Form der Anerkennung ist allerdings die Erfahrung, dass die eigene Arbeit einen Unterschied macht. Wenn ein Champion sieht, dass seine Meldung zu einer schnellen Reaktion geführt hat, dass sein Feedback eine Richtlinie verbessert hat oder dass seine Kolleginnen und Kollegen aufmerksamer geworden sind, ist das motivierender als jede formale Auszeichnung.

Fluktuation managen

Champions wechseln: Sie übernehmen neue Aufgaben, wechseln die Abteilung oder verlassen das Unternehmen. Plane von Anfang an einen Prozess für den Wechsel: Wer übernimmt die Rolle, wenn der aktuelle Champion ausscheidet? Wie wird der Nachfolger eingearbeitet? Wie wird die Übergabe organisiert?

Eine bewährte Praxis ist das Buddy-System: Jeder Champion hat einen Stellvertreter, der bei Abwesenheit einspringt und bei einem Wechsel die Rolle übernehmen kann. Das stellt auch sicher, dass die Abteilung nicht ohne Champion dasteht, wenn der aktuelle Champion im Urlaub oder krank ist.

Messbarkeit und Wirksamkeit

Wie bei jeder Maßnahme im ISMS muss auch das Champions-Programm seine Wirksamkeit belegen können.

Quantitative Kennzahlen: Anzahl der gemeldeten Sicherheitsvorfälle und verdächtigen Beobachtungen (Ziel: steigend, besonders in den ersten Monaten), Phishing-Klickrate in Abteilungen mit Champions vs. ohne Champions (Ziel: Champions-Abteilungen schneiden besser ab), Teilnahmequote an Schulungen und Awareness-Maßnahmen (Ziel: steigend), Anzahl der Sicherheitsfragen in Projekten (Ziel: steigend), Reaktionszeit bei Sicherheitsvorfällen (Ziel: sinkend, weil Champions schneller melden).

Qualitative Kennzahlen: Feedback der Champions in den monatlichen Meetings, Feedback der Mitarbeiter in den Abteilungen (z. B. über Mitarbeiterbefragungen), Qualität der gemeldeten Beobachtungen (werden nicht nur offensichtliche Phishing-Mails gemeldet, sondern auch subtilere Risiken?), Einschätzung des Security-Teams zur Zusammenarbeit mit den Abteilungen.

Typische Herausforderungen und Lösungen

"Ich habe keine Zeit dafür": Die häufigste Herausforderung. Lösung: Klare Vereinbarung mit dem Vorgesetzten über den Zeitaufwand (schriftlich), Priorisierung der Aufgaben (nicht alles muss sofort erledigt werden), Integration in bestehende Meetings statt zusätzlicher Termine.

"Meine Kollegen nehmen mich nicht ernst": Kann passieren, besonders wenn der Champion jünger oder weniger erfahren ist als seine Kollegen. Lösung: Unterstützung durch das Security-Team (gemeinsame Auftritte in Abteilungsmeetings), Backing durch den Abteilungsleiter, schrittweiser Aufbau von Glaubwürdigkeit durch nützliche, praxisnahe Informationen.

"Ich fühle mich überfordert": Die Champions sind keine Security-Experten, und manche Fragen übersteigen ihr Wissen. Lösung: Klare Eskalationswege zum Security-Team, eine FAQ-Sammlung mit Antworten auf häufige Fragen, die Erwartung klar formulieren, dass nicht jede Frage sofort beantwortet werden muss.

"Das Programm verliert nach dem Start an Schwung": Die anfängliche Begeisterung lässt nach, die Teilnahme an den Meetings sinkt, die Aktivitäten nehmen ab. Lösung: Regelmäßige Auffrischung durch neue Inhalte und Formate, Anerkennung und Wertschätzung, Einbindung der Champions in spannende Projekte (z. B. Tabletop-Übungen), Feedback-Runden, in denen die Champions ihre Wünsche äußern können.

Praxisbeispiele: Was Champions konkret tun

Um die Rolle greifbar zu machen, hier einige Situationen aus dem Alltag eines Security Champions.

Der neue Cloud-Dienst: Die Marketing-Abteilung möchte ein neues Social-Media-Management-Tool einführen. Der Security Champion stellt drei Fragen: Wo werden die Daten gespeichert? Wer hat Zugriff? Gibt es eine Auftragsverarbeitungsvereinbarung? Er leitet die Antworten an das Security-Team weiter, das eine kurze Bewertung vornimmt. Das Ergebnis: Das Tool wird freigegeben, aber mit eingeschränkten Berechtigungen und einer Zwei-Faktor-Authentifizierung. Ohne den Champion hätte die Abteilung das Tool wahrscheinlich einfach registriert und genutzt, ohne dass die IT-Sicherheit davon erfahren hätte.

Die verdächtige E-Mail: Ein Kollege zeigt dem Champion eine E-Mail, die er für verdächtig hält, aber nicht sicher einordnen kann. Der Champion erkennt die Anzeichen einer Spear-Phishing-Mail, meldet sie über den Phishing-Button und informiert das Team. Innerhalb von 30 Minuten hat das Security-Team die Mail analysiert, den Absender blockiert und eine Warnung an alle Mitarbeiter gesendet. Ohne den Champion hätte der Kollege die Mail möglicherweise gelöscht oder schlimmer noch, den Anhang geöffnet.

Das Projekt-Kickoff: Bei einem neuen IT-Projekt fragt der Champion im Kickoff-Meeting: "Haben wir die Sicherheitsanforderungen für das Projekt definiert? Welche Daten werden verarbeitet und wie schützen wir sie?" Die Frage kommt vom Projektteam selbst, nicht von der IT-Sicherheit, was die Akzeptanz erhöht und das Thema als selbstverständlichen Teil der Projektplanung positioniert.

Das Onboarding: Ein neuer Mitarbeiter beginnt in der Abteilung. Der Champion begrüßt ihn, zeigt ihm den Phishing-Meldebutton, erklärt die Clean-Desk-Regeln für die Abteilung und stellt sich als Ansprechpartner für Sicherheitsfragen vor. "Wenn du dir bei einer E-Mail unsicher bist oder eine Frage zur Sicherheit hast, komm einfach zu mir." Der neue Mitarbeiter weiß von Tag eins, an wen er sich wenden kann, und hat einen niedrigschwelligen Zugang zum Thema Sicherheit.

Abgrenzung zu anderen Rollen

Das Champions-Programm existiert nicht im luftleeren Raum, sondern neben anderen Rollen mit Sicherheitsbezug. Die Abgrenzung muss klar sein, um Konflikte und Doppelarbeit zu vermeiden.

ISB (Informationssicherheitsbeauftragter): Der ISB ist gesamtverantwortlich für das ISMS, definiert Richtlinien, führt Risikoanalysen durch und berichtet an die Geschäftsführung. Die Champions unterstützen den ISB, indem sie seine Botschaften in die Abteilungen tragen und Feedback aus der Organisation zurückspielen. Die strategische Verantwortung bleibt beim ISB.

IT-Sicherheit / IT-Security-Team: Das Security-Team implementiert und betreibt die technischen Sicherheitsmaßnahmen. Die Champions sind keine Techniker und übernehmen keine technischen Aufgaben. Sie sind die Brücke zwischen dem technischen Team und den Fachabteilungen.

Datenschutzbeauftragter (DSB): Der DSB ist für den Datenschutz verantwortlich. Champions können Datenschutzthemen in ihren Teams ansprechen, aber datenschutzrechtliche Fragen werden immer an den DSB eskaliert. In der Praxis gibt es Überschneidungen, die durch eine klare Zuständigkeitsmatrix aufgelöst werden.

IT-Koordinatoren / Key User: In manchen Unternehmen gibt es bereits IT-Koordinatoren oder Key User in den Fachabteilungen. Diese Rollen können mit der Champions-Rolle kombiniert werden, sofern die Person die Kapazität hat. Die Kombination hat den Vorteil, dass der Ansprechpartner für IT-Themen und Sicherheitsthemen derselbe ist.

Champions-Programm im ISMS

Das Champions-Programm sollte als Maßnahme im ISMS dokumentiert sein – in ISMS Lite lässt sich das Programm mit Rollenbeschreibungen, Schulungsplänen und Kennzahlen strukturiert abbilden. Die Dokumentation umfasst die Rollenbeschreibung, die aktuelle Liste der Champions und ihrer Abteilungen, den Schulungsplan, die Protokolle der monatlichen Meetings, die erhobenen Kennzahlen und den jährlichen Review des Programms.

Für die ISO-27001-Zertifizierung belegt das Champions-Programm die Umsetzung von Annex A.6.3 (Awareness) und A.5.2 (Rollen und Verantwortlichkeiten). Auditoren bewerten es in der Regel sehr positiv, weil es zeigt, dass das Unternehmen Informationssicherheit nicht als Aufgabe einer einzelnen Abteilung versteht, sondern als organisationsweite Verantwortung.

Ein gut funktionierendes Champions-Programm verändert die Art, wie Informationssicherheit im Unternehmen wahrgenommen wird. Es transformiert Sicherheit von einer abstrakten IT-Aufgabe zu einer konkreten, greifbaren Verantwortung, die in jedem Team verankert ist. Der ISB ist nicht mehr der Einzelkämpfer, der gegen Windmühlen kämpft, sondern der Koordinator eines Netzwerks aus engagierten Kolleginnen und Kollegen, die gemeinsam das Sicherheitsniveau des Unternehmens anheben.

Weiterführende Artikel

Champions-Programm im ISMS dokumentieren

ISMS Lite unterstützt dich bei der Dokumentation deines Security-Champions-Programms, beim Tracking der Schulungsmaßnahmen und bei der Nachweisführung für ISO 27001 und NIS2.

Jetzt installieren