In der IT-Sicherheit verlassen sich viele Organisationen auf Regelwerke und Checklisten (z.B. Sicherheitsrichtlinien, Compliance-Vorgaben) oder auf Kosten-Nutzen-Kalküle im Risikomanagement. Diese entsprechen den klassischen ethischen Ansätzen der Deontologie (Pflichtethik) und des Utilitarismus (Konsequentialismus). Tugendethik hingegen bildet einen „dritten Weg“: Statt nur zu fragen „Was muss ich tun?“ (Regel) oder „Was bringt den größten Nutzen?“ (Konsequenz), fragt sie „Was für eine Person sollte ich sein?“, also welche Charaktereigenschaften ein Mensch – oder hier ein Security-Team – kultivieren sollte[1][2]. In der Tugendethik gilt sittlich richtiges Handeln als solches, das aus einer tugendhaften Haltung entspringt; zum Vergleich: deontologisch richtiges Handeln erfolgt aus Pflicht, utilitaristisch richtiges Handeln stiftet das beste Ergebnis[1].
Warum ist diese Charakterperspektive in der Cybersecurity relevant? Moderne Studien zeigen, dass menschliches Verhalten der entscheidende Faktor für die Sicherheit ist: Schätzungsweise 95 % der Sicherheitsvorfälle gehen auf Fehler oder Nachlässigkeit von Menschen zurück[3]. Dennoch fließt oft nur ein Bruchteil der Sicherheitsinvestitionen in Schulung oder Kulturmaßnahmen[3]. Die Folge: Man kann alle technischen Checklisten abhaken und dennoch scheitern, wenn die beteiligten Personen nicht intrinsisch sicherheitsbewusst handeln. Eine rein regelbasierte „Abhak-Mentalität“ greift zu kurz, wenn z.B. Mitarbeiter Vorschriften ohne Überzeugung umsetzen oder Umgehungen suchen. Hier setzt die Tugendethik an: Sie zielt darauf ab, charakterstarke Sicherheitsverantwortliche hervorzubringen, die aus innerer Überzeugung richtig handeln – selbst dann, wenn keine explizite Regel greift oder kein unmittelbarer Vorteil lockt.
Im Folgenden erläutern wir zunächst die Grundlagen der Tugendethik nach Aristoteles und kontrastieren sie kurz mit pflichten- und nutzenorientierten Ansätzen. Anschließend zeigen wir, wie diese Philosophie auf die Informationssicherheit übertragen werden kann. Wir identifizieren wichtige Tugenden für Security-Teams – etwa Ehrlichkeit, Vorsicht und Mut – und diskutieren, wie eine Unternehmenskultur geschaffen werden kann, in der verantwortungsbewusstes Handeln intrinsisch motiviert und zur zweiten Natur wird.
Tugendethik nach Aristoteles: Vom Handeln zum Sein
Die Tugendethik, wie sie vor allem von Aristoteles in der Nikomachischen Ethik formuliert wurde, stellt nicht Regeln oder Folgen, sondern die tugendhafte Persönlichkeit in den Mittelpunkt[1]. Eine Tugend (areté) ist dabei eine hervorragende Charaktereigenschaft, eine innere Haltung, die einen Menschen befähigt, moralisch gut zu handeln[1]. Beispiele klassischer Tugenden sind Weisheit (Klugheit), Gerechtigkeit, Tapferkeit und Mäßigung[1]. Aristoteles lehrt, dass der Mensch durch Gewöhnung und Erziehung solche Tugenden erwerben kann[1]. Indem man immer wieder klug, gerecht, mutig oder maßvoll handelt, verankert man diese Eigenschaften im Charakter – aus Verhalten wird Gewohnheit, aus Gewohnheit wird Haltung[1]. Das letztendliche Ziel ist die Glückseligkeit (Eudaimonia), ein erfülltes Leben, das aus gelebter Tugend resultiert[4].
Ein Kernelement der aristotelischen Tugendlehre ist die Lehre von der goldenen Mitte. Tugendhaft ist demnach, wer im jeweiligen Bereich das richtige Maß zwischen zwei Extremen findet[1]. Mut zum Beispiel ist die Mitte zwischen dem Zuviel (Übermut bzw. Tollkühnheit) und dem Zuwenig (Feigheit)[1]. Ehrlichkeit ließe sich als Mitte zwischen Verstellung und schonungsloser Taktlosigkeit einordnen. Besonnenheit (oder Klugheit) balanciert zwischen blinder Vorsicht und gedankenloser Hast. Dieses Konzept macht klar, dass tugendhaftes Handeln situationsabhängig ist: Was in einer Lage mutig ist, könnte in einer anderen schon Leichtsinn sein. Aristoteles betont deshalb die Bedeutung von praktischer Vernunft (phronesis) – die Fähigkeit, im konkreten Kontext klug abzuwägen, was dem Guten entspricht[1]. Es gibt eben keine starre Regel, die a priori jeden Einzelfall abdeckt[1]. Ethik ist für Aristoteles eine praktische Disziplin, die Erfahrung und Urteilsvermögen erfordert[1].
Während Pflichtethik (etwa bei Kant) vorschreibt, was zu tun ist, und Nutzenethik (Utilitarismus) auf das Ergebnis schaut, fragt Tugendethik nach dem Akteur selbst: „Was für ein Mensch möchte ich sein?“[1]. Moralisches Handeln wird dabei definiert als Ausdruck eines guten Charakters[2]. Eine Handlung ist zum Beispiel wahrhaft integer, wenn sie aus der Tugend der Aufrichtigkeit erfolgt – nicht weil ein Gesetz es verlangt oder weil es Nutzen bringt, sondern weil die handelnde Person wahrhaft ehrlich ist. Natürlich schließen sich diese Betrachtungsweisen nicht aus; aber Tugendethik legt den Fokus klar auf die innere Einstellung. Der Lohn dieser Ausrichtung ist zweifach: Erstens, so Aristoteles, trägt tugendhaftes Leben an sich schon zur eigenen Lebenszufriedenheit bei (ein tugendhafter Mensch empfindet innere Eudaimonie)[4]. Und zweitens – moderner gefasst – führt Tugendethik zu intrinsischer Motivation, Gutes zu tun. Wenn Tugenden erst einmal verinnerlicht sind, handelt ein Mensch „um der Tugend willen und tut dies gern, also mit Freude an der Tätigkeit“[1]. Das Pflichtgefühl oder die Nutzenkalkulation werden ersetzt (oder ergänzt) durch Wollen: Man will das Richtige tun, weil es zum eigenen Charakter geworden ist. Dieses Moment ist entscheidend, wenn wir nun die Brücke zur IT-Sicherheit schlagen.
Vom Compliance-Check zur Charakterfrage in der Cybersecurity
In der Praxis der Cybersecurity dominieren bislang oft regelbasierte Ansätze: Es gibt Policies und Frameworks (ISO-Normen, NIST-Kontrollen, interne Handbücher), die fein säuberlich abgearbeitet werden müssen – eine klassische „Checklisten-Mentalität“. Ergänzend wird viel in technische Maßnahmen investiert, während menschliche Aspekte auf Schulungen zur Regelbefolgung reduziert bleiben. Dennoch ereignen sich Sicherheitsvorfälle häufig trotz vorhandener Regeln und Technologien, eben weil menschliche Faktoren hineinspielen[3]. Hier setzt die Tugendethik eine andere Perspektive entgegen: Nicht nur was die Teams tun, sondern wie und mit welcher Haltung sie es tun, ist ausschlaggebend.
Ein auf Tugendethik gestützter Security-Ansatz würde beispielsweise folgendes bedeuten:
- Intrinsische Sicherheitskultur: Statt Mitarbeiter primär durch Sanktionen oder Kontrollmechanismen im Zaum zu halten, schafft man eine Kultur, in der alle von sich aus einen hohen Anspruch an sich stellen, sicher und verantwortungsvoll zu handeln. Die Frage „Was passiert, wenn ich gegen die Regel verstoße?“ tritt zurück hinter „Ich verstoße gar nicht erst, weil es meinen Überzeugungen widerspricht.“ Compliance wird so zum Charakterthema. Untersuchungen im Compliance-Bereich zeigen, dass externe Belohnungen oder Strafen oft nicht ausreichen, um ethisches Verhalten dauerhaft zu gewährleisten[2]. Tugendethik zielt auf innere Anreize: Man handelt korrekt, weil es Teil der eigenen Selbstgestaltung ist[2]. Für die IT-Sicherheit heißt das: Ein Admin pflegt z.B. seine Zugriffsrechte gewissenhaft, weil Integrität zu seinem Selbstbild gehört – nicht nur, weil ein Auditor irgendwann kontrolliert.
- Kontextsensitives Urteilen: Security-Mitarbeiter stehen oft vor Dilemmata, die nicht durch Vorschriften abgedeckt sind. Etwa: Soll ich einen dringenden Patch einspielen und dafür einen kurzfristigen Serviceausfall riskieren? Darf ich einer internen Anfrage vertrauen oder könnte es Social Engineering sein? Hier braucht es nicht nur Regeln, sondern Besonnenheit und Weisheit – Tugenden, die helfen, das richtige Maß an Vorsicht oder Durchgreifen zu finden. Ein tugendethisch geprägter Sicherheitsprofi entwickelt ein Gespür dafür, wann strikte Regelbefolgung geboten ist und wann flexible Lösungen gefragt sind. Er orientiert sich an grundsätzlichen Werten (z.B. „Schadensvermeidung“, „Transparenz“, „Fairness gegenüber Betroffenen“) und nutzt seine praktische Vernunft, um diese im Einzelfall abzuwägen[1]. Das ist effizienter, als bei jedem neuartigen Szenario erst eine Vorschrift schaffen zu müssen.
- Ganzheitliche Verantwortung statt Silo-Denken: In vielen Unternehmen herrscht noch die Ansicht „für Sicherheit ist die IT-Abteilung zuständig“. Tugendethisch gedacht, ist jedoch jeder Mitarbeitende mitverantwortlich – je nach Rolle in unterschiedlicher Ausprägung, aber doch alle. Tugenden wie Verantwortungsbewusstsein und Loyalität zum Unternehmenswohl würden bedeuten, dass auch ein Fachanwender eine verdächtige E-Mail meldet (statt zu denken „nicht mein Problem“), oder dass ein Entwickler freiwillig Sicherheitstests durchführt, ohne dazu gezwungen zu werden. Eine solche Haltung geht über das Pflichtgefühl hinaus: Sie wird Teil der persönlichen Arbeitsmoral.
Kurz gesagt verschiebt sich der Fokus von Policies auf Personen. Natürlich bleiben Regeln, Prozesse und Analysen wichtig – Tugendethik will diese nicht abschaffen. Aber sie sollen von Charakter getragen sein. Eine Checkliste in den Händen eines nachlässigen oder unaufrichtigen Menschen bleibt Makulatur. Umgekehrt wird ein tugendhafter Mitarbeiter auch ohne vollständige Checkliste im Zweifel das Richtige tun. Ein berühmtes Zitat von Aristoteles lautet sinngemäß: „Die Tugendhafte handelt richtig, auch wenn keiner zusieht.“ Für die Informationssicherheit wäre das der Idealzustand: Mitarbeiter und Führungskräfte, die sich auch unbeobachtet sicherheitskonform und ethisch korrekt verhalten.
Wichtige Tugenden für Security-Teams
Welche Charaktereigenschaften sollten nun Mitglieder eines Sicherheitsteams – vom CISO bis zum Analysten – verkörpern? Im Prinzip viele der klassischen Tugenden, angepasst an den Kontext. Einige stechen jedoch besonders hervor, weil sie im Alltag der IT-Sicherheit einen Unterschied machen. Drei Beispiele, die Aristoteles sicherlich jedem CISO raten würde, sind Ehrlichkeit, Vorsicht und Mut.
Darüber hinaus gibt es weitere Tugenden, die für ein Sicherheitsteam wertvoll sind. Verantwortungsbewusstsein ist zentral – das Bewusstsein, dass das eigene Tun und Lassen erhebliche Folgen für andere haben kann, und die Bereitschaft, dafür einzustehen. Ein verantwortungsbewusster Admin behandelt fremde Daten mit derselben Sorgfalt wie seine eigenen. Integrität (Charakterfestigkeit) sorgt dafür, dass man Versuchungen widersteht – z.B. nicht aus Neugier in fremden Informationen zu schnüffeln, obwohl man technisch könnte. Teamgeist und Gerechtigkeit wiederum helfen, gemeinsam an einem Strang zu ziehen und Erfolge fair zuzuschreiben statt Konkurrenzdenken walten zu lassen. Man sieht: Viele dieser Tugenden hängen zusammen. Klugheit bzw. praktische Weisheit schließlich ist die Mutter der Tugenden: Sie leitet an, in jeder Situation das richtige Ausmaß der jeweiligen Tugend an den Tag zu legen[1]. Ein Sicherheitsprofi muss einschätzen können, wann z.B. Offenheit angebracht ist (transparente Kommunikation) und wann Vertraulichkeit (Schutz sensibler Informationen). Diese Balance-Akte gelingen eher, wenn die handelnden Personen charakterlich gereift sind – denn dann greifen Vernunft, Erfahrung und moralisches Empfinden ineinander.
Eine Kultur der Tugendhaftigkeit fördern
Wie lässt sich nun eine Kultur fördern, in der solche Tugenden gedeihen und verantwortlich-handeln „von innen heraus“ erfolgt? Einige Ansatzpunkte aus Sicht eines tugendethisch denkenden CISO:
- Vorbildfunktion und „Tone from the Top“: Tugendethik betont die Rolle von moralischen Vorbildern[2]. Für ein Unternehmen heißt das: Die Führungskräfte – insbesondere der CISO und Teamleiter – müssen die gewünschten Tugenden selbst vorleben[2]. Wenn Ehrlichkeit gefordert ist, darf es keine Kultur geben, in der schlechte Nachrichten abgestraft oder vertuscht werden. Wenn Besonnenheit geschätzt wird, sollten Chefs nicht für aktionistisches Verhalten belohnt werden. Mitarbeiter beobachten sehr genau, was tatsächlich honoriert oder sanktioniert wird. Ein Chef, der ruhig bleibt, transparent kommuniziert und Verantwortung übernimmt, prägt die Teamkultur weit mehr als jedes Poster an der Wand.
- Selektion und Ausbildung: Bereits bei der Einstellung kann man auf Charakter achten, nicht nur auf Zertifikate. Dabei geht es nicht um moralinsaure Interviews, aber Fragen nach Umgang mit Vergangenheitsfehlern oder Teamkonflikten können Aufschluss über Tugenden wie Ehrlichkeit, Selbstreflexion oder Fairness geben. In der Ausbildung sollte neben Fachwissen auch Ethik-Schulung Platz haben – z.B. Workshops zu Fallbeispielen: „Würden wir einen Sicherheitsvorfall anonym öffentlich melden, obwohl kein Gesetz uns zwingt, aber andere durch unsere Info gewarnt wären?“ Solche Diskussionen sensibilisieren für Werte jenseits bloßer Compliance. Außerdem: Praktische Übungen und Wiederholungen sind das, was Aristoteles als Einübung der Tugend nennt[1]. Etwa regelmäßige Phishing-Tests mit anschließender offener Besprechung, was jeder Einzelne beim Klick empfunden hat, fördern Ehrlichkeit (Fehler zugeben) und Lernbereitschaft.
- Intrinsische Motivation stärken: Viele Compliance-Programme setzen primär auf äußere Anreize: „Wenn kein Zwischenfall passiert, gibt es eine Prämie; wenn doch, gibt es Ärger.“ Tugendethik würde versuchen, die inneren Anreize zu wecken. Ein Mittel dazu ist, den Sinn hinter Sicherheitsmaßnahmen ständig deutlich zu machen und positive Wertbindung herzustellen: Etwa indem man zeigt, wie die Arbeit des Security-Teams das Unternehmen und die Kollegen schützt. Mitarbeiter fühlen mehr Verpflichtung, wenn sie erkennen, dass ihr Handeln z.B. die Daten ihrer Kunden sichert oder die Stabilität des ganzen Betriebs gewährleistet. Eine Maßnahme kann sein, persönliche Geschichten zu teilen: „Dank der Umsicht von Mitarbeiter X konnten wir neulich einen Betrugsversuch stoppen – damit hat X uns alle vor Schaden bewahrt.“ So etwas fördert Stolz und Zufriedenheit über geleistete gute Taten, was laut Aristoteles ein Indikator dafür ist, dass Tugend verinnerlicht wurde[1]. Wichtig ist auch, autonomiefördernde Arbeitsbedingungen zu schaffen: Wenn fähige Personen zu stark bürokratisch gegängelt werden, verlieren sie die Motivation, eigenständig tugendhaft zu handeln. Gibt man ihnen hingegen verantwortungsvollen Spielraum, wachsen sie eher in die Rolle eines selbstmotivierten „Hüters der Sicherheit“ hinein.
- Fehlerkultur und ganzheitliche Sicht: Ein tugendethischer Ansatz im Security Management würde im Umgang mit Verstößen nicht rein strafend, sondern lernorientiert sein. Natürlich müssen grobe Fahrlässigkeiten Konsequenzen haben. Aber statt Sündenböcke zu suchen, fragt eine tugendbasierte Haltung: Warum ist es passiert? War es ein einmaliger Ausrutscher eines sonst vorbildlichen Mitarbeiters (dann überwiegt vielleicht Milde)? Oder deckt der Fall einen Charakter-Mangel, etwa wiederholte Unzuverlässigkeit, auf (dann sind stärkere Konsequenzen nötig)? Hier kommt wieder die praktische Weisheit ins Spiel: Die Verantwortlichen sollten den Menschen im Ganzen betrachten – Motivation, Einsichtsfähigkeit, Reue – und dann entscheiden[2]. So eine Fehlerkultur hat einen doppelten Effekt: Sie behandelt Mitarbeiter gerecht und proportional, und sie signalisiert allen, dass es bei Sicherheit um mehr geht als blindes Regelfolgen – nämlich um eine Haltung, in der man aus Fehltritten lernt und sich stetig verbessert. Wer weiß, dass Ehrlichkeit belohnt wird (etwa offen einen Vorfall zu melden, ohne sofort gevierteilt zu werden), der wird eher ehrlich sein. Wer spürt, dass Mut und Umsicht wertgeschätzt werden, wird sich eher trauen, verantwortungsbewusst Initiative zu ergreifen.
Zusammengefasst lässt sich eine Kultur der Tugendhaftigkeit nicht per Befehl erzwingen – sie muss organisch wachsen, durch konstante Pflege. Es geht darum, das Richtige tun zum selbstverständlichen Teil des Arbeitsalltags zu machen. Wenn Mitarbeiter “Sicherheit” nicht nur als Pflichtübung begreifen, sondern als Persönlichkeitsmerkmal – „Wir bei dieser Firma sind aufmerksam, ehrlich und mutig, darauf sind wir stolz“ – dann ist viel gewonnen. Dieses Ideal mag hoch gesteckt sein, doch bereits die Bewegung in diese Richtung stärkt die Security-Resilienz enorm: Systeme und Prozesse mögen versagen, aber Charakterfestigkeit fängt manches auf.
Fazit: Charakter als unsichtbarer Schutzwall
Die eingangs gestellte Frage lautete: Was würde Aristoteles einem Chief Information Security Officer raten? Vermutlich etwas in der Art: „Formt gute Charaktere, nicht nur gute Regeln.“ Technik und Vorschriften bleiben wichtig, aber am Ende entscheiden Menschen, wie sie eingesetzt werden. Ein CISO, der Tugendethik verinnerlicht, achtet darauf, wer in seinem Team ist und wie diese Personen ticken – nicht nur darauf, welche Checkliste abgearbeitet wird.
Tugenden wie Ehrlichkeit, Vorsicht und Mut werden zu einer Art unsichtbarem Schutzwall: Man sieht ihn nicht in Berichten oder Audits, aber er zeigt seine Wirkung im Ernstfall, wenn Mitarbeiter beherzt und richtig reagieren, auch ohne detaillierte Anweisung. Ein solcher Schutz ist unbezahlbar, denn er reduziert die „weichen“ Risiken – etwa dass ein Incident verschleppt wird, weil jemand Angst hat, ihn offenzulegen, oder dass eine Lücke übersehen wird, weil niemand den Mut hatte, auf die kleine Abweichung hinzuweisen, oder dass aus Bequemlichkeit ein Verfahren abgekürzt wird. Charakterstarke Teams begehen solche Fehler seltener.
Das soll nicht heißen, dass klassische Security-Methoden obsolet sind. Aber sie erlangen eine ganz andere Wirksamkeit, wenn die Menschen dahinter mit Herz und Verstand bei der Sache sind. Wie Aristoteles sinngemäß schrieb: Wenn Tugenden verinnerlicht sind, handelt der Mensch “gern” tugendhaft[1] – übertragen heißt das: Ein intrinsisch sicherheitsbewusster Mitarbeiter will das Unternehmen schützen, anstatt nur sollen zu müssen. Er wird zum aktiven Mitstreiter, nicht zum Risikofaktor.
Für die Zukunft der Cybersecurity bedeutet das: Soft Skills und Ethik werden genauso erfolgskritisch wie Hard Skills. Organisationen sollten in die Charakterbildung ihrer Sicherheitskräfte investieren – durch Vorbilder, Training und eine Kultur, die Werte hochhält. Die Belohnung ist eine robustere Security-Kultur, die nicht beim kleinsten Regelbruch in sich zusammenfällt, sondern getragen ist von Individuen, die auch unaufgefordert das Richtige tun. Aristoteles’ Blick auf die Tugenden rückt somit einen oft vernachlässigten Aspekt ins Licht: Nicht allein was wir tun entscheidet über die Sicherheit, sondern wer wir sind.
Oder, etwas freier gesagt: Die beste Firewall sitzt zwischen den Ohren – nämlich in Form von Charakter und Einstellung. Es liegt an uns, diese „Firewall“ ebenso zu stärken wie die technischen. Denn ein Team aus tugendhaften Sicherheitsprofis ist letztlich die zuverlässigste Verteidigung, die man haben kann[2].
References
[2] What Would Aristotle Do? Virtue Ethics as a Compliance Framework
[3] The Ultimate Guide To A Strong Security Culture – CyberPilot