Security Awareness in der Unternehmenspraxis umsetzen

Der Weg zu einer aktiven und gelebten Sicherheitskultur


Der Weg zu einer aktiven und gelebten Sicherheitskultur News

Wissen und Innovation stellen zunehmend die zentralen Objekte der Wertschöpfung in unseren Unternehmen dar. Wissen ist dabei mittlerweile zum vierten Produktionsfaktor geworden. Jedoch: Kein Wissen ohne Informationen. Information ist unabdingbare Ressource im Leistungserstellungsprozess, gleichsam wesentlicher Faktor für erfolgreiches unternehmerisches Handeln. Sie ist die Basis für unternehmerische Entscheidungsprozesse, denn ohne Information keine (sinnvolle) Entscheidung. Informationen sind zugleich ein wesentlicher Wettbewerbsfaktor.

Um die Sicherheit des Wissens und der damit verbunden Informationen in Unternehmen zu erhöhen und zu stärken, werden viele organisatorische Maßnahmen ergriffen. Unternehmen betreiben dabei oft eine physische "Sicherheitsaufrüstung" und schotten sich mit allen ihnen zur Verfügung stehenden Sicherheitswerkzeugen ab. Viele Maßnahmen – auch im Risikomanagement bzw. Compliancemanagement – reglementieren dabei die Mitarbeitenden im täglichen Arbeitsablauf, sehr schnell spricht man bei Nicht-Einhaltung von gesetzten Regeln Mahnungen oder gar Kündigungen aus. Die effizienteste und eigentlich einfachste Möglichkeit – die direkte und positive Kommunikation zum Thema und die persönliche Ansprache zu den Mitarbeitern - erfolgt mit niedriger Priorität und kommt dementsprechend oftmals noch viel zu kurz.

Hier besteht also bis dato immer noch substantieller Nachholbedarf. Zwar ist zu beobachten, dass man in jüngster Zeit häufiger bereit ist, dem Thema Gehör zu schenken, dennoch: Der Mensch wird in der betrieblichen Realität als Sicherheitsfaktor leider (noch) zu häufig vernachlässigt. Die relevanten Elemente der viel zitierten Sicherheitskette sind also nicht stabil genug. In der Konsequenz bedeutet dies, dass ein ganzheitliches, die relevanten Risikofaktoren integrierendes Sicherheitsmanagement in der Praxis eher die Ausnahme als die Regel darstellt.

Wachsamkeit versus Überwachung

Neben Wachsamkeit im Unternehmen, dem gesunden Misstrauen und dem nachhaltigen Einsatz von Sicherheitsrichtlinien im Unternehmen ist angesichts der aktuellen Entwicklung der Sicherheitsbedrohungen ein weiterer Begriff von immenser Bedeutung bei der Bekämpfung von Internet-Kriminalität: Sensibilisierung. Wird berücksichtigt, dass  in 80 Prozent aller Sicherheitsvorfälle der Mensch und nur in 20 Prozent die Technik versagt hat, kann man schnell ein ungenutztes Sicherheitspotenzial bei den Mitarbeitern feststellen.

Vielen Unternehmen fehlt also eine gelebte Sicherheits- und Präventionskultur. Je nachdem, welches Verhalten der Mitarbeiter im Umgang mit der IT-Infrastruktur und damit mit seinen eigenen oder den Informationen des Unternehmens an den Tag legt, wird er zu einem Risikofaktor oder einem entscheidenden Instrument zur Risikominimierung. Der Mensch spielt als "Risikofaktor" im Sicherheitskontext eine zentrale Rolle. Hier muss die Verhaltensänderung beginnen, eben der Aufbau einer unbewussten Kompetenz, das Ziel und nicht die bloße Vermittlung von Wissen. Letzteres führt nur für einen kurzzeitigen Moment zu einer Steigerung des Sicherheitsbewusstsein – ist aber nicht nachhaltig im Kopf und dem Verhalten der Mitarbeiter verankert.

Security Awareness – von Menschen für Menschen gemacht

Awareness ist von Menschen für Menschen gemacht. Da menschliches Verhalten nicht "programmierbar" ist, müssen die menschliches Verhalten beeinflussenden Faktoren mitberücksichtigt werden. Das macht Awareness aber schnell zu einem komplexen Vorhaben.

Was also tun? Einfach so weitermachen wie bisher? Abwarten, bis etwas passiert, in der Hoffnung, dass nichts passiert? Falls etwas passiert, einfach den Ursachen auf den Grund gehen und daran arbeiten? Warum, so die berechtigte Frage, sollte man sich den mit Awareness verbundenen Aufwand freiwillig aufhalsen? Die Antwort darauf ist simpel: Wo der Mensch intervenierend in sicherheitsrelevante Prozesse oder Arbeitsabläufe einwirkt, ist er automatisch Teil der "Sicherheitskette". Dabei muss jedes Glied dieser Kette stark sein, sonst wird sie den ihr zugedachten Zweck, Sicherheit zu gewährleisten,  nicht erfüllen können. Wer also ein nachhaltiges Risiko- bzw. Sicherheitsmanagement anstrebt, der kommt an der Einbeziehung des Faktors Mensch nicht vorbei.

Die folgende Szene verdeutlich noch mal sehr gut, um was es uns eigentlich geht: "Der legendäre Boxer Muhammad Ali saß einmal in einem Linien-Jet, als die Stewardess ihn bat, seinen Sicherheitsgurt zu schließen. "Superman braucht keinen Sicherheitsgurt", sagte der Weltstar. Die Stewardess zögerte einen Augenblick. Dann konterte sie: "Superman braucht auch kein Flugzeug." Der Mitarbeitende wird schnell zum wichtigsten Teil der "Sicherheitskette".

Damit Awareness-Aktivitäten eine realistische Chance auf Erfolg haben, muss  man als Verantwortlicher für derartige Aktivitäten wissen, welche grundsätzlichen Beeinflussungsfaktoren wirken, welche Folgen diese Faktoren haben und wie sie zusammenwirken. Um mit dieser Komplexität sinnvoll umgehen zu können bzw. sie auf ein praktikables Maß zu reduzieren, muss beurteilt werden können, welche dieser Faktoren im organisatorischen Umfeld des Unternehmens wichtig, respektive welche weniger wichtig sind.

Regeln vermitteln in Kulturen

Ob und in welchem Ausmaß Sicherheit gelebt wird, hängt neben dem grundsätzlichen Stellenwert, den Sicherheit im Unternehmen hat, sowohl vom Kulturkreis als auch von der Unternehmenskultur ab. Dass der jeweilige kulturelle Hintergrund auch zu Verhaltensunterschieden im beruflichen Kontext führt, ist nahe liegend. Wer würde beispielsweise einem Spanier seine geliebte Siesta abspenstig machen wollen? Das Führungs- und Entscheidungsverhalten in japanischen Unternehmen wird sich bei aller Vielfalt der Unternehmen in zentralen Punkten signifikant von dem in deutschen Unternehmen unterscheiden. Warum sind Online-Hilfen in Softwareanwendungen für asiatische Länder anders aufgebaut und stärker in das Produkt integriert als bei uns? Weil der Gebrauch eines Handbuchs dort einem Gesichtsverlust gleichkommt – der Nutzer würde dann als unfähig gelten.

Security Policies und Sicherheitsregeln wollen und sollen gelebt und angewendet werden. Ein klassisches Problem ist die Akzeptanz beim Mitarbeitenden – zum einen geprägt durch kulturelle Gegebenheiten und zum Anderen durch die Schwierigkeit des reinen Verstehens durch eine "fremde" Sprache.

Das ist wie beim Autofahren: Wenn man sich mit dem PKW im Urlaubsland auf fremden Straßen bewegt hat man immer seine Probleme – das zurechtfinden mit Sprachunterschieden, dem Risikobewusstsein anderer Verkehrsteilnehmer und dem "Schilderwald".

Ein pures Übersetzen der Sicherheitsregeln ist für die Schärfung des Sicherheitsbewusstseins der Mitarbeitenden nicht ausreichend. Hier muss auf kulturspezifische Unterschiede geachtet werden. Eine sog. Lokalisierung der jeweiligen Policy ist also immer der bessere Weg. Der Spruch: "In Deutschland ist all das verboten, was nicht explizit erlaubt ist – und in Frankreich ist alles das erlaubt, was nicht explizit verboten ist" zeigt schon die prekäre Unterschiedlichkeit in nahen Kulturkreisen auf.

So wird der Versuch, die in der schwedischen Unternehmenszentrale erfolgreiche Security-Awareness-Kampagne auch in der brasilianischen Niederlassung umzusetzen, erhebliche Reibungsverluste erzeugen, im schlimmsten Falle ganz auf Ablehnung stoßen. Dies lässt sich leicht vermeiden, indem kulturelle Unterschiede bei der Umsetzung solcher Security Awareness-Maßnahmen frühzeitig erkannt und in der Planung berücksichtigt werden.

Positives Vorleben (des Managements) ist effektiver als reaktive Nachsorge

Der Aufbau einer Informationssicherheitskultur ist dann erfolgreich, wenn die Führungskräfte im Unternehmen den Umgang mit sensiblen Daten und der IT gewissenhaft vorleben. Diese Vorbildfunktion ist ein entscheidender Punkt im Aufbau und in der Pflege der Informationssicherheit. Den Führungsstab frühzeitig mit einzubeziehen, entscheidet über den Erfolg der Awareness-Maßnahme und deren Umsetzung im Unternehmen. Dabei ist allerdings auch darauf zu achten, dass die Umsetzung des Awareness-Programms keine reine Aufgabe der Informatik ist und bleibt. Die Sicherheitskultur muss abteilungsübergreifend gedacht, geführt und geprägt werden.

Die Sensibilisierung von Mitarbeitern und die damit verbundenen Maßnahmen oder die Security Awareness-Kampagne als solche, führen dabei oftmals nicht nur zu einer Kulturveränderung sondern fordern auch nach Organisationsanpassungen im Unternehmen. Wenn Mitarbeiter während der Awareness-Kampagne im Positiven "provoziert" und zum Handeln angeregt werden, bekommen IT- und Organisiationseinheiten viel zu tun - denn hier wird Awareness pure Realität. Auf jede Massnahme muss auch eine Umsetzung erfolgen und wenn Mitarbeiter sensibilisiert werden, dann werden Sie auch aktiv! Was hilft es Mitarbeitern zu erklären, dass Dokumente wegzuschließen sind (CleanDesk-Ansatz) wenn der Schlüssel für den Aktenschrank nicht aufzufinden ist oder vertrauliche Dokumente geschreddert werden müssen, in der Abteilung aber nirgends ein Schredder zur Benutzung steht? Security Awareness ist also Umsetzung pur.

Der "Faktor Mensch"

Sich mit dem "Faktor Mensch" intensiv auseinander zu setzen bedeutet, mögliche Auswirkungen des Verhaltens der Mitarbeiter besser einzuschätzen und das Bedrohungspotenzial ein zu schränken. Das heißt, dass Unternehmen ihre Sicherheitsprogramme nicht nur auf die technologische Sicht begrenzen dürfen. Sie müssen vielmehr lernen zu verstehen, wie Menschen "ticken" und mit Daten, Informationen und Unternehmenswerten umgehen. So werden sie in der Lage sein, ihre Netzwerke nicht nur vor externen Eindringlingen zu schützen, sondern auch davor, dass Nutzer, wie etwa Mitarbeiter, vertrauensvolle Daten versehentlich oder wohl wissend an Dritte weitergeben.

Was braucht der Mitarbeiter, um seine Einstellung, seine Werthaltung und somit seine Kulturäußerung zu Gunsten der Unternehmenssicherheit zu verändern resp. zu verbessern? Im Sport finden wir Spielregeln. Diese verhindern, dass jede Handlung subjektiv anders verstanden wird. Was heißt ‚fair’? Was verstehen Mitarbeiter unter ‚Vertrauen’? Sollen Kulturmaßnahmen greifen, so braucht ein Unternehmen Spielregeln. Zudem muss es wissen, was Menschen brauchen, um diese umzusetzen. Beispielsweise sind Kenntnisse über Wertvorstellungen und Kulturen entscheidend, ansonsten ein Unternehmen keine Chance hat, Foul-Spiele zu erahnen.

Sensibilisierungsmaßnahmen auf dem Weg zur sicheren Unternehmung sind wie PR Maßnahmen auf dem Weg zum starken Image. Sie sind unumgänglich! Solange der PR-Verantwortlicher jedoch nicht versteht, weshalb gute PR für die Unternehmung wichtig ist, werden PR-Maßnahmen nie gut ankommen.

Oldschool Awareness vs. Awareness 2.0?

Hier kommt in Abgrenzung zum "Oldshool"-Ansatz "Awareness 2.0" ins Spiel. Hier geht es um das Wissen um dynamische, prozess-orientierten Komponenten von Awareness Maßnahmen im Change Management Prozess – weg von den reinen didaktischen bzw.  ausschließlich Marketing-gesteuerten Maßnahmen, die vor allem auf die klassische Lerntheorie  und Betriebswirtschafts- bzw. Organisationslehre  setzen. Die Trennung ist vor allem  methodischer Art, denn das Wissen, respektive die Nutzung von "Oldschool"-Ansätzen, bildet eine Basis von Awareness 2.0, allerdings wird man sich aber nicht nur mit Vorträgen, Trainings, Postern & Co. zufrieden geben.

Der bis heute weitgehend verbreitete Ansatz von Security Awareness – der sog. "Old School"  – geht mehrheitlich davon aus, dass sich die Persistenz der Botschaft über die Grundzüge einer einfachen "Lerntheorie" (Abspeichern) ergibt. Erfolgreiche Awareness für Informationssicherheit muss aber vielmehr als Lösung im ganzheitlichen Gefüge der mit ihm verbundenen Zwecke erzeugt werden. Trainings oder E-Learning-Tools sind daher oftmals viel zu personalisiert gedacht. Aufmerksamkeit im Sinne von Awareness ist nicht der erste und entscheidende Einstieg für die Wirksamkeit von Tools, sondern bereits die Folge davon, dass eine Anknüpfung stattgefunden hat.

Nachhaltig ausgerichtete Mitarbeitersensibilisierung - "Awareness 2.0" - darf sich nicht darauf beschränken, Informationsvokabeln über einen Vorgang zu lernen – Awareness 2.0 muss sich vielmehr der Wirkung von Risiken "andienen", indem Probleme angesprochen werden und das Tool selbst sich als Lösung, nicht aber als Simulator, anbietet. Awareness 2.0 sollte sich nicht auf Lehren und Lernen beschränken - sie muss argumentieren und hierdurch beeinflussen.

Wenn man über Wirksamkeit redet, muss eine gute und realistische Geschichte über die Erfolge von Awareness Kampagnen beim Alltag der Menschen beginnen. Jenem Arbeitsalltag, in dem die erwünschte Verhaltensänderung, die durch diverse Maßnahmen erzeugt werden soll, ihren Platz findet. In den meisten Darstellungen derartiger Kampagnen kommt die Lebenswirklichkeit der Menschen jedoch so gut wie gar nicht vor.

Erfolgreiche Security-Awareness-Kampagnen der 2.0-Generation haben es nicht nötig, auf Social Engineering-Tests zu setzen, um Mitarbeitenden zu desavouieren. Sie richten sich an Menschen und nicht an DAU’s (DAU = Dümmster anzunehmender User), Techies oder an abstrakten "Zielgruppen". Awareness 2.0 hält Menschen, denen Fehler unterlaufen, nicht besserwisserisch den Spiegel vor. Sie interveniert und stiftet Sinn, statt Ängste zu schüren und den Arbeitsalltag weiter zu fragmentieren und dadurch komplizierter zu machen. Awareness 2.0 ergreift die Chance, Enabler einer neuen Unternehmenskultur zu werden und führt und bewegt die Menschen.

Die Sensibilisierung von Mitarbeitenden und die damit verbundenen Maßnahmen oder die Security Awareness-Kampagne als solche, führen dabei oftmals nicht nur zu einer Kulturveränderung sondern fordern auch nach Organisationsanpassungen im Unternehmen. Wenn Mitarbeitenden während des Awareness Programms im Positiven "provoziert" und zum Handeln angeregt werden, bekommen IT- und Organisiationseinheiten viel zu tun - denn hier wird Awareness pure Realität. Auf jede Maßnahme muss auch eine Umsetzung erfolgen und wenn Mitarbeitenden sensibilisiert werden, dann werden Sie auch aktiv! Was hilft es Mitarbeitenden zu erklären, dass Dokumente wegzuschließen sind (CleanDesk-Ansatz) wenn der Schlüssel für den Aktenschrank nicht aufzufinden ist oder vertrauliche Dokumente geschreddert werden müssen, in der Abteilung aber nirgends ein Schredder zur Benutzung steht? Security Awareness ist also Umsetzung pur.

Awareness 2.0 orientiert sich konsequent an

  • Blended Learning
  • Klassischen und innovativem Marketing
  • integrierter und systemischer Kommunikation (intern wie auch interkulturell)
  • psychologischen Grundlagen und
  • Changemanagement.


Last but not least sollen an dieser Stelle zwei Eigenschaften genannt werden, die für die Umsetzung von Awareness unabdingbar sind: Ausdauer und Konsequenz. Awareness ist keine bloße Aneinanderreihung von Einzelaktionen sondern ein langfristiger Prozess, mitunter auch ein langfristiger Prozess der Unternehmensentwicklung mit offenem Ausgang.

Die sieben Erfolgsfaktoren von Security Awareness Massnahmen

  1. Strategie und Risikobewusstsein aus Führungssicht: Inwieweit wird Sicherheit als ein Teil der Führungsaufgabe des Managements verstanden?
  2. Unternehmenskultur, -werte, Loyalität und Einzigartigkeit spielen eine außergewöhnlich große Rolle: Berücksichtigen Sie bei Planung und Durchführung die Grundzüge Ihrer Unternehmens- und Sicherheitskultur.
  3. Interne Kooperationen erleichtern die Arbeit und stärken die Akzeptanz: Holen Sie sich Unterstützer aus Ihrem Unternehmen ins Boot.
  4. Externer Support durch (Kommunikations-)Spezialisten: Verstärken Sie Ihr Security-Team um Experten aus Kommunikation/Marketing, Didaktik, Change Management und Psychologie.
  5. Richtlinien bieten Orientierung im Handeln: Erledigen Sie Ihre "Hausaufgaben" und überprüfen Sie sämtliche Policies auf Anwendbarkeit im betrieblichen Tagesgeschäft, inhaltliche Redundanz und vor allem auf Verständlichkeit.
  6. Lokalisierung – "act global, think local": Im Sinne einer interkulturellen Kommunikation sollten Sie immer auf kulturelle Unterschiede achten und frühzeitig die Kollegen der jeweiligen Standorte in die Awareness Maßnahmen einbinden.
  7. Die klare Ansprache und das richtige Customizing: Nicht jeder Mitarbeiter braucht alles. Wenden Sie sich im Sinne niedriger Streuverluste nur an diejenigen, die ihnen "zuhören" sollen.


Fazit

Loyalität ist kein Prozess, der heute beginnt und Morgen abgeschlossen ist. Hier braucht es vor allem eine aktive gelebte Führung – das Management ist hier in der Pflicht – und eine transparente und auf den Unternehmenswerten basierende Kommunikationskultur, in der Fehler erlaubt und als ein Mittel für eine qualitative Prozessverbesserung gesehen werden.

Zitat: Eine Loyalität in der Mitarbeiterschaft aufzubauen ist ein langer – aber lohnenswerter – Prozess. Eine Loyalität lässt sich nur aufbauen, wenn Kontinuität und eine "Erdung"  bei den Führungskräften zu erleben und zu spüren sind.


Über den Autor:

Marcus BeyerMarcus Beyer ist Senior Awareness & BCM Architect bei der Hewlett-Packard (Schweiz) GmbH. Durch seine geisteswissenschaftliche Ausbildung ist sein Blick immer auf die Organisation, den aktiv agierenden Mitarbeiter als Individuum und die Kommunikation im Unternehmen gerichtet – die Grundlage für eine gelebte Informationssicherheit im Unternehmen. Er erarbeitet, plant und organisiert Security Awareness Kampagnen für und in Unternehmen der Schweiz und in Deutschland.

 

 

 

RiskNET-Webinar mit Marcus Beyer

"Security Awareness: Neue Methoden und Beispiele der Mitarbeitersensibilisierung"

Wann? 18. Juni 2013, 9:30 bis 10:30 Uhr

Referent: Marcus Beyer


In diesem Webinar berichtet Marcus Beyer – aus seiner Praxiserfahrung in der Umsetzung von Security Awareness Kampagnen in Unternehmen – von KMUs bis zu international agierenden Konzernen. Er stellt sich Ihren Fragen, ist Ihr Diskussionspartner, wenn es um die Nachhaltigkeit und die Umsetzung von Awareness Programmen geht: Mit einer Prise Vernunft, einer Löffelspitze Humor, einigen Scheiben an Erfahrung und vielen Stücken Kommunikation, Pädagogik und Psychologie.

Inhaltsübersicht:

>> Kurze Einführung in das Thema (Security) Awareness: Definitionen aus Theorie und Praxis
>> Psychologische Ansätze in Awareness Kampagnen: Ist der Mensch "programmierbar"?
>> Von der Planung bis zum RollOut: Workshops, Statistik, Beobachtung & Co.
>> Best Practice Beispiele: Vom Kommunikationsklassiker bis hin zur paradoxen Intervention

Hier zum Webinar der Risk Academy anmelden!

 

 

 

 

 

 

 

 

[Bildquelle:© bluedesign - Fotolia.com]

Kommentare zu diesem Beitrag

sven /15.05.2013 08:06
super beitrag zum thema risk awareness ... klasse, mehr davon. nicht selten wir der faktor mensch bei dem thema ausgeblendet ;-(
Sabine /15.05.2013 08:19
Richtig, beim Thema Awareness werden vor allem kulturelle Unterschiede ausgeblendet. Und auch richtig: Das Management ist hier in der Pflicht. Und hierbei geht es vor allem um eine transparente und auf den Unternehmenswerten basierende Kommunikationskultur. Davon sind viele Unternehmen noch weit entfernt!
Nathalie /28.05.2013 14:32
Aufschlussreich & hochwertig. Toller Beitrag zum Thema Security Awareness. Danke!
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.