Informationssicherheit muss sichtbar werden

Security Awareness


Security Awareness Kolumne

Der Mensch stellt nach wie vor den größten Risikofaktor für die Informationssicherheit im Unternehmen dar. IT-Sicherheitsverantwortliche scheitern seit Jahren daran, die Mitarbeiter für das Thema zu sensibilisieren und deren Akzeptanz dafür zu erhöhen. Nur wer seine Unternehmens- und Kommunikationskultur ändert, kann IT-Security von seinem "Bremsklotz-Image" befreien und sie als "Enabler" positionieren.

IT-Security ist in Unternehmen in den meisten Fällen bei der IT-Abteilung aufgehängt und wird oft aus rein technischer Sicht betrachtet. Mit der Installation von Sicherheitsmaßnahmen wie Firewalls, USB-Port-Blocking, Passwortverwendung und vielen mehr werden zwar wichtige Bereiche abgedeckt, allerdings schützen diese nicht vor kriminellem oder unbeabsichtigtem Fehlverhalten der Nutzer und somit auch nicht vor Datenverlust beziehungsweise Informationsdiebstahl. Im Gegenteil: Solange das Thema rein technisch betrachtet wird, wird Security im Unternehmen als "Bremsklotz" wahrgenommen, den man ungern unterstützt. Das ließe sich ändern, sofern es die Verantwortlichen schaffen, Security als "Enabler" zu positionieren, also als Thema, das die Ziele und Prozesse des Unternehmens und seiner Mitarbeiter unterstützt.

Die IT kann sie sich als "Enabler" positionieren

Die IT-Abteilung muss dazu die geschäftskritischen Prozesse und die davon betroffenen IT-Anwendungen analysieren. Erkennt die IT, dass Mitarbeiter zum Beispiel Dropbox nutzen, weil sie diese für ihre tägliche Arbeit dringend benötigen, obwohl dies in den Richtlinien nicht vorgesehen ist, sollte sie in Zusammenarbeit mit dem Management eine sichere Alternative bereitstellen. Andernfalls werden die Anwender immer weiter aus den Verhaltensregeln ausbrechen.

Das erfordert generell eine andere Herangehensweise an das Thema: Dabei hat der CISO in seiner Funktion als Enabler die Prozesse, Risiken und den Mitarbeiter, der mit Risiken umgehen muss, in seinem Blickfeld. Auch beim oben genannten Flughafenbeispiel könnte er die Enabler-Rolle einnehmen, indem er automatisch bei jedem neuen Notebook-Rollout eine Blickschutzfolie auf mobile Endgeräte anbringt bzw. dem Nutzer mitgibt. Denkt er noch einen Schritt weiter, liefert er auch einen verschlüsselbaren USB-Stick mit aus, damit die Daten auch bei Verlust geschützt sind.

Über welche Art von Sicherheit reden IT-Verantwortliche?

Weil Security ein Prozess ist, der nie aufhört, muss das Thema kontinuierlich und nachhaltig kommuniziert werden. Es darf nicht abstrakt und "digital" behandelt werden, vielmehr muss der Umgang mit Sicherheit Bestandteil der Unternehmenskultur werden. Und damit kommt es auch aus der technischen Ecke heraus, denn das Thema umfasst den gesamten Bereich des Informationsschutzes und sollte daher unter der Bezeichnung Informationssicherheit gehandhabt werden, bei dem auch der Mensch eine zentrale Rolle spielt.

Fokus auf die Mitarbeiter richten

Weil der Mensch den größten Risikofaktor darstellt, sollten sich Sicherheitsverantwortliche intensiver mit ihm beschäftigen. Es klingt paradox, aber die größte Aufmerksamkeit erhält ein Mitarbeiter vor Beginn und nach Beendigung seines Arbeitsverhältnisses. So haben die Personalabteilungen klare Prozesse für die Phasen Rekrutierung, Einstellung und Ausstellung. Aber was geschieht in der Zeit dazwischen?

Die meisten Unternehmen schauen auf die kritischen Schnittstellen und auf Veränderungsprozesse bei den Mitarbeitern selbst, nicht aber auf den Standard im Alltag. Es ist nicht der chinesische Praktikant, der die Daten stiehlt. Vielmehr muss sich der Blick manchmal auf jene richten, die überhaupt nicht im Visier der Sicherheitsmenschen sind. So kann ein 50-Jähriger mit zwei Kindern, der seit fünf Jahren im Unternehmen ist, ein weitaus höheres Risiko darstellen, wenn dieser beispielsweise durch Scheidung finanziell unter Druck gerät. Auch wenn er die Jahre über ein loyaler Mitarbeiter war, so kann sich das sehr schnell ändern. Und er kennt die "Kronjuwelen" des Unternehmens besser als ein Praktikant, die für sechs Wochen im Betrieb mitarbeitet. Vor dem Hintergrund, dass einer GULP-Studie zufolge lediglich 60 Prozent der Mitarbeiter loyal gegenüber ihrem Unternehmen stehen und 25 Prozent nichts mehr mit ihm zu tun haben wollen, ist eine stärkere Fokussierung auf den einzelnen Mitarbeiter anzuraten.

In der Kommunikation liegt der Schlüssel zum Erfolg

Für die Arbeit des CISOs ist es wichtig, wie er mit dem Management kommuniziert und wie er im Unternehmen vernetzt ist. Er sollte in der Lage sein, das Management mit den entscheidenden Argumenten wie Business-Effizienz oder Schutz vor Restriktionen zu überzeugen. Eine wesentliche Voraussetzung dafür ist, dass er sich mit der Geschäftsleitung regelmäßig austauscht und in der Lage ist, auf Augenhöhe zu kommunizieren und seine Strategie zu erklären. Auch gegenüber den Mitarbeitern wird er mit Awareness-Maßnahmen nur dann einen nachhaltigen Erfolg erzielen, wenn er kommunikative Menschen in die Abteilung einbindet oder die Maßnahmen mit professionellen Kommunikatoren umsetzt. Ein CISO braucht außerdem auch Mut, etwas Neues zu tun und kreative Wege zu gehen.

Fazit

Informationssicherheit kann als Bestandteil der Unternehmenskultur sein "Bremsklotz"-Image ablegen und als "Enabler" positiv in den Köpfen der Mitarbeiter verankert werden. Voraussetzung dafür ist, dass die Verantwortlichen das Thema intensiver als bisher kommunizieren und es für die Menschen sichtbar machen.

Autor:

Marcus Beyer ist Senior Awareness & BCM Architect, HP Enterprise Security Services

 

Webinar: Security Awareness: Neue Methoden und Beispiele der Mitarbeitersensibilisierung

Wann: 21. April 2015, 09:30 - 10:30 Uhr

Unternehmen müssen mit dem "Paradox" leben, dass der Mitarbeitende an sich nicht nur den vermutlich größten Risikofaktor darstellt, sondern auch den wichtigsten Wert für das Unternehmen. Um dieses Paradox aufzubrechen, braucht es nachhaltige und wirksame Security Awareness Kampagnen, eine klare und verständliche Kommunikation und die Vorbildfunktion des Management – ohne die läuft in der Regel gar nichts.

Awareness ist von Menschen für Menschen gemacht. Da aber menschliches Verhalten nicht "programmierbar" ist, müssen die Faktoren mitberücksichtigt werden, die eben das Verhalten mit beeinflussenden. Das macht Awareness recht schnell zu einem komplexen Vorhaben – und für viele Unternehmen zu einem Abenteuer.

In diesem Webinar berichtet Marcus Beyer – aus seiner Praxiserfahrung in der Umsetzung von Security Awareness Kampagnen in Unternehmen – von KMUs bis zu international agierenden Konzernen. Er stellt sich Ihren Fragen, ist Ihr Diskussionspartner, wenn es um die Nachhaltigkeit und die Umsetzung von Awareness Programmen geht: Mit einer Prise Vernunft, einer Löffelspitze Humor, einigen Scheiben an Erfahrung und vielen Stücken Kommunikation, Pädagogik und Psychologie.

Kostenfreie Anmeldung

 

[ Bildquelle Titelbild: © blas - Fotolia.com ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.