Apr 20 2007

Profilbild von Marcus Beyer
Marcus Beyer

Computerworld (CH) Fokus: Sicherheitskultur als Wettbewerbsvorteil

Abgelegt 09:10 unter Allgemein

cw_sicherheitskultur.gifMassnahmen zur Sensibilisierung der Mitarbeiter in Sachen IT-Security haben diverse Vorteile: Sie fördern nicht nur das Sicherheitsbewusstsein der einzelnen Mitarbeiter, sondern machen aus diesen aktive Helfer der IT-Abteilung. Das wiederum führt zum Wettbewerbsvorteil gegenüber der Konkurrenz.

Um Informationssicherheit in einem Unternehmen zu etablieren, werden viele Massnahmen ergriffen. Firmen betreiben dabei oft eine physische «Aufrüstung » der IT-Security – und schotten sich mit allen ihnen zur Verfügung stehenden Sicherheitswerkzeugen ab. In 80 Prozent aller Sicherheitsvorfälle versagt jedoch der Mensch. Nur in 20 Prozent der Fälle ist die Technik schuld. Die Mitarbeiter bieten somit ein oft ungenutztes Potenzial für ein deutliches Mehr an IT-Sicherheit.

Doch was tun viele Unternehmen? Sie reglementieren ihren Mitarbeitern den Netzzugang und sprechen bei Nicht-Einhaltung gesetzter Regeln schnell Mahnungen oder gar Kündigungen aus. Viel effizienter und einfacher ist es dagegen, die Betroffenen direkt und persönlich anzusprechen. Doch dies geschieht viel zu selten. Dabeireicht es auch nicht, wenn der Mitarbeiternur um verabschiedete Vorgaben weiss. Viel wichtiger ist, dass er diese verinnerlicht und bei der täglichen Arbeit richtig handelt.

Trotz des mittlerweile in Managementkreisen salonfähig gewordenen Themas «Informationssicherheit und Security-Awareness im Unternehmen», wird oft nur das Allernötigste getan. Selten, dass man voneiner ganzheitlichen Lösung auch nur im Ansatz sprechen kann. Dies schaffen nur Ausnahmebetriebe, die es aber durchaus als «Best Practice»-Beispiele gibt.

«Marketing» für die IT-Abteilung

Der erste Schritt zur Steigerung des Sicherheitsbewusstseins, respektive der Awareness, ist die Verbesserung des häufig nicht optimalen Image der IT- und der IT-Security. Zu oft herrscht von Seiten der Mitarbeiter ein gespaltenes Verhältnis zur IT-Abteilung. Einerseits unterstützen die Kollegen der IT die tägliche Arbeit des Einzelnen. Andererseits werden sie von den Mitarbeitern als Exekutive des Systemzwangs im Unternehmen erlebt. In der Regel wird ihnen entsprechend misstrauisch, ja bisweilen gar ablehnend begegnet. Warum das so ist? Es fehlt schlicht an genügend positiver, aktiver und ehrlicher interner Kommunikation – einer Art «Security Marketing». Für die Etablierung einer «lebendigen Sicherheitskultur» ist dies jedoch zwingend notwendig.

Gut geplante und durchgeführte Awareness- Programme lösen in den meisten Fällen auch das «Imageproblem» der IT-Security- Abteilung. Denn dadurch bekommen die IT und die Informationssicherheit ein Gesicht und präsentieren in positiver Art und Weise die dazugehörigen Protagonisten. Mitarbeiter von Unternehmen müssen wissen: Hier wird nichts «verboten», hier wird «geschützt». Und zwar nicht nur die Werte des Unternehmens, sondern auch jeder einzelne Mitarbeiter selbst .

Vorbildfunktion für das Management

Alle Awareness-Massnahmen nützen wenig, wenn die Chefetage eines Unternehmens ein schlechtes Beispiel in Sachen ITSecurity abgibt. Der Aufbau einer Informationssicherheits-Kultur ist erst dann erfolgreich, wenn die Führungskräfte im Unternehmen den Umgang mit sensiblen Daten gewissenhaft vorleben. Diese Vorbildfunktion ist ein entscheidender Punkt beim Aufbau und der Pflege der Informationssicherheit. Die frühzeitige Miteinbeziehung des Führungsstabs ist für den Erfolg der Awareness-Massnahme und deren Umsetzung im Unternehmen entscheidend. Dabei ist darauf zu achten, dass die Umsetzung des Awareness-Programms keine reine Aufgabe der Informatik ist und bleibt. Die Sicherheitskultur muss abteilungsübergreifend gedacht und geführt werden.

Oft werden Awareness-Massnahmen klassisch «von oben» gesteuert. «Wissen» wird dabei einfach nur durch ein Quiz oder stichprobenartige Interviews abgefragt. Doch dies ist weder eine effektive Analyse der Sicherheitskultur eines Unternehmens, noch reicht es aus, um gezielte Aktionen durchzuführen, geschweige denn, um Mitarbeiter für das Thema zu sensibilisieren.

Gerade die Messbarkeit der Wirkung von Programmen zur Förderung der Sicherheitskultur wird von Risk-Managern und Sicherheitsverantwortlichen als schwierig eingestuft. «Wir machen in unserem Unternehmen viele Awareness-Massnahmen und Schulungen. Nur können wir leider nicht wirklich nachweisen, ob diese auch ihre Wirkung zeigen», lautet eine oft gehörte Meinung. Gegenüber der Geschäftsleitung und dem Verwaltungsrat müssen aber messbare Ergebnisse als Grundlage geschaffen werden. Nur so kann die Wirksamkeit der Awareness-Massnahmen bestätigt werden – und zwar kontinuierlich.

Damit wird klar: Es sind Massnahmen gefragt, die bei Mitarbeitern nachhaltig wirken. Nicht nur die «Wissensabfrage»darf im Zentrum stehen. Auch Faktoren wie Loyalität, Motivation und die Sicht auf das interne Wertesystem müssen eruiert werden.

Awareness als Wettbewerbsvorteil

Dass Security-Awareness-Kampagnen nicht nur die Sicherheitskultur verbessern, sondern dass sie sogar Wettbewerbsvorteile gegenüber der Konkurrenz schaffen, wird von Unternehmen, die entsprechende Massnahmen durchgeführt haben, oft bestätigt. Sie bezeichnen Security Awareness als strategische Grösse im alltäglichen Wettkampf um Marktbesetzung und Kunden. Je weniger sensible Informationen das Unternehmen verlassen, um so eher hat man die Chance, auf dem Markt mit einem Produkt oder einer Dienstleistung der «First Mover» mit einer guten Reputation zu sein.

Die Verhinderung von Wirtschaftsspionage ist das eine, die klassische Sicht auf die «Business Continuity» das andere. Die Räder stehen nicht still, nur weil ein Mitarbeiter einen Virus oder Trojaner ins Unternehmensnetz gesaugt hat. Denn er weiss nach einer erfolgreichen Security-Awareness-Kampagne, was er zu tun hat. «Incident Response» gegenüber den Sicherheitsverantwortlichenim Unternehmen ist hier das Schlagwort – selbst gesteuert und durchgeführt durchsensibilisierte Mitarbeiter. Ist der Blick geschärft, wird mit allem «Fremden» kritischer umgegangen. Und setzt der gesunde Menschenverstand rechtzeitig ein, kann von einer Kulturveränderung im Unternehmen gesprochen werden.

Die Sensibilisierung von Mitarbeitern und die damit verbundenen Massnahmen oder die Security-Awareness-Kampagne als solche führen dabei oftmals nicht nur zu einer Kulturveränderung. Sie erfordern auch Organisationsanpassungen im Unternehmen. Wenn Mitarbeiter während des Awareness-Programms im Positiven «provoziert » und zum Handeln angeregt werden, bekommen IT- und Organisiations-Einheiten viel zu tun – denn hier wird Awareness pure Realität. Auf jede Massnahme muss auch eine Umsetzung erfolgen. Und wenn Mitarbeiter sensibilisiert sind, dann werden Sie auch aktiv! Was hilft es, Mitarbeitern zu erklären, dass Dokumente wegzuschliessen sind (CleanDesk-Ansatz) – aber der Schlüssel für den Aktenschrank nicht aufzufinden ist? Was bringt die Anweisung, vertrauliche Dokumente müssten geschreddert werden, wenn in der Abteilung gar kein Gerät dafür vorhanden ist? Auch in Sachen Security-Awareness müssen konkrete Handlungen der nun sicherheitsbewussten Mitarbeiter möglich sein.

Informationssicherheit braucht daher eine aktive und ehrliche Kommunikation – ohne erhobene Zeigefinger. Denn gute Security Awareness ist nicht nur ein Wissenspool, sondern ein kontinuierlicher Prozess. Und zwar einer, der mittlerweile eine strategische Bedeutung für den Wettbewerbsvorsprung eingenommen hat.

Der gesamte Text als PDF: ISPIN_AG_Computerworld_Sicherheitskultur_20070420.pdf [285 K]

(Quelle: Computerworld CH, ISPIN AG)

Keine Kommentare

Trackback URI | Kommentare als RSS

Einen Kommentar schreiben