Mai 29 2007

Profilbild von Marcus Beyer
Marcus Beyer

Netzguide (CH) Sicherheitskultur: Ein strategischer Wettbewerbsvorteil

Abgelegt 09:17 unter Allgemein

netzguide.gifAwareness-Programme sowie eine aktiv gelebte Sicherheitskultur können Unternehmen als Grundlage für einen Wettbewerbs- und Know-how-Vorsprung gegenüber den Mitbewerbern dienen. Die Investition in die Mitarbeiter schützt Unternehmenswerte.

Wird berücksichtigt, dass in 80 Prozent aller Sicherheitsvorfälle der Mensch und nur in 20 Prozent die Technik versagt hat, kann man schnell ein ungenutztes Sicherheitspotenzial bei den Mitarbeitern feststellen. Um Informationssicherheit in einem Unternehmen zu etablieren, werden viele organisatorische Massnahmen ergriff en. Unternehmen betreiben dabei oft eine physische «Sicherheitsaufrüstung ». Sie schotten sich mit allen ihnen zur Verfügung stehenden Sicherheitswerkzeugen ab. Sie reglementieren den Mitarbeitern den Netzzugang und sprechen bei Nicht-Einhaltung von gesetzten Regeln schnell Mahnungen oder gar Kündigungen aus.

Direkte, persönliche Ansprache

Die effizienteste und eigentlich einfachste Massnahme – die der direkten, persönlichen Ansprache – erfolgt mit niedriger Priorität und kommt dementsprechend viel zu kurz. Dies bedeutet eben nicht unbedingt, dass eine verabschiedete Vorgabe, wie sich ein Mitarbeiter zu verhalten hat, jeder Mitarbeiter kennt und für seine tägliche Arbeit verinnerlicht hat.

Trotz des mittlerweile in Managementkreisen salonfähig gewordenen Themas «Informationssicherheit und Security Awareness im Unternehmen» wird in den Unternehmen oft nur das Allernötigste eingeführt. Selten, dass man von einer ganzheitlichen Lösung auch nur im Ansatz reden kann. Dies schaff en nur Ausnahmebetriebe, die es aber durchaus gibt.

Vielen Grossunternehmen gelingt es daher heutzutage kaum noch, den «menschlichen Faktor» im Arbeitsalltag zu integrieren. Sie werden aber keine Sicherheitskultur etablieren können, wenn eine entmenschlichte Unternehmenskultur herrscht.

Tiefenpsychologen beschreiben deshalb gar schon ein Horrorszenario: Mitarbeiter, die ganz isoliert und seelisch vollkommen deformiert in einem komplett überwachten und sicherheitstechnisch abgeriegelten Unternehmen sitzen. Gerade durch die technische und organisatorische Beschränkung sucht sich der Mitarbeiter unbewusst Schlupflöcher, um diesem starren und einengenden Martyrium zu entfliehen. Er entsichert hierbei ständig und selbstständig.

Image der Sicherheit fördern

Auch das Image der IT beziehungsweise der IT-Sicherheitsabteilung in Unternehmen ist oft nicht optimal. Es herrscht ein gespaltenes Verhältnis zur IT-Abteilung. Einerseits hilft sie durch ihre administrative Präsenz, die Arbeitsverfassung des Einzelnen im gewünschten Rahmen zu halten. Andererseits wird sie von den Mitarbeitern als Exekutive des Systemzwanges im Unternehmen erlebt. In der Regel wird ihr misstrauisch bis ablehnend begegnet. Es fehlt einfach an genügend positiver, aktiver und ehrlicher Kommunikation. Für die Etablierung einer «lebendigen Sicherheitskultur » ist dies aber ein wichtiger Faktor.

Gut geplante und durchgeführte Awareness-Programme im Unternehmen lösen in den meisten Fällen auch das «Imageproblem» der IT-Security-Abteilung. Denn dadurch bekommt IT- und Informationssicherheit ein Gesicht und präsentiert in positiver Art und Weise die dazugehörigen Protagonisten. Mitarbeiter von Unternehmen müssen wissen – hier wird nichts verboten, hier wird geschützt – der Mitarbeiter selbst und die Werte des Unternehmens.

Schutz statt Verbote

Dies belegt auch in Ansätzen die Studie «Entsicherung am Arbeitsplatz» von Known_Sense und dem Autor dieses Beitrags. Diese Studie zeigt deutlich auf, dass hundertprozentige Sicherheit vom Menschen gar nicht auszuhalten ist. Es gilt also, gezielt die Sicherheitskultur in allen Facetten im Unternehmen zu analysieren, um danach individuelle Massnahmen aufzusetzen. Lebendige

Awareness-Kampagnen, die eher im Unterbewussten wirken, sind effektiv und zielführend. Dadurch wird mehr erreicht als mit offenen Drohungen oder endlos wirkenden IT-Schulungen.

Der Aufbau einer Informationssicherheitskultur ist dann erfolgreich, wenn die Führungskräfte im Unternehmen den Umgang mit sensiblen Daten und der IT gewissenhaft vorleben. Diese Vorbildfunktion ist ein entscheidender Punkt im Aufbau und in der Pflege der Informationssicherheit. Den Führungsstab frühzeitig mit einzubeziehen, entscheidet über den Erfolg jeder Awareness-Massnahme und deren Umsetzung im Unternehmen. Dabei ist allerdings auch darauf zu achten, dass die Umsetzung des Awareness-Programms keine reine IT-Aufgabe ist und bleibt. Die Sicherheitskultur muss abteilungsübergreifend gedacht und geführt werden.

Bisher werden Awareness-Massnahmen klassisch «von oben» gesteuert. «Wissen» wird hierbei oft einfach nur durch ein Quiz oder stichprobenartige Interviews abgefragt. Doch damit ist die Sicherheitskultur eines Unternehmens noch nicht ausreichend analysiert.

Reale Projekte und Werkzeuge

Hier zeigt die Praxis, dass geeignete Werkzeuge in Unternehmen bisher noch nicht weit verbreitet sind, um den Ist- und Soll-Zustand der Sicherheitskultur im Unternehmen zu bestimmen. Das bestätigen auch Risk Manager beziehungsweise Sicherheitsverantwortliche für «Legal Compliance»: «Wir machen in unserem Unternehmen viele Awareness-Massnahmen und Schulungen. Nur können wir leider nicht wirklich nachweisen, ob diese auch ihre Wirkung zeigen.» Gegenüber der Geschäftsleitung beziehungsweise dem Verwaltungsrat müssen aber messbare Ergebnisse als Grundlage geschaff en werden, um die Wirksamkeit ihrer Awareness-Massnahmen zu bestätigen. Und das kontinuierlich.

Mit solchen Werkzeugen lässt sich eindeutig analysieren, wo ein Unternehmen seine Awareness-Ambitionen ansetzen muss, und welche Massnahmen auch wirklich greifen. Massnahmen, die sogar bei den Mitarbeitern nachhaltig wirken. Nicht nur die «Wissensabfrage » muss beleuchtet werden, sondern auch Faktoren wie die Loyalität der Mitarbeiter, deren Motivation und die Sicht auf das interne Wertesystem.

Security Awareness als Wettbewerbsvorteil

Fragt man Unternehmen, die bereits erfolgreich Security-Awareness-Kampagnen durchführen, nach dem «Warum», gibt es meist zwei klare Antworten. Erstens: Wir wollen, sollen und müssen unsere Mitarbeiter mit den Sicherheitsrichtlinien vertraut machen. Zweitens: Dadurch erreichen wir sehr schnell einen Wettbewerbsvorteil gegenüber den Mitbewerbern.

Security Awareness als strategische Grösse im alltäglichen Wettkampf um Marktbesetzung und Kunden – diese Th ese ist nicht mal weit her geholt. Je weniger sensible Informationen das Unternehmen verlassen, um so eher hat man die Chance, auf dem Markt mit einem Produkt oder einer Dienstleistung ein «First Mover» (mit einer guten Reputation) zu sein. Wirtschaftskriminalität rangiert in Studien und Statistiken über die Ängste von Unternehmenslenkern auf einem der oberen Plätze. Aber auch die klassische Sicht auf die «Business Continuity» ist hier relevant. Die Räder stehen eben nicht still, nur weil ein Mitarbeiter aus Unwissenheit einen Virus oder Trojaner ins Unternehmensnetz gesaugt hat. Denn er weiss ja nach einer erfolgreichen Security-Awareness-Kampagne, was er tut – sollte er zumindest.

«Incident Response» gegenüber den Sicherheitsverantwortlichen im Unternehmen ist hier das Schlagwort – selbst gesteuert und durchgeführt durch sensibilisierte Mitarbeiter. Ist der Blick geschärft, wird mit allem «Fremden» kritischer umgegangen. Setzt der gesunde Menschenverstand rechtzeitig ein, kann von einer Kulturveränderung im Unternehmen gesprochen werden.

Organisationsanpassungen im Unternehmen

Die Sensibilisierung von Mitarbeitern und die damit verbundenen Massnahmen oder die Security-Awareness-Kampagne als solche führen dabei oftmals nicht nur zu einer Kulturveränderung, sondern fordern auch Organisationsanpassungen im Unternehmen. Wenn Mitarbeiter während des Awareness-Programms positiv «provoziert» und zum Handeln angeregt werden, bekommen IT- und Organisationseinheiten viel zu tun – denn hier wird Awareness pure Realität. Auf jede Massnahme muss auch eine Umsetzung erfolgen. Wenn Mitarbeiter sensibilisiert werden, dann werden sie auch aktiv! Was hilft es, Mitarbeitern zu erklären, dass Dokumente wegzuschliessen sind (Clean-Desk-Ansatz), wenn der Schlüssel für den Aktenschrank fehlt, oder vertrauliche Dokumente geschreddert werden müssen, in der Abteilung aber nirgends ein Schredder zur Benutzung steht? Security Awareness ist also Umsetzung pur.

Informationssicherheit braucht daher eine off ene und ehrliche Kommunikation – ohne den erhobenen Zeigefinger. Security Awareness ist eben nicht nur ein Wissens-, sondern auch ein Wettbewerbsvorsprung.

(Quelle: Netzguide (CH), ISPIN AG - Text als PDF)

Keine Kommentare

Trackback URI | Kommentare als RSS

Einen Kommentar schreiben