Awareness-Kongresse
Das leidige Thema "Sanktion"
Wie setzt man sicheres Verhalten durch? Reicht Sicherheitsbewusstsein, oder muss man auch Fehlverhalten bestrafen? Und wie passt man Awareness-Maßnahmen der jeweiligen Firmenkultur an? Zwei Kongresse Ende Mai und Mitte Juni griffen auch diese heiklen Aspekte der menschlichen Seite der Informationssicherheit auf.
"Dann muss man eben exekutieren!" – Manuel Hüttl, Vertreter der Forschungsgemeinschaft EICAR,
landete mit dieser These unfreiwillig den Lacher des Tages während einer Podiumsdiskussion des
Awareness-Kongresses der LANline und Computer Zeitung am 23. und 24. Mai 2007 in München. Immerhin
war es gerade um Bestrafung menschlichen Fehlverhaltens in Unternehmen gegangen, als das
EICAR-Mitglied im Eifer des Gefechts nicht schnell genug zwischen englischer und deutscher Sprache
umschaltete und aus der berechtigten Forderung, angedrohte Konsequenzen auch "auszuführen",
versehentlich ein Plädoyer für Anwendung der Kapitalstrafe im Wirtschaftsbetrieb machte. Die
vorangehende Diskussion über Sanktionen hatte zu diesem Zeitpunkt bereits zwiespältige Gefühle
hinterlassen – immerhin ist ein Unternehmen weder legitimierte Staatsgewalt noch
erziehungsberechtigt, und manche Strafe hinterlässt eben auch Nebenwirkungen wie die innere
Kündigung. Andererseits gehört das Thema zwangsläufig auf die Agenda der Awareness-Spezialisten,
denn vielen Kampagnen und Maßnahmen fehlt einfach die Kraft, neben Wissens- und
Einstellungsänderungen einen tatsächlichen Effekt auf das reale Verhalten der Mitarbeiter zu
erreichen.
Weitere Teilnehmer der Podiumsdiskussion waren Isabella Santa, Senior Expert Awareness Raising
bei der European Network and Information Security Agency ENISA, Dr. Werner Degenhardt von der
Universität München, der Sicherheitsspezialist Peter Berlich und Dirk Fox, Geschäftsführer des
Consulting-Unternehmens Secorvo und Herausgeber der Fachpublikation DuD.
Andere Highlights des Kongresses waren neben spannenden Firmenvorträgen Werner Degenhardts
Einführung in die psychologischen Grundlagen der Awareness-Arbeit und ein Doppelvortrag von Klaus
Schimmer (SAP) und Sebastian Rohr (Microsoft) über konkrete Kampagnen und Erfahrungen aus ihrer
Umsetzung.
Rechtsanwalt Wilfried Reiners schließlich fesselte das Publikum in seinem Vortrag mit
Anmerkungen zu Risiken aus den geschäfts- und datenschutzrelevanten Informationen, die heute fast
jeder stationäre und mobile PC beherbergt, weshalb er auch mit Umsicht entsprechender behandelt
werden sollte.
Spezialistentreffen bei Secorvo
Ein weiterer lohnender Kongress war das Security Awareness Symposium 2007 bei Secorvo. Hier
trafen sich Experten unterschiedlichster Unternehmen, um sich über Erfahrungen mit realen Maßnahmen
der Stärkung des Sicherheitsbewusstseins auszutauschen. Ein zentrales Thema war hier, wie gründlich
Awareness-Kampagnen auf die jeweilige Firmenkultur und Corporate-Identity-Aspekte ausgerichtet sein
müssen, um nicht Widerstand hervorzurufen und zu scheitern. Professor Dr. Konrad Zerr vom
Steinbeis-Beratungszentrum und Dr. Thomas Schlienger von Treesolution Consulting zeigten
interessante Ansätze zur Erfolgsmessung von Awareness-Maßnahmen.
Ausführliche Artikel zu den Veranstaltungen finden Sie auf der Awareness-Microsite des Konradin-Verlags (microsite.lanline.de/awareness-ll/index.html) unter "Konradin Security-Event" und "Immer Ärger mit der Kultur". Auf www.secorvo.de können Sie für 50 Euro die Unterlagen zum Security Awareness Symposium 2007 beziehen.
Im Schwerpunkt dieses Heftes bringen wir darüber hinaus einen Beitrag von Isabella Santa über innerbetriebliche Security-Awareness-Arbeit.
Lesen Sie mehr zum Thema
