Moderne IT-Sicherheit fordert den Anwender
Den Mitarbeiter in die Verantwortung nehmen
Wenn Mitarbeiter heute größere Bedeutung für die Informationssicherheit in Unternehmen haben, geht dies auch mit einer gewachsenen Verantwortung der Anwender für das Security-Niveau einher. LANline sprach über diesen Aspekt und seine Konsequenzen mit Dr. Andreas Knäbchen, Leiter Security Practice bei Accenture.
LANline: Als Berater wissen Sie, wie es in vielen Unternehmen um die IT-Sicherheit bestellt ist.
Setzt sich die Erkenntnis, dass das Sicherheitsbewusstsein und das Verhalten der Anwender eine
wichtige Rolle spielen, inzwischen überall durch?
Knäbchen: Das Bewusstsein dafür wächst, mündet aber durchaus noch nicht überall in entsprechende
Projekte. Die Tendenz, Sicherheitsprobleme primär technisch lösen zu wollen, herrscht immer noch
vor.
LANline: Gibt es einen Grund dafür?
Knäbchen: Tatsächlich liegen in vielen Unternehmen nach ihrem eigenen Verständnis die
wichtigsten Daten nach wie vor auf einem Mainframe, und oft behält die damit verbundene
Sicherheitsmentalität die Oberhand. Man konzentriert sich auf Maßnahmen, die zentral vorgehaltenen
Daten technisch vor unbefugtem Zugriff zu schützen. Dass praktisch überall im Netz und auch auf
mobilen Rechnern schützenswerte Informationen gespeichert sind, spiegelt sich oft nicht adäquat im
Bewusstsein der Sicherheitsverantwortlichen wider.
LANline: Eine immer noch vorherrschende Großrechnermentalität – kann das denn sein? Die
Berichterstattung in der LANline geht doch schon von verteilten Daten als Normalzustand aus. Wir
berichten auch von gegenläufigen Tendenzen – etwa dem Versuch, mit Server-Based Computing wieder zu
zentral orientierten Strukturen zurückzukehren.
Knäbchen: So weit ist man in der Realität tatsächlich erst in Ausnahmefällen. Im Normalfall
hinken die Sicherheitskonzepte noch dem Trend zu mobileren, autarken PCs hinterher. Dieser lässt
sich nicht überall umkehren, zumindest nicht bei kreativen und flexiblen Anwendern, die ein großes
Anwendungsspektrum nutzen. Die modernen Netze mit den mobilen PCs sind aber viel zu komplex, um
wirklich alle Bedrohungen mit technischen Policies und Einstellungen abzudecken. Der Anwender muss
aufpassen – etwa wenn er mobil ist –, dass ihm niemand über die Schulter sieht, dass er den Kontakt
zum Internet in irgendeinem Hotel auch bei Schwierigkeiten geduldig und verantwortungsvoll
herstellt, und dass ihm niemand seine Geräte oder einfach ausgedruckte Unterlagen stiehlt.
Vielleicht horcht ihn auch jemand einfach aus. All dies bedeutet, dass der Anwender heute mehr
Verantwortung trägt und dass der CSO dies akzeptieren und berücksichtigen muss.
LANline: Wie weit kann die Verantwortung des einzelnen Mitarbeiters gehen?
Knäbchen: Das ist tatsächlich schwer auf den Punkt zu bringen. Sicher ist aber, dass man den
Mitarbeitern verständlich machen sollte, wie viel von ihrem Verhalten abhängt. Für die CSOs heißt
dies auch, ihre Anwender hierauf anzusprechen und sie zu unterstützen, auch wenn dies komplizierter
und möglicherweise teurer sein kann als immer noch ein Versuch, die Technik zu verbessern. Letztere
zu vernachlässigen ist allerdings auch der falsche Weg – auf Verschlüsselung etwa sollte man
keineswegs verzichten.
LANline: Wie bringt man Anwender dazu, die Verantwortung auch bewusst zu übernehmen und sich
entsprechend zu verhalten?
Knäbchen: Ideal ist es, wenn Vorgesetzte eine Vorbildfunktion ausüben und das Thema auch
ansprechen. Gerade bei kleinen Firmen und Gruppen kann dies extrem wirkungsvoll sein. Leider findet
man Manager mit dem Willen und der Kompetenz, hier Vorbild zu sein, nicht allzu oft. Die Wirkung
bei den Mitarbeitern hängt wiederum davon ab, wie sie die Bedeutung der Informationen, die sie in
ihrer Obhut haben, einschätzen. Wer beispielsweise international hochwertige Verträge aushandelt,
ist sich seiner Verantwortung für die zugehörigen digitalen Daten in der Regel auch bewusst. Bei
anderen Jobs muss man die möglichen Folgen unvorsichtigen Verhaltens vielleicht erst erklären.
LANline: Würden Sie Mitarbeitern die Privatnutzung von Internet und E-Mail erlauben?
Knäbchen: Ich tendiere zu der Lösung, dies zu verbieten, Verstöße aber nur im Extremfall zu
ahnden. So ist der Arbeitgeber auf der sicheren Seite, und der Mitarbeiter wird zumindest zu
maßvollem Umgang mit den Ressourcen angehalten.
Dr. Johannes Wiele
Lesen Sie mehr zum Thema
