Wie Sicherheitsbewusstsein entsteht
Die Mitarbeiter als Firewall
Dass Technik allein Informationssicherheit schafft, sagen nur die Verkäufer von Hard- und Software. Große Firmen mobilisieren lieber ihre Belegschaft als "Human Firewall". LANline berichtet über weltweite interne Programme bei Cisco und SAP.
Ein Unternehmen braucht seine Mitarbeiter als Verbündete. Sie müssen Social-Engineering-Attacken
mit der nötigen Vorsicht begegnen und sich auch sonst jederzeit verantwortungsvoll benehmen – beim
Umgang mit Kennwörtern, bei der Arbeit mit E-Mail oder beim Hantieren mit dem mobilen Computer
unterwegs.
Auf Technik fokussierte Administratoren und misstrauische Chefs wenden gern ein, solche
Bestrebungen seien chancenlos – "Dumm-User" könne man nicht erziehen, und darüber hinaus sei die
Belegschaft eigennützig, bequem und damit primär ein Risiko, weshalb man sie streng überwachen und
reglementieren müsse. Damit beginnt ein Teufelskreis, denn wer Misstrauen spürt und sich
ungerechtfertigt eingeschränkt fühlt, schaltet auf Widerstand oder setzt sich zumindest nicht mehr
aktiv für das Geforderte ein.
Um zu zeigen, wie wirksam ein professioneller Umgang mit der menschlichen Seite der
IT-Sicherheit sein kann, hat sich LANline die internen IT-Sicherheitsprogramme von Cisco und SAP
angesehen. Beide Firmen weisen zwar einen überdurchschnittlich hohen Anteil an
informationstechnisch vorgebildeten Mitarbeitern auf, haben mit jeweils über 30.000 Angehörigen
aber auch viele IT-fremde Angestellte in ihren Reihen. Beiden Unternehmen gemein ist auch, dass sie
sich traditionell liberal verhalten, wenn es um den Umgang der Mitarbeiter mit E-Mail und Internet
geht, und dass sie auf einer vertrauensvollen Beziehung zwischen Belegschaft und Unternehmen
beharren. Bei SAP etwa betrachtet man diese Liberalität als einen Wert, den es zugunsten des
Unternehmensklimas und der "Schlagkraft" der Belegschaft zu erhalten gilt. Beide Konzerne händigen
neuen Mitarbeitern schon beim Unternehmenseintritt Sicherheitsrichtlinien aus und verlangen von
ihnen, deren Kenntnis zu bestätigen. Fünf Seiten Policies und 50 Seiten Standards, die
beispielsweise die Kennwortqualität festschreiben, sind es bei SAP. Noch mehr Energie verwenden
beide Firmen darauf, die Aufmerksamkeit der Mitarbeiter auch langfristig zu erhalten.
Die erste Voraussetzung für "Awareness" oder Sicherheitsbewusstsein ist, dass Sicherheit
überhaupt ein Thema wird – und zwar eines, über das die Angestellten auch von sich aus
sprechen.
Sicherheit als Kaffeepausenthema
John N. Stewart, als Senior Director Information Security bei Cisco in den USA für das interne
Awareness-Programm zuständig, nennt ein solches Thema "Water-Cooler-Topic" – also eines, das von
selbst zur Sprache kommt, wenn sich Mitarbeiter beim Getränkeautomaten treffen. Um "Sicherheit" den
nötigen Stellenwert zu geben, setzt er auf zwei Faktoren: "Geschichten, Geschichten, Geschichten"
und die Einbindung des CEOs John Chambers, der traditionell eine Orientierungsfigur für das gesamte
Unternehmen darstellt. Die "Stories" liegen Stewart besonders am Herzen: "Wir berichten intern über
Angriffe, die auch uns gefährlich werden könnten, und wir geben umumwunden zu, dass auch wir immer
wieder betroffen sind", erklärt er. Die verbreitete Praxis, Angriffe auf das eigene Netz zu
verschweigen, hält er für verfehlt. "Gab es einen Vorfall, anonymisieren wir ihn, aber wir teilen
ihn den Unternehmensangehörigen mit und machen deutlich, welche Konsequenzen durch ihn drohten",
ergänzt er.
Die Vorfälle zu "erzählen" erleichtert es den Mitarbeitern, sich in die Lage von Angreifer und
Betroffenem hineinzuversetzen und die Bedeutung des Geschehens zu erfassen. Angriffsstatistiken
bleiben dagegen zu abstrakt und machen es leicht, die Bedeutung für die eigene Arbeit zu
negieren.
Die Mitarbeiter müssen aus Stewarts Sicht jederzeit genau wissen, welchen Wert die ihnen
zugänglichen Informationen für das Unternehmen haben. Sie müssen außerdem die Konsequenzen kennen,
die ein Bruch der Informationssicherheit in ihrem Verantwortungsbereich haben könnte. Beides ist
nur möglich, wenn ihr Arbeitgeber sie über die wirtschaftliche Situation und die Aktivitäten des
Unternehmens auf dem Laufenden hält. Die Frage: "Wie gut sind wir in Sachen Sicherheit?", zieht
Stewart sein Resümee, "muss genau so zum Dauerthema werden wie die Qualität der hergestellten
Produkte."
Stewart arbeitet primär mit internen und externen Mitarbeitern aus dem Kommunikationsbereich
zusammen, die als Profis die Informationsvermittlung an die Belegschaft beherrschen und die sich
zusätzlich Wissen über IT-Sicherheit angeeignet haben. Das Werben für Sicherheitsbewusstsein
gleicht aus Stewarts Sicht Marketing-Kampagnen, die sich an die Zielgruppe der
Unternehmensangehörigen wenden.
Interne Kampagnen auf hohem Niveau
Die Einbindung der Chefetage ist auch aus Sicht von Klaus Schimmer und Regine Brehm wichtig, die
bei SAP als Security Marketing Manager für die IT-Security-Awareness-Programme verantwortlich sind.
Sie gehören zur Abteilung "Corporate Security", die vom Personenschutz über Gebäudesicherheit bis
zur IT-Security alle Aspekte der Unternehmenssicherheit betreut. Das Team zieht gezielt Vorstand
und Abteilungsleiter dazu heran, bei den unterschiedlichsten Gelegenheiten an das Thema Sicherheit
zu erinnern, und veröffentlichte in diesem Zusammenhang etwa intern ein Interview mit dem CSO
Sachar Paulus. SAP setzt auf ein ganzes Bündel an Informationskanälen, um die Mitarbeiter immer
wieder an ihre Verantwortung zu erinnern:
Posteraktionen. In regelmäßigen Abständen machen Schimmer und Brehm weltweit
alle 30.000 SAP-Mitarbeiter auf bestimmte Sicherheitsthemen oder Standards aufmerksam. "Social
Engineering" und der Zusammenhang zwischen Sicherheit und Geschäftserfolg gehörten bereits dazu,
und die neueste Aktion wird auf den richtigen Umgang mit Kennwörtern zielen. Die Plakate hängen in
den Eingängen oder an viel frequentierten Orten wie den SAP-typischen Kaffeeecken für informelle
Meetings.
Sicherheitsfilm. SAP-Mitarbeiter werden dazu angehalten, sich permanent über
ihr Unternehmen zu informieren. Im Intranet läuft täglich ein Kurzfilm, der beispielsweise über
Produkte oder geschäftliche Neuigkeiten berichtet. Von Zeit zu Zeit streuen Schimmer und Brehm hier
professionell gedrehte Sicherheitsfilme ein, etwa zum richtigen Umgang mit Notebooks auf Reisen.
Die Reichweite dieses Kanals ist sehr hoch, und die Sicherheitsinformationen finden sich
automatisch neben Nachrichten unternehmensweiter Wichtigkeit wieder.
Bestärkung. Weltweit auf allen WC-Spiegeln der SAP-Gebäude findet sich ein
Aufkleber, der den jeweiligen Betrachter zum "wichtigsten Security-Officer" des Hauses erklärt.
Dieser Aktion ging eine ähnliche mit großen, transportablen Spiegeln voraus. Außerdem gehen
regelmäßig Sicherheitskräfte durch die Büros, die mit kleinen Zetteln freundlich auf
Sicherheitsverstöße wie nicht abgemeldete PCs oder herumliegende vertrauliche Dokumente hinweisen,
bei einwandfrei vorgefundenen Büros aber auch ein Lob hinterlassen. Eine Plakataktion, die eine
Reihe von Mitarbeitern als "wichtigste SAP-Firewall" zeigt, unterstützt den Effekt. Reminder-Mails
erinnern an Regeln wie diejenige, vom offiziellen Firmen-Account aus keine privaten Statements zum
Unternehmen oder etwa zur Politik zu verbreiten.
Praktische Hilfe statt Zwang
Damit die Kampagnen in aktives Handeln und Verhaltensänderungen münden, enthalten jeder
Aufkleber und jedes Plakat einen Hinweis auf die eigens eingerichtete Intranet-Seite zum Thema
Sicherheit, die zusätzliche Artikel und Newsletter zum Thema anbietet. Noch wichtiger ist laut
Schimmer, dass keine Aktion gestartet wird, ohne dass SAP den Mitarbeitern sofort eine konkrete
Hilfe zur Verfügung stellt, den Sicherheitsanforderungen zu genügen. So muss die vermutlich
besonders aufmerksamkeitsträchtige "Passwords-are-like-Underware"-Kampagne derzeit noch warten, bis
den Mitarbeitern beispielsweise ein USB-Stick als besonders gesicherter Kennworttresor oder ein
ähnliches Hilfsmittel übergeben werden kann. SAP hilft auch mit konkreten Vorschlägen,
Sicherheitsbewusstsein und Höflichkeit zu verbinden. "Wir halten einander immer noch Türen auf,
aber es ist üblich, dass der Eingelassene dann unaufgefordert seine Unternehmenskarte zeigt",
berichtet Regine Brehm. Personen ohne Karte sollen freundlich angesprochen und gegebenenfalls zu
ihrem Ziel geleitet werden.
Das "Underware"-Plakat wird übrigens fast überall auf der Welt hängen, nur nicht in den USA, wo
das Motiv ursprünglich an einer Universität entwickelt wurde. "Toll, aber für uns zu anstößig",
befanden die US-Kollegen des deutschen Teams. Die Awareness-Kampagnen bei SAP werden zwar zentral
entwickelt, müssen aber mit Rücksicht auf kulturelle Differenzen durch die Niederlassungen
abgenommen werden.
Vorsichtige Sanktionen
Die Sicherheitsrichtlinien bei SAP darf niemand eigenmächtig übertreten. Diskussionen darüber
sind aber jederzeit erlaubt: "Die Entwickler etwa hatten Probleme mit der Regel, keinen PC ohne
Virenschutz laufen zu lassen. Kompilierungen dauern damit um ein Vielfaches länger. Jetzt dürfen
sie temporär auch ohne Scanner arbeiten, müssen die betroffenen Rechner aber so lange vom Netz
trennen", beschreibt Schimmer den pragmatischen Umgang mit der Sicherheit. "Niemand darf sich
hinter Policies verschanzen", bekräftigt er.
Mit Sanktionen gehen SAP und Cisco bewusst vorsichtig um. "Wenn ein Mitarbeiter zum ersten Mal
einen sicherheitsrelevanten Fehler macht und den auch noch selbst meldet, werde ich mit ihm zwar
ernst sprechen, aber ihn auf keinen Fall scharf maßregeln", erklärt Stewart. Fehler gehören aus
seiner Sicht zur Arbeit, und die Meldung ist ja schon richtiges Verhalten. "Wenn ich so vorgehe,
habe ich hinterher einen Mitarbeiter und Fürsprecher, den ich nicht einmal bezahlen muss", ergänzt
der Cisco-Sicherheitsmanager. Bei wiederholten und mutwilligen Verstößen allerdings greifen Cisco
und SAP zu den lokal üblichen arbeitsrechtlichen Sanktionen.
Dass 80 Prozent aller Angriffe auf die Unternehmensinfrastruktur von eigenen Mitarbeitern
ausgehen, wie es viele Anbieter behaupten, mag Schimmer nicht glauben. "Es dürften vielleicht 60
Prozent sein, und das auch nur, wenn man Bedienungsfehler mitzählt", meint er. Natürlich hat SAP
schon Verstöße gegen die Unternehmensrichtlinien erlebt – etwa in einer Außenstelle den Betrieb
eines unerlaubten kommerziellen Servers – aber noch keinen Schaden erlitten, der ein weniger
vertrauensgeleitetes Verhältnis zur Belegschaft rechtfertigen könnte.
Cisco und SAP geben zu, dass der Erfolg ihrer Awareness-Kampagnen schwer messbar sei. "Gerade
wenn es funktioniert, merken wir leider nichts davon", meint Schimmer. Beide Unternehmen verlangen,
dass die Mitarbeiter das Lesen der Sicherheitsrichtlinien im Intranet per Mausklick bestätigen, und
sie zählen die Zugriffe auf Informationsangebote wie die SAP-Filme. "Aus Gesprächen wissen wir
allerdings, dass die Mitarbeiter immer häufiger Maßnahmen aus dem Unternehmen auf ihre private
Umgebung übertragen wollen", meint Schimmer. Das lasse schon auf die Wirksamkeit der Kampagnen
schließen. Die häufigen Presseberichte über Phishing-Attacken arbeiten den Awareness-Beauftragten
dabei zurzeit in die Hände, denn sie stärken das Gefahrenbewusstsein auch beim persönlichen
Computergebrauch.
Fazit
Die Awareness-Kampagnen von Cisco und SAP haben Erfolg, weil die Unternehmen viel Geld und Mühe
darauf verwenden. Von der Wirksamkeit sind beide Firmen ebenso überzeugt wie von der Notwendigkeit,
technische Maßnahmen durch menschliche zu ergänzen. Kleinere Unternehmen, die sich die Einstellung
von Kommunikationsspezialisten ebensowenig leisten können wie den Aufbau zusätzlicher
Informationsinfrastrukturen, können ähnliche Ergebnisse erzielen, wenn sie externe Dienstleister
mit Awareness-Kampagnen betrauen und die Mitarbeiter auf Security-Infos im Web aufmerksam machen.
Das Outsourcing muss allerdings mit Bedacht geschehen, denn die Maßnahmen sollten sich eng an
Unternehmenskultur und internen Gepflogenheiten orientieren.
Lesen Sie mehr zum Thema
