Profil und Eigenart sind Sicherheitsfaktoren
Die schwierige Rolle der CSOs
Eine Known-Sense-Studie zeigt: Souveräne Chief Security Officers (CSOs) mit Profil und Eigenart integrieren die menschlichen Komponenten der Informationssicherheit am besten. Was unterscheidet weniger erfolgreiche von erfolgreichen CSOs?
Zumindest die Lehrer der heute tätigen CSOs wurden in zentralisierten IT-Umgebungen groß. Security stellte man durch gut durchsetzbare, technische Maßnahmen zur Lenkung des Zugriffs her. Heute sind Daten auf PCs und mobilen Geräten verteilt, der Perimeter löst sich auf, und es gibt eine unübersichtliche Zahl an Applikationen.
CSOs als Wesen vom andern Stern
In diesem Umfeld können CSOs nicht mehr umhin, den Anwendern mehr Aufmerksamkeit zu widmen. Dietmar Pokoyski von Known Sense hat vor Kurzem eine Studie dazu veröffentlicht, wie sich CSOs vor dem Hintergrund dieser Aufgabe selbst sehen. "Aus der Abwehr in den Beichtstuhl" zeigt zunächst, dass die CSOs häufig in ihre Vermittlungsfunktion zwischen digitaler Welt - ihre IT-Umgebungen, die sie im Studium zu beherrschen gelernt haben - und analoger Welt - das Handeln, Denken und Tun der Anwender - geraten sind, ohne dies jemals angestrebt zu haben. Während sie "organisatorisch-überwachend" den "reibungslosen Ablauf und Durchfluss der Unternehmensprozesse" auf der technischen Seite gut regeln, müssen sie erfahren, dass sie auf die Anwender wie "Vertreter einer unbekannten und unfassbaren Welt mit eigener Sprache und eigener Ordnung" wirken. Die CSOs können den Mitarbeitern ihre Probleme mit der IT-Sicherheit nicht vermitteln. Sie verstehen die "analoge" Denkweise der Anwender nicht, was sich zum Teil in ihren Witzen über die "dümmsten anzunehmenden User" äußert. Die Anwender revanchieren sich, indem sie schadenfroh auf Fehler der CSOs lauern.
Für die Informationssicherheit hat dies Pokoyski zufolge negative Folgen: Während die CSOs dazu neigen, erkannte Risiken durch Verbote oder Dienstsperrungen kategorisch auszuschalten, ohne Nebenwirkungen auf Arbeit und Effizienz der Mitarbeiter und speziell individuelle Bedürfnisse einzukalkulieren, kommen die Anwender gar nicht erst auf die Idee, den Sicherheitsverantwortlichen von Problemen auch nur zu unterrichten. Sicherheitsregeln werden nur unter Zwang befolgt, eine "Sicherheitskultur" entsteht nicht. Dem Faktum, dass in heutigen IT-Umgebungen die Anwender mehr Verantwortung für die Informationssicherheit übernehmen müssen (siehe hierzu das Interview auf Seite 10) und dazu die Anleitung des Sicherheitsverantwortlichen bräuchten, werden die Unternehmen vor diesem Hintergrund nicht gerecht.
Columbo schlägt Fräulein Rottenmeier
Pokoyski stellt fest, dass die von ihm befragten CSOs auf die beschriebene Situation mit drei verschiedenen Verhaltensansätzen und Einstellungen reagieren, die an Persönlichkeitsbilder fiktiver Figuren erinnern: "Fräulein Rottenmeier" aus "Heidi", "Mutter Theresa" und "Inspektor Columbo". Die ersten beiden sind dabei wenig erfolgreich. "Fräulein Rottenmeier" betrachtet sich als zentrale Kontrollinstanz mit dem Motto "Meine Sicherheit ist Gesetz", sieht die Anwender als Störfaktoren in einem potenziell hundertprozentig sicheren System, schränkt deshalb Freiheiten so weit wie möglich ein - und scheitert schließlich am Unwillen, der Gegenwehr und der Distanz der Mitarbeiter. Der "Mutter-Theresa"-Typ dagegen versteht sich als Dienstleister, will unbedingt das Wohlwollen der Mitarbeiter erlangen und drückt deshalb bei einigen Risiken auch gegen eigene Bedenken die Augen zu. Hier lauert die Gefahr unzureichender Sicherheitskonzepte - und der CSO hat es schwer, unangenehme Maßnahmen umzusetzen.
Der erfolgreichste Typ, der "Streetworker" oder "Columbo", versucht, sich in die Position der Mitarbeiter hineinzuversetzen. Er spricht mit ihnen auf ihrer Verständnisebene und in ihrem Arbeitsumfeld und stellt Beziehungen zwischen Sicherheitsbedürfnisse im privaten IT-Umfeld und denen im Unternehmen her. Er geht der Known-Sense-Untersuchung zufolge davon aus, dass jedes Unternehmen eine ganz spezielle Sicherheitsumgebung und Sicherheitskultur braucht, und dass er eine Umgebung ohne Kompromisse und Paradoxien nicht erzwingen kann. Er ist souverän genug, mit Humor zu arbeiten und eigenes Profil zu zeigen, und setzt zur Vermittlung von Security-Wissen auf unkonventionelle Methoden. Pokoysi kann in seiner Umfrage zeigen, dass es nur diesem CSO-Typus mit einiger Wahrscheinlichkeit gelingt, eine Sicherheitskultur mit hinreichenden Verbindlichkeit zu erzeugen und zu erhalten, ohne ständig Zwang ausüben zu müssen.
Aus der Studie ergibt sich vor allem, dass die Auseinandersetzung mit den Anwendern in der IT-Sicherheit den gleichen oder Stellenwert hat wie die Technik. Souveräne Sicherheitsverantwortliche sollten dies als Chance betrachten - ihre Arbeit verlässt damit die Welt der IT-Abteilung und wird sichtbar. Weiterbildung auf diesem Gebiet ist zurzeit vielleicht sinnvoller als immer neue Investitionen in Technik.
Info: Known Sense Tel.: 0221/91277778 Web:
Lesen Sie mehr zum Thema
