"Human Factor Risk Assessment" in der Praxis
Menschliche Risiken menschlich erfassen
Effektive Awareness-Maßnahmen verlangen nach einem vorgeschalteten Risiko-Assessment im Bereich "Mensch". Wer allerdings herausfinden will, wie es in seiner Organisation um das Sicherheitsbewusstsein der Belegschaft und um menschliche Risikofaktoren steht, muss behutsam vorgehen - sonst richtet er mehr Schaden an, als die Sicherheit Nutzen bringt.
Wer Paradoxes liebt, fühlt sich in der IT-Sicherheit wohl – schon allein deshalb, weil er ja
ständig einen Status zu verbessern behauptet, der mangels realer Vorfälle in vielen Organisationen
gar nicht exakt zu bestimmen ist [1]. Kommt der menschliche Faktor hinzu, wird es noch spannender,
denn die wichtigste These zu einem Risiko-Assessment in diesem Bereich lautet: Wage Dich nur an
diese Aufgabe heran, wenn Du den Menschen an sich nicht als Risiko, sondern als Chance für mehr
Sicherheit betrachtest!
Metier für Menschenfreunde
Techniker und Misanthropen mögen über diese Forderung den Kopf schütteln, für Psychologen
aber stecken hinter dieser Aussage schlicht eine Referenz auf die "Bedienungsanleitung Mensch" und
ein paar statistische Daten. So gilt es zuerst zu verinnerlichen, dass Awareness-Maßnahmen und
damit auch das zugehörige Risk Assessment primär gegen menschliche Fehler auszurichten sind und
nicht gegen böswillige Aktionen. Fehler nämlich – etwa der Verlust von mobilen Geräten oder
Datenträgern oder unbedachtes Öffnen von Web- und EMail-Inhalten – kommen unendlich viel häufiger
vor als absichtlicher Betrug oder gar Kriminalität. Allein aus Kosten-Nutzen-Erwägungen heraus sind
sie damit das wichtigere Ziel.
Außerdem vertragen sich Schritte gegen die wenigen echten "Bösen" nur schlecht mit
Awareness-Maßnahmen für die vielen "Guten", weil Vorgehen gegen Betrugsverdacht gewöhnlich
Misstrauen spürbar macht. Dies vergrault loyale Mitarbeiter für das Thema Sicherheit, was wiederum
den "Return on Security Investment" (RoSI) empfindlich drückt. Hinzu kommt, dass sich selbst
Wirtschaftskriminalität im Unternehmen nachweislich senken lässt, wenn sich ein Unternehmen eine
akzeptable Firmenethik leistet und auch einhält. Diese muss zwangsläufig auf Vertrauen setzen [2].
Noch ein Paradoxon also: Im Lebensumfeld "Unternehmen" wirkt gegen "Böses" das "Gute" am
besten. Strafandrohungen oder der erhobene Zeigefinger haben zu viele Nebenwirkungen. Das "sanfte
Positive" steht somit nicht für einen "Kuschelkurs", sondern für psychologischen Pragmatismus.
Wider das allzu Menschliche
Ein "Human Factor Risk Assessment" (HFRA) richtet sich demnach nicht gegen das "Risiko Mensch"
. Es richtet sich gegen Risikofaktoren des menschlichen Verhaltens, die nicht nach "böse" oder "
gut" einzuteilen sind, sondern danach, ob sie dem Umgang mit Informationen und IT-gestützter
Information angemessen sind. Gesucht wird konkret nach mangelndem Wissen, mangelndem Können,
unangemessenen Einstellungen, nach im IT-Umfeld gefährlichen Auswirkungen fest verdrahteter
menschlicher Eigenschaften und nach kulturellen Faktoren. Deren Bandbreite reicht von der
Unternehmens, Fachbereichs- und Abteilungskultur bis hin zu regionalen und nationalen
Besonderheiten sowie der generationsbedingten Lebenserfahrung mit den "digitalen Welten" [3].
Hinter dem Assessment sollte erstens die Annahme stehen, dass jeder einzelne Mitarbeiter die
Situation durch Lernen, Üben, Einsicht und Verhaltensänderungen positiv beeinflussen kann, und
zweitens das Ziel, die Belegschaft gegebenenfalls zur Verbesserung der Situation zu befähigen.
Bestehen diese Annahme und dieses Ziel nicht, ist es unsinnig, die Analyse überhaupt in Angriff
nehmen. Dann nämlich würde man sie nur als Misstrauensbeweis kommunizieren können. Dies würde
Effizienz und vertrauensvolle Zusammenarbeit im betroffenen Unternehmen so gründlich zerstören,
dass dessen Sicherheit bestimmt nicht mehr das drängendste Problem des Managements wäre.
In der Praxis muss HFRA eng mit Assessment-Ansätzen aus Technik und Sicherheits-Management
verzahnt werden, da es Mensch-Maschine-Interaktionen in einem jeweils individuellen Business-Umfeld
zum Gegenstand hat. Pflicht ist, zunächst zu ermitteln, wer im Unternehmen mit welchen Daten umgeht
und wie er sie im normalen Arbeitsalltag exponiert – zum Beispiel, weil er als Außendienstler auch
an Flughäfen, im Zug oder in Internet-Cafés arbeiten muss.
Eine forensische Analyse kann danach zutage fördern, wie die Informationsflüsse und
Datenverbindungen im Unternehmen tatsächlich genutzt werden, um ein erstes, streng zu
anonymisierendes Bild der Praxis zu erhalten. Auch die Benutzerschnittstellen der Anwendungen
gehören zum technischen Analysebereich. Besteht etwa der Verdacht, dass Mitarbeiter vertrauliche
Daten zu freigebig weiterleiten, könnte dies einfach daran liegen, dass die benutzte Software schon
in der Datenpräsentation keinen Unterschied zwischen mehr oder weniger vertraulichen Informationen
macht oder die gezielte Selektion unnötig erschwert. Unterstützen schon die Tools kein sicherheits-
oder datenschutzgerechtes Verhalten, macht eine eventuell notwendige Verhaltensänderung einfach zu
viel Mühe. Einer ähnlichen Prüfung müssen die Arbeits- und Sicherheitsrichtlinien unterzogen
werden. Wo eine sorgfältige Selektion kritischer Daten aus Sicherheitsgründen notwendig ist, muss
dies nicht nur vorgeschrieben werden: Auch die dafür erforderliche Zeit ist in die Arbeitsabläufe
einzuplanen – selbst für den Fall, dass es einmal eng wird und der Chef ein paar Minuten länger auf
Daten warten muss als ohne Sicherheitsprüfung.
Lässt sich ein menschliches Risiko einfach durch technische oder organisatorische Maßnahmen
verringern, sollte das Assessment dies zeigen können. Hier sind Dienstleister oder interne
Abteilungen im Vorteil, die sowohl über sicherheitstechnisches wie auch psychologisches Know-how
verfügen und beides miteinander verknüpfen können.
Das für die meisten Unternehmen schwierigste Terrain dürfte jener HFRA-Part sein, der die
Einstellungen, Kenntnisse und Fähigkeiten der Mitarbeiter ermittelt. Hier sind je nach Organisation
umfassende oder stichpunktartige Befragungen notwendig, um die verschiedenen Aufgaben und Jobs im
Unternehmen abdecken. Wichtig ist, dass die Befragungen in vertrauensvoller Form stattfinden.
Abteilungen von Unternehmen oder Personen, die die Leistung von Mitarbeitern messen oder Sanktionen
vornehmen, dürfen hier in keiner Weise involviert sein.
Vorteilhaft ist es, wenn das Unternehmen von vornherein plant und kommuniziert, die
Mitarbeiter auf Basis des Risk Assessments für sicheres Verhalten sowohl am Arbeitsplatz wie auch
zu Hause zu befähigen. Dies erhöht die Akzeptanz enorm. Die Dienstleister, die die Befragung
vornehmen, sollten in sozialpsychologischen Interviewverfahren geschult sein und auch aus
Arbeitnehmersicht eine gute Reputation genießen, um ihre Unabhängigkeit glaubhaft versichern zu
können.
Referenzen
[1] Stefan Mutschler: "Eigentlich sind wir ja Philosophen? Im Interview: Axel Mario Tietz,
Vorstand Defense AG". IT Sicherheit 5/2009, S.16–19.
[2] Pricewaterhouse Coopers, Studie "Wirtschaftskriminalität 2007, Sicherheitslage der
deutschen Wirtschaft", S.46,
www.pwc.de/fileserver/RepositoryItem/studie_wikri_2007.pdf?itemId=3169192
[3] Bettina Weßelmann und Johannes Wiele: "Digital Natives und Informationssicherheit. Mit
der Internet-Generation steigt die Bedeutung des ,Faktors Mensch?". KES 5/2009, S.6–12.
Axel Mario Tietz ist Vorstand, Dr. Johannes Wiele Director Business Consulting bei der Defense
AG.
Lesen Sie mehr zum Thema
