Security-Awareness-Dienstleistungen
Motivation as a Service
Unter IT-Sicherheitsexperten hat es sich allmählich herumgesprochen, dass IT-Security nicht ausschließlich mit technischen Mitteln zu erreichen ist. Vielmehr setzt sich die Erkenntnis durch, dass ein Unternehmen seine Mitarbeiter über Sicherheitsaspekte nicht nur aufklären, sondern sie auch zu sicherheitsbewusstem Umgang mit IT-Equipment motivieren muss. Die Herausforderung liegt darin, dieses Verhalten möglichst durchgängig und vor allem nachhaltig zu gestalten.
Bislang war der Markt für Security-Awareness-Dienstleistungen eine Nische, in der hoch spezialisierte Dienstleister um Projekte vor allem von Großunternehmen und dem gehobenen Mittelstand konkurrierten. Die Spezialisten berichten jedoch - Krise hin oder her - einhellig von anhaltend großem Interesse an Kampagnen, Schulungen und Workshops rund um die Informationssicherheit. "Die Tendenz geht in Richtung eines ganzheitlichen Verständnisses des Begriffs Informationsschutz, der neben der Technik auch Prozesse und den Faktor Mensch umfasst", so Michael Helisch, Inhaber von Hecom Security Awareness Consulting. "Problematisch ist, dass Security zumeist nicht in der Unternehmenskultur verankert ist."
"In jedem Security-Governance-Projekt ist heute ein Teilprojekt zur Security Awareness enthalten", so Peter Maucher, leitender Berater bei HP. Dr. Werner Degenhardt, der an der Ludwig-Maximilians-Universität (LMU) München zur Psychologie der IT-Security forscht, ergänzt: "Die flächendeckende Wahrnehmung des Themas ist da, es besteht nur oft Hilflosigkeit bei der Umsetzung."
Gefahr durch Industriespionage
Die Zeiten, in denen Hacker nur ausprobieren wollten, wieviel Schaden sie anrichten können, sind vorbei. Während Unternehmen früher "Teenager mit ulkigen Haarschnitten" als Gegner gehabt hätten, habe man es heute mit organisiertem Verbrechen zu tun, da Datendiebstahl inzwischen ein lukrativer Markt sei, erklärte zum Beispiel jüngst PGP-Gründer Phil Zimmermann auf der Integralis Security World in Stuttgart. Industriespione bedienen sich technischer Hilfsmittel, um die Security-Infrastruktur des Zielunternehmens zu unterminieren, verschaffen sich aber häufig via Social Engineering kritische Informationen über Server, Applikationen, Mitarbeiter sowie Passwörter und Login-Daten. "Social Engineering" nennt Wikipedia "zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen."
IT-Security mittels Hardware und Software stößt an ihre Grenzen, wenn Angreifer gezielt menschliche Verhaltensmuster ausnutzen. Deshalb haben es sich manche Dienstleister zum Ziel gesetzt, die Verhaltensmuster so umzuformen, dass sie das notwendige Level von IT-Sicherheit umfassen - und möglichst in Stresssituationen automatisch zum Einsatz kommen.
Das noch junge Marktsegment befindet sich damit genau auf der Grenze zwischen Informationstechnik und Psychologie. "Es gibt Nischeneinsteiger sowohl aus dem Bereich Psychologie als auch aus der Sicherheitstechnik, und es gibt etablierte Sicherheitsdienstleister, die ihr Portfolio um den neuen Bereich erweitern", erklärt Dr. Johannes Wiele, ehemaliger LANline-Redakteur und heute Senior Executive Consultant bei der Defense AG in Ismaning.
Der Security-Spezialist spricht heute lieber von "Empowerment" (Vermittlung einer Befähigung) als von "Awareness" (Wahrnehmung, Sensibilisierung). Denn es gehe darum, Anwendern "die nötigen Kenntnisse und Fähigkeiten zu vermitteln, um mit den Risiken der IT-gestützten Kommunikation souverän umzugehen." Im Mittelpunkt stehe die Förderung des souveränen Umgangs von Managern mit dem Thema IT-Security, wie dies zum Beispiel auch HP praktiziert: "Es ist ein zentraler Erfolgsfaktor, zunächst die Unternehmensleitung zu adressieren und für die Ziele des Projekts zu gewinnen", so HP-Mann Maucher.
"Bisherige Awareness-Programme vernachlässigen oft entscheidende Hierarchiestufen innerhalb der Unternehmen, nämlich die der Top-Manager und die der nicht-technischen Fachführungskräfte", mahnt Wiele jedoch. "Diese Personen befinden sich in einer Schlüsselposition: An ihnen - und nicht an den IT-Kräften - orientieren sich die Mitarbeiter in Sicherheitsdingen, und die Abteilungsleiter und Manager haben in ihrem jeweiligen Sektor meist die besten Voraussetzungen, Risiken und Sicherheitslücken zu erkennen." Mit Blick auf kleinere Unternehen merkt Dieter Steiner, Geschäftsführer von SSP Europe, dazu an: "Ein Problem besonders im KMU-Umfeld ist, dass die Geschäftsleitung oft glaubt, die Verantwortung für die Informationssicherheit an die IT delegieren zu können."
Wissen vermitteln und motivieren
Zusätzlich zum "Excecutive Empowerment" gilt es, da ist sich die Branche einig, auch die übrigen Mitarbeiter mit ins Boot zu holen. Die "Übersetzungsanforderungen" zwischen technischen und nicht-technischen Ansprechpartnern lassen sich laut Wiele "am leichtesten durch Bildung entsprechender Teams bewältigen". Dietmar Pokoyski, Geschäftsführer von Known Sense, bemängelt dabei ein häufig viel zu mechanistisches Verständnis der Anforderungen: "Die oft diffuse Wahrnehmung von Security Awareness wird gerade auch in den Darstellungen der an reiner Lerntheorie ausgerichteten ,Old-School‘-Kampagnen deutlich." Hier sei die Rede von Sensibilisierungsprogrammen und -trainings, "als könne man den Menschen Awareness wie eine Mütze oder einen Kopfhörer über das Haupt stülpen", so Pokoyski.
Insbesondere bei kleineren Unternehmen und im Mittelstand sei das Thema leider noch ein "schwarzes Loch". Pokoyski setzt deshalb auf einen tiefenpsychologischen Ansatz: "Der Unternehmensmitarbeiter muss die Botschaft als Mehrwert für sich verstehen. Dies erfordert eine Identifikation mit der Botschaft." Nur so sei es dem Security-Awareness-Dienstleister möglich, "sozusagen als ,Kommunikationsbeschleuniger‘ der CISOs" zu wirken. Diese wiederum "kümmern sich oft zu wenig um das ,Branding‘ der IT-Security", so Marcus Beyer, Awareness-Spezialist beim Schweizer Security-Anbieter Ispin.
Die Wurzel mangelnder Informationssicherheit ist laut Beyer meist eklatante Unwissenheit: "Als große Hürde erweist sich häufig, dass die Mitarbeiter die geltenden Regeln des Unternehmens nicht kennen, zum Beispiel Vorgaben zum Umgang mit Dokumenten oder mobilen Endgeräten." LMU-Forscher Degenhardt ergänzt: "Oft fehlt es an der Vermittlung anwendbaren Wissens. Mitarbeiter müssen zum Beispiel lernen, ,Nein!‘ zu sagen, ohne befürchten zu müssen, ihr Gegenüber zu verletzen."
Während Degenhardt den Transfer praxisgerechten, anwendbaren Wissens in den Vordergrund rückt, betonen andere Experten emotionale Aspekte: "Die Wissensvermittlung ist - nicht nur im Rahmen von Security-Awareness-Projekten - emotional gebunden. Das Fördern der Motivation ist deshalb bedeutsam als begleitende Maßnahme zur Wissensvermittlung", so Dr. Thomas Schlienger, Geschäftsführer von Treesolution. Dazu gelte es zunächst, Aufmerksamkeit für das Thema zu erregen. Er warnt: "Es ist für CISOs unabdingbar, hier nicht ,mit dem erhobenen Zeigefinger‘ zu argumentieren."
"Wichtig ist, dass das gewählte Vorgehen zur Unternehmenskultur passt", erläutert Ispin-Experte Beyer. "Man muss sich von der Informationsflut abheben, die einen Mitarbeiter im Alltag umgibt." Um Aufmerksamkeit zu erregen, setzen die Fachleute auf Workshops und allerlei häufig witziges Material wie Poster, Videos, Spiele und Gadgets wie im Security-Awareness-Koffer von Known Sense: Dieser enthält unter anderem ein Awareness-Quiz und den "Passworthalter", der auf die Unsitte per Post-it angebrachter Passwörter aufmerksam macht. Solche Materialien sind in aller Regel individuell auf das Projekt zugeschnitten. "Kein mir bekanntes generisches Security-Awareness-Material ist wirklich gut", moniert Beyer von Ispin. "Ein KMU sollte lieber an der Unternehmenskultur arbeiten als generische Poster aufhängen." Hier sei es "manchmal nützlicher, dem örtlichen Fußballverein 5.000 Euro zu spenden."
Auch Degenhardt von der LMU fordert Edutainment (unterhaltsame Wissensvermittlung). Ein gelungenes Beispiel dafür liefert der österreichische Startup E-Sec mit der "Virtual Training Company": Diese Virtual-Reality-Umgebung leitet den Anwender durch ein fiktives Unternehmen, weist ihn auf Gefahrenquellen hin und trainiert ihn spielerisch. Das virtuelle Unternehmen ist modular aufgebaut und somit laut E-Sec-Geschäftsführerin Kathrin Prantner individuell anpassbar. Beim Klick auf eine Gefahrenquelle macht die Lösung den Anwender interaktiv mit den Richtlinien des Unternehmens vertraut. So muss er zum Beispiel bei einem Quiz Dokumente per Drag and Drop den Geheimhaltungsstufen seines Unternehmens zuordnen.
Dem Edutainment ähnlich, aber in der Zielsetzung weiterreichend ist der
Communitainment-Ansatz. Auch hier geht es um die unterhaltsame Vermittlung teils komplexer technischer Sachverhalte. Der
Hintergedanke ist es jedoch, Unternehmensmitarbeiter als eine Community zu begreifen, anzusprechen und zu fördern, um die von Web-2.0-Communities bekannte Kooperationsbereitschaft zu erschließen und das eigene Unternehmen als respektierten Teil der Community zu etablieren. Damit überträgt dieser Ansatz die Mechanismen des Social Marketings auf andere Bereiche wie die kommunikative Begleitung von IT-Projekten oder eben die Schaffung einer Unternehmenskultur der Informationssicherheit. "Communitainment", kommentiert Wiele von Defense, "könnte ein Stichwort sein, auf das man Acht geben muss."
Wertewandel statt Marketing
Solche Ansätze zielen letztlich auf einen Wertewandel: "Security Awareness ist eben nicht nur eine unternehmensinterne Vermarktungsaufgabe", so Hecom-Chef Helisch. "Sicherheit ist ein Unternehmenswert. Wie geht das Unternehmen mit den eigenen Werten um, was tut es, damit sie gelebt werden?" LMU-Fachmann Degenhardt stimmt zu und folgert: "Man sollte das Thema Security Awareness aus den Marketing-Abteilungen der Unternehmen herausheben. Denn es geht hier um Wissensvermittlung, um Fortbildung - das ist eine HR-Aufgabe." (Human Ressources)
Ein solcher Einstellungswandel erfordere intensive Einübung, bei der ein Unternehmensmitarbeiter selbst Mühe auf den Wandel verwenden müsse, so Dr. Degenhardt weiter. "Ein informiertes Verhalten von IT-Benutzern lässt sich nur durch mindestens ein Jahr Schulung bewirken." HP plant sogar in noch größeren Zeiträumen: "Um nachhaltigen Erfolg sicherzustellen, planen wir die Roadmaps von Security-Awareness-Kampagnen über drei Jahre", so HP-Mann Maucher. "In diesem Zeitfenster führen wir dann immer wieder wechselnde Aktionen durch. Einmalaktionen sind zum Fenster hinausgeworfenes Geld." Eine erfolgreich eingeführte Security-Kultur hingegen kann laut Ispin-Fachmann Beyer "auch als Wegbereiter für eine Unternehmenskultur fungieren."
Erfolgsmessung
"In der Wissenschaft gibt es eine große Diskussion um die Messbarkeit von Security Awareness", so Treesolution-Chef Schlienger. Aus pragmatischer Perspektive seien aber durchaus Messpunkte definierbar: der Wissensstand zu IT-Sicherheit, die Einstellung und Motivation, die Wahrnehmung, die Zufriedenheit mit den verfügbaren Tools etc. "Wir haben ein Verfahren entwickelt, das durch die Ermittlung qualitativer und quantitativer Angaben ein Benchmarking sowohl über die Zeit als auch für den Vergleich von Unternehmen ermöglicht", betont Schlienger.
"Wir wurden bei noch keiner Kampagne aufgefordert, den Erfolg mit harten Zahlen zu belegen", gibt Beyer zu bedenken. Doch auch er betont, es gebe durchaus "Indikatoren für den Erfolg einer Kampagne, zum Beispiel die Zahl von Bestellungen einer Security-CD oder Ähnliches." Zudem führt Ispin wie branchenüblich Interviews zur Wirkungsanalyse durch. Bei erfolgreicher Absolvierung von E-Secs Virtual-Office-Abläufen erhält der Anwender sogar in Zertifikat, das seiner Personalakte beigefügt wird.
Lesen Sie mehr zum Thema
