Kriterien für Awareness-Dienstleister
Multitalente sind selten
Eigene Abteilungen zur Förderung des Sicherheitsbewusstseins der Mitarbeiter können sich nur wenige Unternehmen leisten. Die übrigen müssen externe Dienstleister beauftragen. Aber wie erkennt man, ob der Anbieter wirklich sein Fach versteht?
"Awareness" wirkt heute fast schon wie ein Hype. Auf Konferenzen, in Fachblättern, in
Podiumsdiskussionen – überall wird über den menschlichen Faktor in der Informationssicherheit mehr
oder minder laut nachgedacht. Zu einem richtigen Hype gehört es aber, dass das Thema irgendwann
einmal wieder abflaut. Dies ist bei der Förderung des Sicherheitsbewusstseins von Mitarbeitern fürs
Erste aber gerade nicht zu erwarten – im Gegenteil: Das Thema wird in Zukunft noch mehr
Aufmerksamkeit erfordern.
"Awareness" ist nicht nur ein Hype
Dafür gibt es mehrere Gründe. Einer liegt darin, dass die wachsende Zahl der Gesetze und
Business-Regeln in Europa eine Systematisierung der Sicherheitskonzepte verlangt, die ein Auslassen
einzelner relevanter Aspekte grundsätzlich verbietet. Da heute niemand mehr den Menschen als
unwichtigen Faktor bezeichnen kann, müssen sich die Organisationen zwangsläufig damit auseinander
setzen. Der zweite Grund ist die Art der Bedrohungen, denen Unternehmen derzeit ausgesetzt sind.
Klassische Hacker und Skript-Kiddies, die es auf unterschiedlichem Niveau direkt auf die IT der
Unternehmen abgesehen hatten, gibt es immer weniger, aber dafür immer mehr Industriespione und
andere Kriminelle mit handfesten wirtschaftlichen Interessen. Dieser Personenkreis nutzt jede sich
bietende Möglichkeit, an vertrauliche Informationen zu gelangen, und kombiniert deshalb ohne Zögern
Hacking-Techniken mit Social Engineering, der Beeinflussung von Menschen. Gegen solche
Manipulationsversuche hilft aber nur das Aufklären und Schulen der Mitarbeiter. Ohne Arbeit am "
menschlichen Faktor" ist eine zeitgemäße Informationssicherheit also gar nicht mehr denkbar.
Die Thematik ist neu
Awareness-Arbeit kostet allerdings viel Geld. Unternehmen mit mehreren Tausenden oder
Zehntausenden von Mitarbeitern leisten sich eigene Spezialisten, die oft einen Ausbildungsgang in
der Psychologie oder im Marketing hinter sich haben. Sie nutzen außerdem einen ganzen Strauß von
Medien, um ihre Ziele zu erreichen – vom internen IP-TV über groß angelegte Events bis hin zu
Plakaten, Mailings und Wettbewerben. All das kann ein kleineres Unternehmen aus eigener Kraft nicht
schaffen. Hier gibt es oft nur einen technischen Allrounder für die Sicherheit, dessen Ausbildung
und Erfahrung zumeist auf rein technische Belange beschränkt ist.
Organisationen dieser Art müssen auf externe Dienstleister zurückgreifen, wenn sie etwas für das
Sicherheitsbewusstsein ihrer Mitarbeiter tun wollen. Das Problem ist nur, dass zur Auswahl der
geeigneten Anbieter die Kriterien fehlen. Die Thematik ist neu, und weder das Management noch die
IT-Abteilung ist im Normalfall dafür gerüstet, psychologisch fundierte Schulungs- oder
Kampagnenkonzepte zu beurteilen. Dabei sollte die Auswahl der Anbieter durchaus sorgfältig
erfolgen, denn im neuen Sektor der Awareness-Arbeit tummeln sich nicht nur perfekte Profis – hier
findet man auch Psychologen, die ein lukratives Betätigungsfeld wittern, aber nicht mit dem nötigen
technischen Hintergrundwissen ausgestattet sind, und technisch orientierte Berater, die über die
Grundlagen der Verhaltensänderung bei Menschen nur unzureichend informiert sind. Erfolgreiche
Wanderer zwischen beiden Welten stellen nach wie vor eine höchst seltene Spezies dar.
Die richtigen Fragen stellen
Wer heute externe Anbieter mit der Durchführung einer Awareness-Kampagne oder vergleichbaren
Maßnahmen betrauen will, muss also zunächst einmal einkalkulieren, dass er mit einer jungen und
experimentellen Branche zusammen-arbeiten wird und nicht mit einer erwachsenen und erfahrenen.
Dennoch – wenn Sie die richtigen Fragen stellen, können Sie durchaus schon mit einiger Sicherheit
die Spreu von Weizen trennen. Awareness-Arbeit nämlich stößt gewöhnlich auf ein paar unvermeidbare
Hindernisse und Grundbedingungen, die ein Anbieter kennen sollte. Kann er dann noch Kenntnisse
nachweisen, die sowohl den Bereich der Technik als auch Marketing und Psychologie berühren, sollten
Sie ihn in die engere Wahl nehmen.
Bietet der Dienstleister eine Kampagne von der Stange oder fragt er nach Ihrer
Unternehmenskultur?
Jedes Unternehmen ist individuell. Man pflegt einen unverwechselbaren Umgangston miteinander,
ist entweder hierarchisch organisiert oder gerade nicht, hat einen bestimmten Professionalitätsgrad
im Umgang mit der IT und beherbergt Querköpfe in mehr oder minder großer Zahl. Ein
Kreativunternehmen kommuniziert intern ganz anders als eines aus dem Bankenwesen, und im
produzierenden Gewerbe herrschen noch einmal ganz andere Gebräuche und Umgangsformen.
Sicherheitsbewusstsein gefragt
Wer immer das Sicherheitsbewusstsein eines mehr oder weniger großen Anteils Ihrer Belegschaft
heben will, muss nach diesen Gegebenheiten fragen und in der Lage sein, seine Bemühungen darauf
einzustellen. Lösungen von der Stange funktionieren nur in eng umrissenen Teilbereichen, etwa in
Form einer kleinen Tippreihe per E-Mail oder anderen medialen Angeboten.
Plant der Dienstleister die Einbeziehung des Top-Managements und der Abteilungsleiter?
Mitarbeiter der meisten Unternehmen orientieren sich auch in Sachen Sicherheit eher an ihren
Vorgesetzten als an der IT-Abteilung und den Administratoren. Das obere Management wiederum muss
tiefer greifende Maßnahmen stützen, die nur hierarchie- und abteilungsübergreifend umgesetzt werden
können. Auch Kollisionen von Kampagnen mit Corporate-Identity-Vorgaben (siehe Kasten) können besser
gemeistert werden, wenn die Chefetage das Vorgehen billigt.
Plant der Dienstleister eine Absprache mit dem Betriebsrat?
Die Verbesserung der "Security Awareness" in einer Organisation kommt, wenn sie über reine
Wissensvermittlung hinausgeht, nicht ohne das Ansprechen und Aufdecken von Schwächen bei den
Mitarbeitern aus. Speziell bei der Messung des Erfolgs einer Kampagne oder wenn im Rahmen der
Maßnahmen ermittelt werden soll, ob Angestellte auf Social-Engineering-Attacken hereinfallen, haben
die Aktionen Züge einer Leistungsmessung und kollidieren mit Aspekten des Mitarbeiterdatenschutzes.
Hier ohne Einwilligung des Betriebsrats zu operieren, kann Maßnahmen jeglicher Art gefährden.
Was kommt nach der Kampagne?
Schlägt der Anbieter eine Kampagne vor, muss er auch ein Modell vorstellen, wie in der Zeit
danach der hoffentlich erzielte Erfolg längerfristig gesichert werden kann. Natürlich flaut die
Aufmerksamkeit der Mitarbeiter irgendwann wieder ab, aber mit gezielten Erinnerungsmaßnahmen lässt
sich der Level für eine Weile halten. Hierzu muss der Dienstleister konkrete Vorschläge machen.
Kampagnen sind teuer
Muss es überhaupt eine Kampagne sein?
Die Kampagnenform ist teuer. Für manches Unternehmen können kontinuierliche Maßnahmen besser
sein. Lassen Sie sich genau erklären, warum sich der Anbieter für die eine oder andere Form
entscheidet.
Ist ausschließlich von Marketing die Rede?
Awareness-Kampagnen werden oft als internes Marketing verstanden, was nicht ganz falsch ist,
weil den Mitarbeitern etwas "verkauft" werden muss und die Mittel dazu tatsächlich Marketing-Züge
tragen. Nur ist es damit nicht getan – eine nachhaltige Verhaltensänderung bewirkt man nicht mit
den gleichen Mitteln, die einen Konsumenten zu einem Produktwechsel verleiten. Hier kommt
Verhaltenspsychologie ins Spiel, und genau dies muss der Anbieter wissen.
Welche flankierenden Maßnahmen fordert der Anbieter ein?
Es gibt Grundbedingungen, ohne die eine sinnvolle Awareness-Arbeit im Unternehmen nicht möglich
ist. So müssen gut verständliche Sicherheitsrichtlinien existieren, die die Mitarbeiter auch
kennen. Außerdem sollte eine Vertrauensstelle geschaffen werden, bei der sich Mitarbeiter im
Zweifel über Sicherheitsbelange Rat holen können, ohne gleich Sanktionen befürchten zu müssen. Wo
vertrauliche Dokumente von besonderer Bedeutung sind, sollte außerdem ein technisches
Klassifizierungssystem eingeführt werden.
Gibt es Ansätze zur Messung des Erfolgs?
Hier sollten Sie nicht zu streng sein, denn für dieses Problem gibt es bisher kaum Lösungen –
selbst große Unternehmen verlassen sich bei der Einschätzung des Ergebnisses von
Awareness-Maßnahmen oft auf Gefühl und Indizien. Kann Ihr Gegenüber Messmethoden anbieten, die
plausibel wirken, gebührt ihm ein Pluspunkt mehr.
LANline sammelt Beiträge zum Security-Awareness-Bereich in einer eigenen Microsite im Internet. Sie finden das Portal auf www.lanline.de unter "Zones". Unter den Texten dort sind unter anderem ein Artikel des Awareness-Spezialisten Michael Helisch, der sich mit dem im Text angesprochenen Problem möglicher Kollisionen von Awareness-Kampagnen mit Corporate-Identity-Vorgaben befasst, und ein Beitrag von Isabella Santa, Awareness-Spezialistin bei der europäischen Agentur für Informations- und Netzwerksicherheit ENISA, über die Einbeziehung des Top-Managements.
In der Forschungsgemeinschaft EICAR arbeitet eine eigene Arbeitsgruppe daran, Unternehmen den Einstieg in Awareness-Maßnahmen mit Tipps, Informationen und der Entwicklung von Qualitätskriterien für Kampagnen zu erleichtern. Gehen Sie auf www.eicar.org, wählen Sie die "Task Forces" und schauen Sie dort nach "Awareness".
Die ENISA selbst bietet eine wachsende Zahl von Informationen unter www.enisa.europa.eu/pages/05_01.htm und www.enisa.europa.eu/pages/ENISA_Working_Group_on _Awareness_Raising.htm.
Lesen Sie mehr zum Thema
