"Awareness" auf dem Konradin-IT-Sicherheitskongress
Nur üben macht sicher
"Eine Erhöhung des Sicherheitsniveaus im Unternehmen ist nur bei gleichzeitiger Anhebung des Security-Bewusstseins der Mitarbeiter möglich", betont Thomas Faber, Leiter der nordrhein-westfälischen Landesinitiative Secure-IT.NRW auf dem IT-Security-Kongress von LANline und Computer Zeitung. Das Aufstellen von Sicherheitsregeln (Security-Policies) sei zwar sinnvoll, reiche aber allein nicht aus: "Die Regeln müssen ja auch noch umgesetzt werden", so Faber.
Oft aber hielten sich Mitarbeiter eben nicht an die Regeln – weil sie diese als Behinderung bei der Arbeit auffassen, die Risiken für realititätsfern halten ("Meine Daten sind doch nichts Besonderes") oder weil sie die Verantwortung für Informationssicherheit eben nur bei der IT-Abteilung sehen.
Für Faber kann eine Sensibilisierung daher nur als nachhaltiger Prozess funktionieren: Er rät dazu, eigenverantwortliches Handeln zu unterstützen sowie Mitarbeiter zu fördern und zu belobigen. Faber: "Es gilt den Sicherheitsbegriff positiv zu besetzen statt dem Mitarbeiter zu signalisieren: Du bist das Problem."
Fabers Credo lautet "Motivieren, motivieren, motivieren!" Zudem sollten alle Security-Regeln verständlich formuliert sein und dürften ruhig auch einmal kreativ, lustig und unterhaltsam präsentiert werden. "Wiederholungen", so Faber weiter, "stärken den Lerneffekt. Die Firmen müssen permanent am Ball bleiben." Er ergänzt "Fangen Sie an einfach mit kleinen Schritten an, statt jahrelang auf einem –eventuell nie umgesetzten – Konzept herumzukauen." Eine Awareness-Kampagne müsse nicht unbedingt ein großer Wurf sein, sondern könne skalierbar gestaltet werden – auch von den Kosten her. Die E-Mail etwa sei ein kostengünstiges Medium, um Botschaften zu transportieren.
Awareness-Experte Werner Degenhardt von der LMU München warnt demgegenüber vor überzogenen Erwartungen an konkrete Verhaltensänderungen durch Awareness-Kampagnen. Seine Kritik: Man dürfe sich nicht so sehr am klassischen AIDA-Prinzip des Marketing orientieren. "AIDA" bedeutet: Aufmerksamkeit erregen, Interesse und Desire (Kaufbegehren) wecken und hoffen, das dies schließlich in die Kauf eines Produktes münde (Action). Degenhardt dazu: "Zwischen der bewussten Entscheidung, sich in einer bestimmten Art und Weise verhalten zu wollen, und dem tatsächlichen Verhalten liegen einige Hürden." Dazu gehören Einflussfaktoren wie Zeitstress und damit verbundene, durchaus rationale Prioritäten, die das Ziel "Sicherheit" temporär zweitrangig erscheinen lassen. Eine andere Hürde ist innerer Widerstand, der entsteht, wenn Sicherheitsanforderungen wie Misstrauensbeweise oder Gängelung erscheinen.
Ohnehin sei nur ein sehr geringer Prozentsatz des menschlichen Verhaltens bewusst gesteuert, so Degenhardt weiter. Viele menschliche Handlungen liefen gewissermaßen fest verdrahtet ab und seien daher kaum beeinflussbar.
Degenhardt stellt Fabers "Motivieren, motivieren, motivieren" deshalb ein "Üben, üben, üben" entgegen: Mit echten Sicherheitsproblemen werde ein Mensch im Durchschnitt so selten konfrontiert wie mit einem Feuer in der Wohnung oder im Büro. Degenhardt: "Das richtige Verhalten in solchen Fällen muss man deshalb ernsthaft trainieren – genauso so, wie ein Kind lernen muss, dass die Herdplatte heiß ist und was das bedeutet."
Auf "Awareness" und den "menschlichen Faktor" in der Informationssicherheit gingen auch der Keynote-Sprecher des ersten Tages, Rainer Fahs von der NATO-Agentur NACMA, und Rechtsanwalt Thomas Lapp, Vorstand der Nationalen Initiative für Internet-Sicherheit (NIFIS e.V.) ein. Fahs rief dazu auf, bei der Steigerung der Sicherheitsniveaus in den Organisationen stärker auf echtes Risikomanagement und Wissensmanagement zu setzen und nach Methoden der Erfolgskontrolle zu suchen. Hier stehe ein echter Paradigmenwechsel in der Wahrnehmung der Aufgaben in der Informationssicherheit an. Das Verständnis von Sicherheitsmaßnahmen müsse stärker gefördert werden.
Lapp gab einen Überblick über die rechtlichen Vorschriften, mit denen sich IT-Verantwortliche heute auseinandersetzen müssten. Auch er riet dazu, die Mitarbeiter aktiv in die Umsetzung von Sicherheitskonzepten einzubeziehen: "Wenn Sie sich etwa sorgen machen, wie bei der Archivierung von E-Mails mit privaten Nachrichten umgehen sollen, legen Sie einfach fest, dass jeder zwei Wochen Zeit hat, solche Informationen aus dem Postfach zu entfernen – was dann noch drin liegt, werde rigoros als Geschäftspost betrachtet". Was die Befolgung solcher Regeln beträfe, so Lapp, könne und solle man den eigenen Angestellten dann auch durchaus vertrauen. wj/Armin Barnitzke/LANline/cz
Lesen Sie mehr zum Thema
