Awareness 2012 -Teil 1
Sensibilisierung schützt komplexe IT
"Conzumerization" und "Bring Your Own Device" sind Trends, deren Folgen für die Informationssicherheit ohne Maßnahmen im menschlichen Bereich nicht zu beherrschen sind. Damit dies gelingt, sind fortschrittliche Sensibilisierungskonzepte erforderlich.Im Sicherheits-Management spielen Maßnahmen zur Sensibilisierung und zur positiven Beeinflussung des Anwenderverhaltens eine immer größere Rolle. Dies ist kein Wunder, denn in der Geschichte der IT im Unternehmenseinsatz ist die Verantwortung der Endanwender für die Sicherheit permanent gestiegen. Um zu ermessen, wie stark dieser Trend ist, lohnt sich ein Rückblick in die Computerhistorie. Bei den ersten informationstechnischen Infrastrukturen mit den typischen Mainframe-Rechnern im Zentrum und den klassischen "dummen" Terminals an der Peripherie hatten die Endanwender kaum Gelegenheiten, durch falsche Handhabung der wenigen für sie freigegebenen Programme etwas falsch zu machen oder Sicherheitslücken aufzureißen. Individuelle Konfigurationen oder gar die Installation eigener Software waren unmöglich. Die Daten lagen physisch geschützt auf dem Zentralrechner, das Internet existierte noch nicht - und abgesehen davon besaß kaum einer der Anwender selbst einen Computer. Die Verantwortung der Anwender steigt So kam auch kaum jemand auf die Idee, Erwartungen aus der Privatwelt ins Unternehmen zu tragen. Das einzige, wofür die Computernutzer im Unternehmen verantwortlich waren und wozu man sie bewegen musste, war das zuverlässige Abschalten der Terminals am Abend, um die nächtlichen Sicherheitskopien zu ermöglichen. Mit den PCs und dem Aufkommen des Internet-Zugriffs am Arbeitsplatz änderte sich die Situation fundamental: Die persönlichen Computer konnten eigene Programme ausführen und damit auch solche, die der Administrator nicht freigegeben hatte. Gleichzeitig stieg mit den Web- und E-Mail-Zugängen die Gefahr, ungewollt oder aufgrund von Unvorsichtigkeit fremde Software auf die Arbeitsgeräte zu übertragen. Zudem verbreiteten sich die PCs in den Haushalten und erreichten die Arbeitsplätze der Kreativen, was die Erwartungshaltung an die IT änderte: Die Anwender wollten die Systeme individuell nutzen, und die Arbeitgeber begannen, genau dies auch von ihnen zu verlangen. Dies verursachte den ersten Verantwortungsschub für die Endanwender, denn ihr Verhalten entschied nun mit über die Sicherheit der Unternehmenssysteme. Die neue Situation reduzierte zugleich den Einfluss der Administratoren erheblich, allen komplexen Management- und Filterlösungen zum Trotz. Zu dieser Zeit gab es die ersten Awareness-Kampagnen. In den meisten Unternehmen rang man sich allerdings noch nicht dazu durch, die Anwender für die neue Situation zu schulen und in die Pflicht zu nehmen. Weiterhin auf rein technische Maßnahmen zu setzen, schien einfacher. Eine der wichtigsten Awareness-Maßnahmen heutiger Zeit betrifft vor diesem Hintergrund wohl die IT-Abteilungen selbst: Sie müssen sich endgültig vom Idealbild der Terminalzeit mit einer technisch zentralgesteuerten Sicherheit verabschieden und den Faktor der immer selbstständigeren Nutzung von Informationstechnik durch die Anwender in ihre Sicherheits- und Datenschutzkonzepte integrieren. Kooperative Awareness-Maßnahmen sind keine Add-ons mehr, die lediglich Schwächen der technischen Sicherheit ausbügeln, sondern integrale Bestandteile einer ganzheitlichen Informations- und Unternehmenssicherheit. Welche Aspekte dabei zu berücksichtigen sind, zeigt die folgende Aufstellung: Fast jeder Anwender bringt PC-Erfahrungen aus dem Privatleben mit und erwartet, die IT-Umgebung im Betrieb ebenfalls seinen Bedürfnissen anpassen zu können, im Extremfall wollen oder sollen Anwender ihre persönlichen Geräte mit ins Unternehmen bringen, die dann nur zum Teil dem Einfluss der IT-Abteilungen unterliegen (Bring Your Own Device, kurz: BYOD), die Gerätevielfalt in den Netzen ist gewachsen und umfasst viele Systeme, die für den Privatbereich entwickelt wurden und entsprechend schlecht zentral verwaltet werden können (Consumerization), soziale Netzwerke und mobiler Computereinsatz schaffen neue Schnittstellen, über die Unternehmensinformationen in die Außenwelt gelangen können, und die komplexere Arbeitswelt bringt eine stärkere Vermischung von Arbeits- und Privatleben mit sich. Jeder dieser Punkte reduziert die Chancen, Informationssicherheit im Sinne eines Unternehmens allein auf technischen Wegen herzustellen, und erhöht zugleich prinzipiell die Verantwortung der Anwender, weil die Sicherheit der Informationen in viel stärkerem Maße als je zuvor von ihrem Verhalten abhängt. Dieser neuen Verantwortung gerecht werden kann aber kaum jemand im vollen Maße. Der erste Grund dafür ist, dass die "richtigen" Verhaltensweisen im normalen Bildungs- und Ausbildungsweg bisher kaum thematisiert werden. Der zweite liegt darin, dass jeder Mitarbeiter die Sicherheitsansprüche an einem neuen Arbeitsplatz erst einmal kennenlernen muss. Sie zu vermitteln, bleibt die Pflicht des Unternehmens, das ihn einstellt. Neue Inhalte für Awareness-Maßnahmen Damit verlangen moderne Awareness-Maßnahmen nach ganz anderen Inhalten als frühere. Im Mittelpunkt sollten speziell bei jüngeren Zielgruppen [1] nicht mehr die klassischen Warnungen vor Malware und Internet-Gefahren stehen, sondern die Information über die Sicherheitserwartungen des Unternehmens und Hilfen, diesen Erwartungen gerecht zu werden - am Arbeitsplatz-PC, bei der mobilen Computernutzung, bei der netzgestützten und mündlichen Kommunikation, und während der Aufenthalte in sozialen Netzwerken. Neu ist, dass Teilbereiche dabei nicht einfach per Erlass, Vertrag oder Betriebsvereinbarung zu regeln sind. In Sektoren, in denen sich privates und geschäftliches Leben vermengen, muss ein Unternehmen um das Verständnis seiner Mitarbeiter werben - so bei der Nutzung sozialer Medien. Neu ist auch, dass die Unternehmen ihren Anwendern oft weit entgegenkommen müssen, was die Freiheiten der Internet- und Gerätenutzung betrifft. Zu Zeiten des Fachkräftemangels bleiben gerade die besten potenziellen Mitarbeiter fern, wenn sie sich in der Anwendung moderner Kommunikationsmittel eingeschränkt fühlen. Als besonders erfolgreich erweisen sich Awareness-Konzepte, bei denen ein Unternehmen die Weiterbildung seiner Mitarbeiter für Informationssicherheit und Datenschutz als "Service" für die Angestellten betrachtet. Die Maßnahmen sollten so gestaltet werden, dass die Lehrinhalte karrierewirksam sind und den Zielgruppen auch im privaten Umgang mit Informationen nutzen. Karrierebegleitende Maßnahmen Eine Frage, die immer mehr Unternehmen beschäftigt, ist diejenige nach der Wirksamkeit medialer Kampagnenelemente angesichts allseitiger medialer und informationeller Überflutung der Anwender. Inhalte zu Informationssicherheit und Datenschutz sollten heute nicht mehr nur über Medien gestreut werden, die von den Zielgruppen ohnehin eine ständige Filterung nach wenigem Wichtigen unter vielem Unwichtigen verlangt. Hinweise in E-Mails etwa gehen unter, wenn der Absender nicht gleichzeitig durch flankierende Maßnahmen dafür sorgt, dass die Nachrichten beachtet werden. Eine Chance, die Aufmerksamkeit zu erhöhen, ist die Integration von Awareness-Maßnahmen in karrierebegleitende Situationen wie etwa die Einstellung, Jahresgespräche, Versetzungen und Beförderungen. Bei entsprechenden Gelegenheiten kann man damit rechnen, dass Mitarbeiter aufmerksam und bereit sind, neue Verantwortung zu übernehmen und neue Verhaltensweisen zu adaptieren. Dies zu nutzen setzt voraus, die Führungskräfte und Mitarbeiter der Personalabteilungen stark in die Sensibilisierungsmaßnahmen einzubinden. Um dies zu erreichen, müssen die entsprechenden Personen allerdings erst selbst geschult oder durch Coaching unterstützt werden. Sinnvollerweise stattet man sie auch mit Informationspaketen ("Toolkits") aus, die ihnen die entsprechende Terminologie und die Gesprächstaktiken vermitteln. Mobilgeräte haben sich aus Anwendersicht zum Zentrum der modernen Nutzung von Informationstechnik entwickelt [2]. Sie genießen bei den Anwendern hohe Aufmerksamkeit und können noch immer die Stellung eines Statussymbols einnehmen. Aus diesen Gründen sollte man jede Chance wahrnehmen, den Umgang der Mitarbeiter mit den Smartphones oder Tablet-PCs für Awareness-Maßnahmen zu nutzen. Am besten beginnt dies bereits dann, wenn Geräte ausgegeben oder wenn Geräte der Mitarbeiter neu in die Firmeninfrastruktur aufgenommen werden. Manche Management-Lösungen, die dazu zum Einsatz kommen, erlauben die Verbreitung von Push-Nachrichten, die von den Mitarbeitern zumindest zu quittieren sind - eine Gelegenheit, auf Regeln und Richtlinien hinzuweisen oder Tipps zu geben. Je nach Ausrüstung sind die Endgeräte heute durchaus in der Lage, Videos abzuspielen oder Web-Seiten mit multimedial aufbereiteten Inhalten aufzurufen. Eine Push-Nachricht nach dem Muster einer Spiegel-Eilmeldung dürfte dabei sicherlich immer noch mehr Aufmerksamkeit auf sich ziehen als eine E-Mail, die eben "auch" auf dem Mobiltelefon eintrifft.
Lesen Sie mehr zum Thema
