Sensibilisierung schützt komplexe IT
"Conzumerization" und "Bring Your Own Device" sind Trends, deren Folgen für die Informationssicherheit ohne Maßnahmen im menschlichen Bereich nicht zu beherrschen sind. Damit dies gelingt, sind fortschrittliche Sensibilisierungskonzepte erforderlich.Im Sicherheits-Management spielen Maßnahmen zur Sensibilisierung und zur positiven Beeinflussung des Anwenderverhaltens eine immer größere Rolle. Dies ist kein Wunder, denn in der Geschichte der IT im Unternehmenseinsatz ist die Verantwortung der Endanwender für die Sicherheit permanent gestiegen. Um zu ermessen, wie stark dieser Trend ist, lohnt sich ein Rückblick in die Computerhistorie. Bei den ersten informationstechnischen Infrastrukturen mit den typischen Mainframe-Rechnern im Zentrum und den klassischen "dummen" Terminals an der Peripherie hatten die Endanwender kaum Gelegenheiten, durch falsche Handhabung der wenigen für sie freigegebenen Programme etwas falsch zu machen oder Sicherheitslücken aufzureißen. Individuelle Konfigurationen oder gar die Installation eigener Software waren unmöglich. Die Daten lagen physisch geschützt auf dem Zentralrechner, das Internet existierte noch nicht - und abgesehen davon besaß kaum einer der Anwender selbst einen Computer. Die Verantwortung der Anwender steigt So kam auch kaum jemand auf die Idee, Erwartungen aus der Privatwelt ins Unternehmen zu tragen. Das einzige, wofür die Computernutzer im Unternehmen verantwortlich waren und wozu man sie bewegen musste, war das zuverlässige Abschalten der Terminals am Abend, um die nächtlichen Sicherheitskopien zu ermöglichen. Mit den PCs und dem Aufkommen des Internet-Zugriffs am Arbeitsplatz änderte sich die Situation fundamental: Die persönlichen Computer konnten eigene Programme ausführen und damit auch solche, die der Administrator nicht freigegeben hatte. Gleichzeitig stieg mit den Web- und E-Mail-Zugängen die Gefahr, ungewollt oder aufgrund von Unvorsichtigkeit fremde Software auf die Arbeitsgeräte zu übertragen. Zudem verbreitete
