Trends bei Awareness-Maßnahmen
Vom Sägezahn zum Dauerbrenner
Über die Bedeutung des Anwenders für die Informationssicherheit und Awareness-Maßnahmen berichtet LANline seit mehr als fünf Jahren. Wissen und Praxis haben sich in diesem Zeitraum erheblich weiterentwickelt. Dieser Beitrag gibt einen Überblick über den aktuellen Kenntnisstand.
Vorbei sind die Zeiten, als IT-Sicherheit noch als rein technisch zu bewältigendes Problem
diskutiert wurde. Experten der Branche stimmen heute längst darin überein, dass sich ohne bewusste
und aktive Mitarbeit der Anwender Informationen nicht ausreichend schützen lassen. Selbst der
Begriff IT-Sicherheit hat aus diesem Grund an Bedeutung verloren. Die Fachwelt spricht lieber von
Informationssicherheit, denn Informationen existieren und fluktuieren auch jenseits IT-gestützter
Speicher- und Kommunikationssysteme und geraten durch menschliches Verhalten in Gefahr, und zwar
vor allem durch Unachtsamkeit.
Mit der Zunahme gezielter Industriespionage in den vergangenen Jahren kommt eine weitere Gefahr
hinzu: Die gefürchteten Blended Threats, bei denen Datendiebe technische Angriffe mit Social
Engineering kombinieren, also mit der direkten Manipulation von Menschen. Auch dieses Risiko ist
ohne Mithilfe der potenziellen Opfer und somit ohne fachgerechte Unterstützung des entsprechenden
Personenkreises nicht einzudämmen.
Um 2005 hatte das Thema des "menschlichen Faktors der Informationssicherheit" so viel Bedeutung
erlangt, dass vor allem große Unternehmen mit ihren Maßnahmen an die Öffentlichkeit gingen [1].
Außerdem begannen die Veranstalter von IT-Konferenzen, Awareness-Tracks in ihre Programme
aufzunehmen. Die Praxis der Organisationen war zu dieser Zeit vor allem durch zwei Phänomene
gekennzeichnet: In einigen Unternehmen setzte man auf zeitlich begrenzte Sensibilisierungskampagnen
mit festem Programm, in anderen versuchte man die Arbeitnehmer stärker zu kontrollieren und
einzuschränken.
Die Kampagnen mit dramaturgisch festgelegter Struktur entstanden in Organisationen, die ihre
Anwender vertrauensvoll in die Strategie für mehr Sicherheit einbeziehen wollten. Dort leitete
typischerweise ein aufrüttelndes Kick-off-Event am Anfang die Maßnahme ein, darauf folgten für
einige Wochen bis Monate eine Kombination verschiedener medialer Maßnahmen. Sie reichten von
Poster-Serien über Intranet-Videos und Schulungen bis hin zu Fang-den-Spion-Spielen mit
Wettbewerbscharakter. Am Ende stand eine Erfolgskontrolle mit Befragungen. Hier und da schloss sich
mit einigem zeitlichen Abstand noch ein Kampagnennachschlag an, um eine gewisse Nachhaltigkeit zu
sichern.
Wo man den Mitarbeitern misstraute, wurden eher die Regeln für die IT-Nutzung verschärft und die
vorhandenen technischen Einrichtungen um solche ergänzt, die eine bessere Kontrolle nach innen
ermöglichten – zur Freude der Hersteller entsprechender Systeme, die diesen Ansatz nach Kräften
durch Angstmarketing förderten [2].
Awareness 2.0
Über das beschriebene Stadium ist man heute hinaus. Kampagnen in der beschriebenen Form bleiben
sinnvoll und helfen, führen als alleinige Aktionen aber zu einem unvermeidlichen Sägezahneffekt: So
lange sie laufen und für eine kurze Zeit danach steigt die Aufmerksamkeit der Zielgruppe an und
bleibt hoch, danach aber flacht die Kurve wieder schnell ab – bis eine neue Maßnahme startet.
Verschärft wird der schleichende Verlust des einmal Erreichten durch Fluktuation, Akquisitionen und
andere Effekte, die die Zielgruppe auseinanderreißen, neue Mitarbeiter ins Unternehmen bringen oder
das Thema Sicherheit generell in den Hintergrund rücken.
Der auf Kontrolle bauende Ansatz wiederum scheitert an Reaktanzeffekten – Mitarbeiter, die
Misstrauen spüren, kümmern sich nicht mehr um die Sicherheit des Unternehmens – und an der modernen
Arbeitswelt. Die Zunahme freier und temporärer Arbeitsverhältnisse und die persönliche Vernetzung
der Arbeitnehmer untereinander mindern nämlich unweigerlich den Einfluss der IT-Abteilungen auf das
Kommunikationsverhalten der Betriebsangehörigen [3].
Ziel ist es heute, sowohl durch Feinabstimmung der bekannten Konzepte als auch durch neue
Ansätze erstens eine möglichst gleichbleibend hohe Sensibilisierung der Mitarbeiter zu erreichen
und zweitens der Sicherheitstechnik eher eine Assistenzfunktion für die Anwender zu geben als eine
Kontrollfunktion über sie. Spätestens seit der Sec-Aware-Konferenz 2009 in Düsseldorf
(www.sec-aware.de) ist für diese Trends der Begriff Awareness 2.0 im Spiel – und so
abgedroschen diese Bezeichnung auch wirken mag, so sehr zeigt sie doch, dass moderne
Awareness-Maßnahmen ein wenig anders aussehen als die früher üblichen Vorgehensweisen. Die folgende
Aufstellung zeigt Beispiele dafür, was unter Awareness-Spezialisten heute als anerkannte Methodik
gilt.
Die Chefs einbeziehen
Eines der wichtigsten Prinzipien moderner Maßnahmen zur Steigerung des Sicherheitsbewusstseins
und zur Förderung sicheren Verhaltens lautet: Die Führungspersönlichkeiten in den Unternehmen
müssen zuerst ins Boot geholt werden und müssen sich als Vorbilder engagieren. Besondere
Aufmerksamkeit gilt dabei mehr und mehr dem mittleren Management, während man sich anfangs vor
allem die Unterstützung durch die oberste Führungsetage zu sichern suchte. Mitarbeiter nämlich
orientieren sich auch in Sicherheitsfragen vornehmlich am Verhalten ihrer direkten Vorgesetzten.
Sind einer Führungskraft Datenschutz und Informationssicherheit sichtlich gleichgültig, verstehen
die Mitarbeiter dieses Verhalten als erstrebenswertes Privileg und ahmen es nach. Aber nicht nur
aus diesem Grund sind Awareness-Beauftragte heute darauf aus, die Manager entweder durch direkte
Ansprache oder auf dem Umweg über die Zielvorgaben der Personalabteilungen zur aktiven Mitarbeit zu
bewegen. Fachvorgesetzte wissen meist auch am besten, wo in ihrem Bereich organisatorische und
menschliche Risiken bestehen, und sie können am besten einschätzen, wie man Sicherheit ohne
Interferenzen mit der Praxis ihrer Abteilung umsetzt.
Organisationsaspekte beachten
Zeigen Mitarbeiter Fehlverhalten, tragen nicht immer sie selbst die Hauptschuld. Angestellte
etwa, die bei entsprechenden Anfragen statt selektierter Informationen komplette Datensätze
weitergeben, handeln nicht automatisch fahrlässig – eventuell haben sie einfach nicht die Zeit, die
geforderte Selektion vorzunehmen, oder technische Mängel machen das richtige Handeln
unverhältnismäßig schwierig. Moderne Awareness-Maßnahmen starten deshalb grundsätzlich mit einer
Analyse der organisatorischen und technischen Rahmenbedingungen für ein anzustrebendes Verhalten.
Im Zweifelsfall ist eine Optimierung des Arbeitsumfelds Erfolg versprechender als das Training
eines Verhaltens, das einen ständigen Kampf gegen objektive Widerstände mit sich bringt.
Mit Technik warnen statt blockieren
Sicherheitstechnik in Form von Sensoren und Filtern kann einen erheblichen Beitrag zur
Sensibilisierung von Mitarbeitern leisten, wenn der Software die Rolle eines Assistenten für die
Anwender eingeräumt wird. Will ein Angestellter beispielsweise vertrauliche Daten auf externe
Massenspeicher kopieren, kann ein Filtersystem ihn um explizite Bestätigung dieses Vorgangs bitten,
mögliche Risiken aufzeigen und bei besonders sensiblen Daten eine automatische Verschlüsselung oder
gar die Protokollierung des Vorgangs ankündigen und durchsetzen. Da die meisten Verletzungen der
Informationssicherheit in Unternehmen nicht absichtlich, sondern durch Pannen und Unachtsamkeit
geschehen, ist dieses Vorgehen weit sinnvoller als rigides Blockieren, das Misstrauen signalisiert
und gerade engagierten Mitarbeitern ihre Arbeit erschwert.
Wenn Mitarbeiter einer Organisation in Sicherheitsfragen die falschen Entscheidungen treffen,
geschieht dies meist nicht aus bösem Willen, sondern – sofern nicht die bereits erwähnten
arbeitstechnischen Probleme zu Buche schlagen – aus Unsicherheit in einer konkreten Situation.
Typische Situationen, in denen Unentschiedenheit zum Risiko wird, sind die dringende Bitte eines
persönlich unbekannten Kollegen oder Vorgesetzten um vertrauliche Informationen oder ein "seltsames"
Verhalten des Arbeitsplatzcomputers.
Im ersten Fall gerät der Mitarbeiter in einen Konflikt zwischen eventuellen Sicherheitsbedenken
und dem Wunsch, der Bitte hilfsbereit und der Hierarchie entsprechend nachzukommen. Im zweiten Fall
kann die Angst vor einer Blamage oder einem Tadel den Mitarbeiter zögern lassen, den Vorfall zu
melden. Ein Security-Helpdesk, der den Organisationsangehörigen direkt mit Service-orientierten
Mitarbeitern der Datenschutz- und Sicherheitsabteilungen verbindet, kann Unsicherheit als
Risikofaktor erheblich vermindern. Notwendige Basis für eine solche Maßnahme ist eine
praxisgerechte Fehlerkultur, die verhindert, dass Mitarbeiter bei selbst gemeldeten
Sicherheitspannen über Gebühr sanktioniert werden.
Trainieren statt diktieren
Verhalten zu ändern ist schwierig – die bloße theoretische Präsentation der richtigen
Vorgehensweisen bedeutet noch lange nicht, dass die Zielgruppe das Wunschverhalten auch umsetzen
kann. Vor allem der Umgang mit Zielkonflikten muss trainiert werden. Personen beispielsweise, die
aus Datenschutzgründen auch Informationsanfragen von Kollegen und insbesondere Vorgesetzten
abschlagen müssen oder zumindest verpflichtet sind, die Rechtmäßigkeit entsprechender Bitte zu
überprüfen, müssen dieses unangenehme Verhalten üben, notfalls in Einzelsitzungen mit einem
Coach.
"Digital Natives" als Zielgruppe
Junge Menschen, die bereits mit Computertechnik und Mobiltelefonen aufgewachsen sind, stellen
eine andere Zielgruppe dar als ältere Personen ohne besondere Affinität zur IT. Digital Natives
kennen die moderne Kommunikationstechnik und deren grundlegende Risiken meist recht gut, sind aber
nicht mit den Anforderungen an das Kommunikationsverhalten in einer auf Vertraulichkeit und
Datenschutz verpflichteten Organisation vertraut [3]. Awareness-Maßnahmen müssen diesen Unterschied
zu früheren Generationen berücksichtigen – vor allem, wenn neu eingestellte Mitarbeiter auf
sicherheitsgerechtes Verhalten verpflichtet werden.
Organisationskulturen, aber auch nationale oder regionale kulturelle Besonderheiten können einen
erheblichen Einfluss darauf haben, wie Mitarbeiter zum Beispiel mit Sicherheitsregeln und Vorgaben
des Datenschutzes umgehen [4]. In international aktiven Organisationen ist deshalb eine Überprüfung
der kulturellen Unterschiede zwischen den Umgebungen der Niederlassungen und den möglichen
Auswirkungen auf die Security-Praxis sinnvoll.
Lange Zeit war Informationssicherheit Sache der technischen IT-Abteilungen, und dort verstand
man sich nicht immer gut mit den Datenschutzbeauftragten. Zu oft erhoben die Datenschützer entweder
Einspruch gegen technisch ausgefeilte Datenverarbeitungslösungen oder machten den IT-Leitern, die
die Mitarbeiter stärker kontrollieren wollten, aufgrund des Mitarbeiterdatenschutzes das Leben
schwer. Heute gehen beide Fachbereiche eher aufeinander zu, da Datenschutz unter dem Blickwinkel
der Compliance längst als einer der wichtigsten Gründe gilt, Informationssicherheit zu
betreiben.
Dabei hat sich herausgestellt, dass sich aus der Schulungspflicht der Datenschützer
Synergieeffekte für die Awareness-Arbeit ergeben können: Wenn man die Mitarbeiter ohnehin für den
verantwortungsbewussten Umgang mit Personal-, Kunden- und anderen personenbezogenen Danten
sensibilisieren muss, bietet sich eine Ergänzung um Themen wie "Firmengeheimnisse" geradezu
an.
Weiterführende Literatur
Lesen Sie mehr zum Thema
