Es wäre doch eigentlich so einfach: aufmerksame und sicherheitsbewusste Benutzer verhindern gemeinsam mit einem umfassenden technischen Sicherheitsdispositiv ganz selbstverständlich und effektiv als Teil ihrer Arbeit Schäden an der IT-Umgebung der Unternehmung.
Wie ein solches Sicherheitsbewusstsein zu Stande kommt? Einschlägige Standards und Richtlinien wie das BSI-Grundschutzhandbuch fordern hierfür insbesondere die nachhaltige Sensibilisierung der Mitarbeitenden für die IT-Sicherheit:
Es sollte bei allen Mitarbeitern ein hinreichender Kenntnisstand über die Belange der IT-Sicherheit und das Bewusstsein für die Risiken im alltäglichen Umgang mit der IT vorhanden sein. Zur Erreichung dieses Ziels trägt neben einem Schulungskonzept für IT-Sicherheit insbesondere die wiederholte Sensibilisierung aller Mitarbeiter durch IT-Sicherheits-Verantwortliche, Vorgesetzte oder Kollegen wesentlich bei.
Zitat aus dem IT-Grundschutzhandbuch des BSI
Wie erreicht man nun eine solche Sensibilisierung? Die entsprechenden Standards und «Best Practices» schlagen eine breite Palette von Massnahmen vor, so z.B. ein klares Bekenntnis der Unternehmensführung für die Wichtigkeit der IT-Sicherheit, Workshops für die Mitarbeitenden, in denen die eigene Rolle in der Beurteilung und Bewältigung von Risiken thematisiert wird, Aus- und Weiterbildungsangebote, Diskussionsforen und Sprechstunden mit den Sicherheitsverantwortlichen, die Darstellung der aktuellen Sicherheitssituation sowie von Vorfällen und Lösungen in der eigenen Unternehmung oder die Bereitstellung von Fachzeitschriften und Selbst-Schulungsmaterial.
Sogar «weiche» Faktoren zur Förderung der Akzeptanz sind berücksichtigt:
Für die Akzeptanz des IT-Sicherheitsprozesses insgesamt ist es förderlich, wenn die Sensibilisierungsmaßnahmen nicht in belehrender, autoritärer Form erfolgen, sondern eher den Charakter eines informativen, kollegialen Gesprächs tragen. Dazu ist es entscheidend, dass für jeden Mitarbeiter arbeitsplatznahe Ansprechpartner zur Verfügung stehen, die er ohne «Schwellenangst» kontaktieren kann.
Zitat aus dem IT-Grundschutzhandbuch des BSI
Dagegen ist im Grundsatz nichts einzuwenden, und der erfolgreichen und nachhaltigen Umsetzung der Bewusstseinsbildung im Unternehmen steht nichts mehr im Wege – aber ist es wirklich so?
Die tägliche Realität zeigt uns ein anderes
Bild – praktisch jede Unternehmung leidet unter Viren, Würmern, falschen Reaktionen auf Spam-Mail,
nachträglich installierter oder nicht korrekt lizen-
zierter Software, unautorisiert angeschlossenen
PC’s oder WLAN-Zugangspunkten, verlorenen
Daten oder unsorgfältigem Umgang mit Berechtigungen – bei allen technischen Unterschieden ist
diesen Bedrohungen gemeinsam, dass Endbenutzer
bei der Erkennung oder Nichterkennung der entsprechenden Risiken die entscheidende Rolle
spielen.
Warum ist das so? Warum haben die täglichen Pressemeldungen über neue Viren, die Informationen über Bedrohungen wie das «Phishing» nach elektronischen Zugangsdaten, die Warnungen der IT-Betreiber vor dem Öffnen verdächtiger E-Mails oder dem Installieren von Software keine Wirkung? Warum haben firmeninterne Sicherheitshandbücher, Weisungen und «Awareness»-Massnahmen trotz des grossen Einsatzes der Verantwortlichen keinen nachhaltigen Erfolg?
Für die Beantwortung dieser Frage muss zwischen systematischen Mängeln und Mängeln bei der effektiven Umsetzung unterschieden werden. Der wesentlichste systematische Mangel liegt in der Zuteilung der Verantwortung für das IT-Sicherheitsbewusstsein der Be-nutzer an die Informatik selbst.
•
Verantwortlich für die Initiierung: IT-Sicherheitsmanagement-Team
•
Verantwortlich für Umsetzung: T-Sicherheitsmanagement-Team, IT-Betreuer
Zitat aus dem IT-Grundschutzhandbuch des BSI
•
Natürlich liegt es nahe, die IT-Sicherheitsorganisation als Knowhow-Träger auch für die Awareness-Massnahmen verantwortlich zu machen – jedoch bleiben hierbei zwei wesentliche Punkte unberücksichtigt:
•
Das Risikoverständnis wird meist relativ zur eigenen Arbeitsaufgabe und Arbeitsumgebung verstanden – Awareness-Massnahmen müssen
daher in die fachliche Sprache und den Kontext der jeweiligen Benutzergruppen eingebettet sein, und gehören in die fachliche Aus- und Weiterbildung der jeweiligen Organisationseinheit. Die IT-Risiken im Handelsraum einer Bank sind anders strukturiert als diejenigen im benachbarten Private Banking, und können daher nicht durch einen oft sehr generischen und nicht geschäftsspezifischen Schulungsansatz der zentralen Informatik adressiert werden.
•
Die Delegation der Awareness-Massnahmen an die Informatik «enthaftet» implizit die Geschäftseinheiten von ihrer Eigenverantwortung – IT-Sicherheit wird gerne als ein IT-Problem angesehen, dass gefälligst auch dort (d.h. mit eher technischen Massnahmen) zu lösen ist. Oft fühlen sich weder die Mitarbeitenden noch das Management der Geschäftseinheiten ausreichend verantwortlich (und ggf. auch beurteilt)
bezüglich ihres aktiven Beitrags zur IT-Sicherheit.
Umgekehrt ist festzustellen, dass auch die Informatik den Begriff der Awareness gerne spezifisch interpretiert, um ggf. auch eigene Versäumnisse zu
relativieren. Ohne eine vernünftige, quantitative und qualitative Analyse von Sicherheitsvorfällen und «Beinahe Vorfällen» bezüglich der wirklichen Ursachen bleibt solches «Silo-Denken» als systematischer Mangel in der Schnittstelle zwischen Informatik und Geschäftseinheiten bestehen.
Neben diesen systematischen Schwachstellen lassen sich auch Mängel in der Umsetzung feststellen – Unternehmen sollten daher prüfen, ob und in wel-chem Umfang entsprechende Umsetzungsmängel vorhanden sind. Ein guter Ausgangspunkt hierfür ist die bereits angeführte Liste geeigneter Awareness-Massnahmen:
•
Klares Bekenntnis der Unternehmensführung
für die Wichtigkeit der IT-Sicherheit
Kein Mitglied der Unternehmensführung wird je die Wichtigkeit der IT-Sicherheit bestreiten – jedoch besteht ein grosser Unterschied zwischen einem rein firmenpolitisch angezeigten «lip service» und einer echten, nachhaltigen Unterstützung durch entsprechende Budgets, Personal, oder Interesse an einem nachvollziehbaren Sicherheits-Reporting.
•
Workshops für die Mitarbeiter, in denen die
eigene Rolle in der Beurteilung und Bewältigung
von Risiken thematisiert wird
Viele dieser Workshops werden in der Praxis als «Pflichtveranstaltung» wahrgenommen – zudem
sind sie oft theorielastig und kaum an die sehr unterschiedlichen Bedürfnisse der jeweiligen Zuhörerschaft angepasst. Da wir aus Fehlern und Praxisanwendungen mehr lernen als auch theoretischen Darlegungen, hat mangelnde Awareness oft mit unzulänglichen Schulungs-methoden zu tun – ein weiterer Vortrag über die Gefährlichkeit von Viren erhöht die Awareness genau so wenig, wie es die vorgängigen Vorträge geschafft haben.
•
Aus- und Weiterbildungsangebote
Entsprechende Angebote sind nur selten vorhanden oder unterstützt – zudem fehlt in den meisten Fällen die Kontrolle der Nachhaltigkeit der Ausbildung im täglichen Arbeitsumfeld.
•
Diskussionsforen und Sprechstunden mit den Sicherheitsverantwortlichen
Hier bestehen die typischen Schwachstellen in der Angst der Mitarbeitenden vor einem Auftritt als «Netzbeschmutzer», wenn auf Schwachstellen hingewiesen wird, zudem bestehen oft Hemmschwellen, da befürchtet wird, auch für die Lösung verantwortlich gemacht zu werden. Umgekehrt können unmoderierte Diskussionsforen leicht für «fingerpointing» und als Tummelplatz für latent unzufriedene Mitarbeitende missbraucht werden.
•
Darstellung der aktuellen Sicherheitssituation sowie von Vorfällen und Lösungen in der eigenen Unternehmung
Ein wesentlicher Praxismangel bezüglich dieser Massnahme ist die Unwilligkeit vieler Unternehmen, Sicherheitsvorfälle offiziell «zuzugeben» und auch genügend Information darüber bereitzustellen, um einen Lerneffekt zu erzielen.
•
Bereitstellung von Fachzeitschriften, Schulungsmaterial.
Obgleich viele Unternehmen bereit sind, entsprechende Massnahmen zu ergreifen, ist eine Erfolgskontrolle kaum vorhanden seien Sie ehrlich, wann haben Sie zuletzt eine Zeitschrift oder einen Fachartikel über
IT-Sicherheit in der Zirkulationsmappe oder in der Abteilungsbibliothek aufmerksam gelesen?
Was nun also zu tun, um ein angemessenes Sicherheitsbewusstsein der IT-Nutzer zu schaffen? Festzuhalten ist, dass neben dem systematischen Mangel, diese Aufgabe einseitig der IT zuzuweisen, praktisch alle genannten Massnahmen Erfolg versprechend sein können, wenn die Unternehmung in der Lage ist, die tatsächliche Effektivität von Awarenessverbessernden Massnahmen bezüglich vordefinierter Ziele zu beurteilen – hier kann weniger oft mehr sein, denn bei Awareness geht es um Nachhaltigkeit und die Fähigkeit zur Verbesserung – verbessern lässt sich jedoch nur, was sich auch messen lässt.
