15. September 2014 | von Alle Beiträge anzeigen von
Dirk Schmidt
| Thema: IT-SecurityAlle Beiträge zu diesem Thema anzeigen | 1.203 Besucher

Die IT-Sicherheit und der Mensch

In den letzten Blogbeiträgen haben sich die Kollegen sehr ausführlich mit den technischen Möglichkeiten zur Gewährleistung einer hohen IT-Sicherheit beschäftigt. Ich möchte gern den Fokus der Betrachtung auf das Sicherheitsrisiko Nr. 1 legen: die Kollegen und Kolleginnen (ab jetzt KollegInnen) neben mir.

Mein Vorgesetzter legte mir vor einiger Zeit einen Zeitungsausschnitt hin; der Titel des Artikels: “Der Chef als IT-Sicherheitsrisiko”. Das ist die Steigerung der Gefährdung der IT-Sicherheit durch die KollegInnen, da ich meinem Chef nicht gern Wünsche ausschlage. Ist das bei Ihnen anders?

Was haben wir gelernt?

Wir haben inzwischen gelernt, dass man sehr viel Geld für technische Maßnahmen ausgeben kann um Sicherheitslösungen mit einem hohen technischen Wirkungsgrad zu erstellen. Diese Lösungen bieten jedoch nie vollständige Sicherheit. Vor allen Dingen für den inneren Schutz ist es meist effektiver, sich mit gut geschulten und “sicherheitswilligen” KollegInnen zu umgeben. Diese achten im Idealfall auf die Einhaltung der Richtlinien, reagieren auf Verstöße und können auch sehr schnell neue Risiken erkennen.

Doch wie bekommt man solche KollegInnen? Im IT-Grundschutz-Katalog des BSI gibt es dazu unter anderem die Maßnahme “M 3.5 Schulung zu Sicherheitsmaßnahmen” und diverse andere Maßnahmen, die Dokumente, Schulungen und Einweisungen beinhalten. Das könnte man probieren. Ich habe bisher diesen Aufwand gescheut, er erscheint mir in keinem Verhältnis zum erwarteten Ergebnis. So weit die Theorie.

Was erleben wir?

Wir haben es in den meisten Unternehmen, die ingenieurtechnische Dienstleistungen anbieten, mit KollegInnen zu tun, die eine selbständige Arbeit gewöhnt sind, die selbst für die Sammlung und Organisation der notwendigen Informationen verantwortlich sind. Diesen MitarbeiterInnen kann man immer weniger vorschreiben, was sie im Intranet und im Internet mit den Daten zu tun oder zu lassen haben. Auch die zunehmende Mobilität der Nutzer stellt neue Herausforderungen an die IT-Sicherheit. Da kommt man mit einer herkömmlichen Schulung nicht sehr weit.

Wie tun wir es besser?

Die neue Praxis könnte doch sein, die KollegInnen für die IT-Sicherheit zu begeistern, sie zu inspirieren, sich Gedanken über mögliche Risiken zu machen, sie einzuladen, aktiv an der Gestaltung der IT-Sicherheit mitzuwirken und sie zu ermutigen, andere auf Fehler hinzuweisen und eigenes Fehlverhalten abzustellen. (Wir finden diese Prinzipien “begeistern, inspirieren, einladen, ermutigen” im Supportive Leadership Model.) Den dadurch entstehenden Schutz kann man nur sehr schwer durchbrechen, er denkt nämlich mit und entwickelt sich weiter.

Und wie kommen wir zu so einer Praxis? Ich selbst bin in der Theorie recht weit, die Praxis sieht im Moment jedoch noch etwas anders aus. Ich suche das Gespräch mit den KollegInnen, um unsere Policies bekannt zu machen und deren Sinn und Zweck zu erläutern. Ich reagiere bei bekannt gewordenen Sicherheitsverletzungen aktiv, jedoch nicht mit Schuldzuweisungen und Vorwürfen, sondern lege Wert auf Ursachenerkenntnis und -beseitigung. Es fehlt jedoch der “Paukenschlag”, die Aktion, mit der man die KollegInnen mitnimmt; auf einen spannenden Weg; auf der “guten” Seite standzuhalten gegen die Hacker und die NSA-Spione. Wie könnte dieser “Paukenschlag” aussehen? Könnten Sie sich das auch vorstellen?

Bildquelle/Copyright: © koszivu — fotolia.com

Ihre Meinung zählt

Newsletter abonnieren