Fokus auf die Mitarbeiter richten

Weil der Mensch den größten Risikofaktor darstellt, sollten sich Sicherheitsverantwortliche intensiver mit ihm beschäftigen. Es klingt paradox, aber die größte Aufmerksamkeit erhält ein Mitarbeiter vor Beginn und nach Beendigung seines Arbeitsverhältnisses. So haben die Personalabteilungen klare Prozesse für die Phasen Rekrutierung, Einstellung und Ausstellung. Aber was geschieht in der Zeit dazwischen?

Die meisten Unternehmen schauen auf die kritischen Schnittstellen und auf Veränderungsprozesse bei den Mitarbeitern selbst, nicht aber auf den Standard im Alltag. Es ist nicht der chinesische Praktikant, der die Daten stiehlt. Vielmehr muss sich der Blick manchmal auf jene richten, die überhaupt nicht im Visier der Sicherheitsmenschen sind. So kann ein 50-Jähriger mit zwei Kindern, der seit fünf Jahren im Unternehmen ist, ein weitaus höheres Risiko darstellen, wenn dieser beispielsweise durch Scheidung finanziell unter Druck gerät. Auch wenn er die Jahre über ein loyaler Mitarbeiter war, so kann sich das sehr schnell ändern.

Und er kennt die "Kronjuwelen" des Unternehmens besser als ein Praktikant, die für sechs Wochen im Betrieb mitarbeitet. Vor dem Hintergrund, dass einer GULP-Studie zufolge lediglich 60 Prozent der Mitarbeiter loyal gegenüber ihrem Unternehmen stehen und 25 Prozent nichts mehr mit ihm zu tun haben wollen, ist eine stärkere Fokussierung auf den einzelnen Mitarbeiter anzuraten.

Was kann der CISO ändern?

Der erweiterte Blickwinkel hat wenig mit den klassischen Aufgaben einer Security-Abteilung zu tun. Letztere ist mit den bestehenden Anforderungen bei zu wenig Personal, zunehmend komplexer werdenden Aufgaben und dem Kostendruck ohnehin überlastet und steht jeder zusätzlichen Aufgabe kritisch gegenüber.

Manche Unternehmen denken darüber nach, eine eigene Security-Stabsstelle zu schaffen, die den ganzheitlichen Blick auf die Informationssicherheit richtet. Entscheidend für den Erfolg ist weniger die organisatorische Aufhängung des Themas als vielmehr die Verankerung in der Unternehmenskultur. Der Schritt von der IT-Security zur Informationssicherheit ist auch psychologisch zu vollziehen.

Insofern kommt dem Management, den Führungskräften und den Sicherheitsverantwortlichen eine Vorbildfunktion zu. Solange sie das Thema nicht aktiv vorleben, wird es von der Belegschaft kaum übernommen werden. Auch Awareness-Kampagnen können sehr förderlich für die Unternehmenskultur sein, weil sie das Gefühl "wir gehören zusammen" fördern. Sie funktionieren aber nur, wenn sie richtig kommuniziert werden und sie benötigen Zeit.

In der Kommunikation liegt der Schlüssel zum Erfolg

Für die Arbeit des CISOs ist es wichtig, wie er mit dem Management kommuniziert und wie er im Unternehmen vernetzt ist. Er sollte in der Lage sein, das Management mit den entscheidenden Argumenten wie Business-Effizienz oder Schutz vor Restriktionen zu überzeugen. Eine wesentliche Voraussetzung dafür ist, dass er sich mit der Geschäftsleitung regelmäßig austauscht und in der Lage ist, auf Augenhöhe zu kommunizieren und seine Strategie zu erklären.

Auch gegenüber den Mitarbeitern wird er mit Awareness-Maßnahmen nur dann einen nachhaltigen Erfolg erzielen, wenn er kommunikative Menschen in die Abteilung einbindet oder die Maßnahmen mit professionellen Kommunikatoren umsetzt. Ein CISO braucht außerdem auch Mut, etwas Neues zu tun und kreative Wege zu gehen.