Über welche Art von Sicherheit reden IT-Verantwortliche?

Weil Security ein Prozess ist, der nie aufhört, muss das Thema kontinuierlich und nachhaltig kommuniziert werden. Es darf nicht abstrakt und "digital" behandelt werden, vielmehr muss der Umgang mit Sicherheit Bestandteil der Unternehmenskultur werden. Und damit kommt es auch aus der technischen Ecke heraus, denn das Thema umfasst den gesamten Bereich des Informationsschutzes und sollte daher unter der Bezeichnung Informationssicherheit gehandhabt werden, bei dem auch der Mensch eine zentrale Rolle spielt.

Mit wem reden CISOs - mit wem nicht?

Eine Ursache für die mangelnde Akzeptanz bei den Mitarbeitern liegt in der unzureichenden Kommunikation seitens der Sicherheitsverantwortlichen. Nicht jeder IT-Fachmann ist von Haus aus ein "Sozialautist", aber es fällt schwer, echte und authentische Kommunikationstalente zu finden, die auch noch auf Augenhöhe mit dem Management und den Mitarbeitern reden können. Doch die werden benötigt, damit Security aus dem "stillen Kämmerlein" herauskommt und bei den Mitarbeitern wie auch beim Management ankommt.

Häufig behelfen sich IT-Verantwortliche damit, externe Berater ins Unternehmen zu holen, die das Management auf Sicherheitslücken und Risiken aufmerksam machen. Das mag im Einzelfall sinnvoll sein, generell jedoch ist dies der falsche Weg.

Die IT muss selbst auf das Management zugehen und ihre Themen pushen. Sie muss in der Lage sein, sie vor dem Management wie auch vor den Mitarbeitern zu erklären. Auch hier ist die Enabler-Funktion von großer Hilfe.

Ein typisches Thema ist die Nutzung von Social Media. Das Management gibt häufig aus Sicherheitsgründen vor, diese Kanäle zu sperren, was die IT in ihren Richtlinien verankert. Zunehmend kommt aus dem Business und der Personalabteilung jedoch die Anforderung, Social Media in den Vertriebs-, Marketing- und Rekrutierungsprozess einzubinden.

Die IT wird mit ihrer bestehenden Richtlinie als "Verhinderer" wahrgenommen, es sei denn, sie kommuniziert das Thema und wird beim Management wie bei den Fachabteilungen aktiv, um eine Lösung zu erarbeiten.

Wirkungsvolle Awareness-Kampagnen

Benjamin Franklin sagte: "Tell me and I forget, teach me and I may remember, involve me and I learn". Diese Erkenntnis lässt sich auf die Vermittlung von Sicherheitsthemen im Unternehmen übertragen. Wer nur darüber redet, wird scheitern, wer das Thema veranschaulicht, erntet das eine oder andere Kopfnicken.

Wer aber nachhaltige Wirkung erzielen will, bezieht die Menschen in das Thema mit ein. Aus diesem Grund gehen immer mehr Unternehmen dazu über, Awareness-Kampagnen zu initiieren, die genau darauf ausgerichtet sind. Sie tragen dazu bei, dass Informationssicherheit von den Mitarbeitern wahrgenommen wird, die Schwachstellen für jeden sichtbar werden und positionieren sie im richtigen Kontext.

Ein anschauliches Beispiel dafür liefert der "Security Parcour", den T-Systems als Training für seine Mitarbeiter organisiert. Er umfasst mehrere Stationen - - wie in einem Circle-Training - zum Mitmachen mit Themen wie "Informations-Klassifizierung", "Clear Desk", "Besucher und Ausweise", "Password-Hacking", "Social Engineering" und "Social Media". An jeder Station wurden die Teilnehmer durch einen Moderator in das Thema eingeführt. In Teams wurde jeweils eine Aufgabe gelöst und anschließend besprochen. Die intensive Beschäftigung erhöhte die Aufmerksamkeit für das Thema Internetsicherheit im Unternehmen.

Ein anderes Beispiel kommt von einem Schweizer Uhrenhersteller: Dieser forderte seine Mitarbeiter in einem Fotowettbewerb während einer Awareness-Maßnahme dazu auf, kleine zusammenbaubare Plastikmonster auf potenzielle Sicherheitslücken am Arbeitsplatz zu stellen, diese zu fotografieren und die Bilder auf einer speziell dafür eingerichteten Kampagnenseite im Intranet zu veröffentlichen.

Das Ergebnis zeigt die Figuren auf einem Telefonapparat (die Angreifer kommen übers Telefon), auf einer internen Umlaufmappe mit dem Vermerk "vertraulich", mit Kreditkarte in der Hand auf einem Computer sitzend, auf einem Kartenleser zur Zutrittskontrolle am Eingang und vielen weiteren Stationen. Die Aktion hat nicht nur die Aufmerksamkeit der Mitarbeiter erhöht, sondern auch Gedankenbrücken zur Informationssicherheit beim Gebrauch von Umlaufmappen, der Benutzung des Telefons oder bei der Zugangskontrolle gebaut.