Sicherheitskultur im Unternehmen
IT-Sicherheit scheitert meist an Mitarbeitern
Als ich kürzlich am Flughafen Zürich auf meinen Abflug wartete, zog es meine Blicke automatisch auf das Notebook meines Nachbarn, der gerade geschäftliche E-Mails bearbeitete. Es war einfach, mitzulesen. Was ich sah, wollte ich eigentlich gar nicht wissen. Genau genommen durfte ich es auch nicht wissen. Denn die Informationen waren nicht für mich bestimmt. Gerät Wissen dieser Art in falsche Hände, kann für das Unternehmen großer Schaden entstehen.
Was mich dabei beschäftigt ist die Tatsache, dass der Benutzer dieses Notebooks derart in seine Arbeit vertieft war, dass er wohl keinen Gedanken an die Gefahr des Informationsverlustes verlor. Diese Haltung ist weit verbreitet und beschreibt das eigentliche Problem der IT-Sicherheit: die Anwender zu wenig sensibilisiert.
IT-Sicherheitsberater reden seit über zehn Jahren über die Sensibilisierung der Nutzer für Sicherheitsthemen. Offensichtlich will es nicht in die Köpfe der Mitarbeiter hineingehen. Selbst vorbildliche CISOs, die ihre Mitarbeiter in Schulungen über Security und ihre Anwendung im Alltag informieren, müssen feststellen, dass bestimmte Vorgaben zwar kurz nach der Schulung von vielen eingehalten werden, die Akzeptanz im Laufe der Zeit jedoch wieder stark nachlässt. Bei näherer Betrachtung wird klar, dass das Thema nicht richtig verankert ist und dass in der Kommunikation Fehler gemacht werden.
Das Thema Security wird als "Bremsklotz" wahrgenommen
IT-Security ist in Unternehmen in den meisten Fällen bei der IT-Abteilung aufgehängt und wird oft aus rein technischer Sicht betrachtet. Mit der Installation von Sicherheitsmaßnahmen wie Firewalls, USB-Port-Blocking, Passwortverwendung und vielen mehr werden zwar wichtige Bereiche abgedeckt, allerdings schützen diese nicht vor kriminellem oder unbeabsichtigtem Fehlverhalten der Nutzer und somit auch nicht vor Datenverlust beziehungsweise Informationsdiebstahl.
Im Gegenteil: Solange das Thema rein technisch betrachtet wird, wird Security im Unternehmen als "Bremsklotz" wahrgenommen, den man ungern unterstützt. Das ließe sich ändern, sofern es die Verantwortlichen schaffen, Security als "Enabler" zu positionieren, also als Thema, das die Ziele und Prozesse des Unternehmens und seiner Mitarbeiter unterstützt.
Die IT kann sie sich als "Enabler" positionieren
Die IT-Abteilung muss dazu die geschäftskritischen Prozesse und die davon betroffenen IT-Anwendungen analysieren. Erkennt die IT, dass Mitarbeiter zum Beispiel Dropbox nutzen, weil sie diese für ihre tägliche Arbeit dringend benötigen, obwohl dies in den Richtlinien nicht vorgesehen ist, sollte sie in Zusammenarbeit mit dem Management eine sichere Alternative bereitstellen. Andernfalls werden die Anwender immer weiter aus den Verhaltensregeln ausbrechen.
Das erfordert generell eine andere Herangehensweise an das Thema: Dabei hat der CISO in seiner Funktion als Enabler die Prozesse, Risiken und den Mitarbeiter, der mit Risiken umgehen muss, in seinem Blickfeld. Auch beim oben genannten Flughafenbeispiel könnte er die Enabler-Rolle einnehmen, indem er automatisch bei jedem neuen Notebook-Rollout eine Blickschutzfolie auf mobile Endgeräte anbringt bzw. dem Nutzer mitgibt. Denkt er noch einen Schritt weiter, liefert er auch einen verschlüsselbaren USB-Stick mit aus, damit die Daten auch bei Verlust geschützt sind.
Wer die Arbeitsprozesse des Nutzers versteht, findet einfache, praktikable Lösungen, die dann auch von den Mitarbeitern unterstützt werden: Ein CISO einer Bank ärgerte sich, dass einige Angestellte ihre Rechner während der Mittagspause nicht sperrten und entwickelte eine simple aber sehr gut funktionierende Lösung.
Er koppelte den Betrieb der Rechner an die Signaturkarte. Die Mitarbeiter benötigen diese, um in andere Räume zu kommen, für die Nutzung des Kopierers und für die Bezahlung in der Kantine. Damit hat der CISO sichergestellt, dass die Mitarbeiter ihre Karte beim Verlassen des Arbeitsplatzes mitnehmen und somit automatisch ihre Rechner sperren. Die Mitarbeiter wiederum akzeptierten die Maßnahme von Beginn an, weil sie den Sinn verstanden deren Umsetzung automatisch erfolgt.