Die Mitarbeiter als Firewall

Ein Unternehmen braucht seine Mitarbeiter als Verbündete. Sie müssen Social-Engineering-Attacken mit der nötigen Vorsicht begegnen und sich auch sonst jederzeit verantwortungsvoll benehmen – beim Umgang mit Kennwörtern, bei der Arbeit mit E-Mail oder beim Hantieren mit dem mobilen Computer unterwegs.

Auf Technik fokussierte Administratoren und misstrauische Chefs wenden gern ein, solche Bestrebungen seien chancenlos – „Dumm-User“ könne man nicht erziehen, und darüber hinaus sei die Belegschaft eigennützig, bequem und damit primär ein Risiko, weshalb man sie streng überwachen und reglementieren müsse. Damit beginnt ein Teufelskreis, denn wer Misstrauen spürt und sich ungerechtfertigt eingeschränkt fühlt, schaltet auf Widerstand oder setzt sich zumindest nicht mehr aktiv für das Geforderte ein.

Um zu zeigen, wie wirksam ein professioneller Umgang mit der menschlichen Seite der IT-Sicherheit sein kann, hat sich LANline die internen IT-Sicherheitsprogramme von Cisco und SAP angesehen. Beide Firmen weisen zwar einen überdurchschnittlich hohen Anteil an informationstechnisch vorgebildeten Mitarbeitern auf, haben mit jeweils über 30.000 Angehörigen aber auch viele IT-fremde Angestellte in ihren Reihen. Beiden Unternehmen gemein ist auch, dass sie sich traditionell liberal verhalten, wenn es um den Umgang der Mitarbeiter mit E-Mail und Internet geht, und dass sie auf einer vertrauensvollen Beziehung zwischen Belegschaft und Unternehmen beharren. Bei SAP etwa betrachtet man diese Liberalität als einen Wert, den es zugunsten des Unternehmensklimas und der „Schlagkraft“ der Belegschaft zu erhalten gilt. Beide Konzerne händigen neuen Mitarbeitern schon beim Unternehmenseintritt Sicherheitsrichtlinien aus und verlangen von ihnen, deren Kenntnis zu bestätigen. Fünf Seiten Policies und 50 Seiten Standards, die beispielsweise die Kennwortqualität festschreiben, sind es bei SAP. Noch mehr Energie verwenden beide Firmen darauf, die Aufmerksamkeit der Mitarbeiter auch langfristig zu erhalten.