Lernprogramme
Bewusstsein für Sicherheit
Mit Schulungen der Mitarbeiter könnte man viel für das Sicherheitsniveau im Unternehmen tun. Wie aber bringt man den Anwendern die Materie wirklich nahe? Wer dazu Lernsoftware einsetzen will, muss eine Reihe von Qualitätskriterien beachten.
Awareness-Kampagnen zur Steigerung des Sicherheitsbewusstseins von Unternehmensmitarbeitern
erobern sich langsam einen festen Platz im Repertoire der unternehmerischen Maßnahmen für
Informationssicherheit. Als preiswerte Alternative bietet sich Lernsoftware an, die es in Form des
Programms "Open-Beware" von BDG sogar schon als Open-Source-Produkt gibt. Auch kommerzielle Systeme
sind auf dem Markt, darunter das Produkt "Secure Aware" des Anbieters Neupart. Aber woran erkennt
man eine gute Software, welche Voraussetzungen muss sie unbedingt erfüllen, und was muss bedacht
werden, um sie sinnvoll im Unternehmen einzusetzen?
Um mit der letzten Frage zu beginnen: Einfach ein Lernprogramm zu beschaffen und an die
Belegschaft zu verteilen, hilft nichts. Wie gut die Software auch immer ausfallen wird – die
Anwender werden Fragen dazu haben und benötigen dann einen Ansprechpartner, der sie beantwortet.
Diese Person wird noch um einiges wichtiger, wenn das Produkt Erfolg haben sollte und die
Mitarbeiter tatsächlich zu größerer Aufmerksamkeit in Sicherheitsdingen animiert. In diesem Fall
nämlich müssen die Unternehmensangehörigen wissen, an wen sie sich wenden können, wenn sie
beispielsweise Malware entdecken oder gar argwöhnen, dass ein Social-Engineering-Angriff
stattfindet. Die Ansprechpartner müssen Vertrauenspersonen sein, von denen die Anwender annehmen
können, dass sie im von Fehlerfall nicht auf Bestrafung aus sind, sondern Lösungen suchen und
helfen.
Kein Vertrauen in Administratoren
Eine aktuelle Cisco-Studie zeigt, dass Administratoren in den Augen der meisten
Unternehmensmitarbeiter nicht diejenigen Personen sind, die in Sachen Sicherheit und
Sicherheitsmaßnahmen das meiste Vertrauen verdienen: Die Angestellten orientieren sich auch auf
diesem Gebiet lieber an ihren direkten Vorgesetzten, gleich welche IT-Qualifikation diese besitzen.
Für diese Situation mögen die häufigen Kommunikationsprobleme zwischen Anwendern und Technikern
verantwortlich sein, die zu gegenseitigen Vorwürfen der Arroganz und Ignoranz führen. Vielleicht
spielt aber auch die Tatsache eine Rolle, dass die meisten Chefs in Deutschland offenbar ihren
Mitarbeitern vertrauen und sich entsprechend verhalten (siehe Akademie-Studie 2006: "Auf gut Glück
oder alles unter Kontrolle: Wie vertrauen deutsche Manager?" unter www.die-akademie.de).
Auf jeden Fall aber sollten die Cisco-Ergebnisse ernst genommen werden. Entweder leitet man aus
ihnen ab, dass ein neu eingeführtes Awareness-Lernprogramm besser über die Leiter der
Fachabteilungen an die Endanwender verteilt werden sollte als über die IT-Abteilung, oder man
versucht im Zuge der Maßnahmen fürs Sicherheitsbewusstsein auch gleich das Image des Administrators
aufzupolieren. Dies kann etwa dann gelingen, wenn der Systemverwalter seine softwaregestützte
Mitarbeiterschulung zugleich als nützlich für den Umgang mit dem heimischen PC vermittelt, etwa im
Hinblick auf Gefahren beim Online-Banking. So ist auch für die notwendige Motivation gesorgt, die
Lernsoftware tatsächlich zu benutzen und risikobehaftetes Verhalten zu ändern. Auch ein anderer
Trick kann helfen, Akzeptanz für das Absolvieren eines Lernprogramms zu schaffen: Verhilft man
Mitarbeitern in zeitlicher Nähe zum Einsatz der Lernsoftware zu unerwarteten Arbeitserleichterungen
oder lässt ihnen sonst ein Privileg zukommen, werden sich viele von ihnen gerade ohne kausale
Verknüpfung zwischen beiden Ereignissen durch das "Geschenk" verpflichtet fühlen, der Bitte um
etwas Zeit für einen Lernkurs nachzukommen.
Verwirrendes Javascript
Wer ein Lernprogramm anschaffen will, muss zunächst prüfen, ob es problemlos verteilt werden
kann und auf den PCs aller Mitarbeiter läuft. Vorteilhaft ist webgestützte Software, die auf den
Clients nur einen Browser als Arbeitsplattform benötigt und ansonsten systemunabhängig ist. So
strukturierte Programme müssen oft nicht einmal wirklich verteilt werden – es reicht eventuell
schon die Installation auf einem für alle Anwender erreichbaren Netzlaufwerk und die Versendung
einer Minimalanleitung zum Start per E-Mail, eventuell mit direktem Link. Wie auch der LANline-Test
von Open-Beware (Fundstelle siehe Kasten) gezeigt hat, kämpfen webgestützte Systeme allerdings mit
einem prinzipbedingten Problem: Da sie oft mit Javascript oder ähnlicher Technik arbeiten, um
interaktive Dialoge mit dem Nutzer zu führen, verlangen sie beim Start häufig das Freischalten der
Skriptbenutzung im Browser und damit eine Manipulation, von der der Anwender dann möglicherweise im
Programm erfährt, dass sie gefährlich sein kann. Diese prinzipbedingte Inkonsequenz muss der
Ansprechpartner der Anwender im Unternehmen erläutern können.
Sanfte Lernkontrolle
Die weitere Evaluierung der Software setzt voraus, dass man sich zunächst über das Spektrum der
Wissensstände bei den Mitarbeitern im Unternehmen Gedanken macht. Es kann bei Personen beginnen,
die nur wenige auswendig gelernte Arbeitsschritte am PC ausführen können und bei IT-Spezialisten
mit profundem Hintergrundwissen enden. Ein Lernprogramm sollte deshalb möglichst ohne Fachvokabular
auskommen, eventuell aber auch einen Expertenmodus aufweisen oder umgekehrt reines Einsteigerwissen
optional anbieten. Ein kleiner Einstiegstest, der das Hintergrundwissen der Anwender ermittelt,
kann hilfreich sein, sofern er realistische Ergebnisse liefert und nicht allein den
Selbsteinschätzungen der User vertraut.
Was weitere Tests betrifft, so scheinen sich vor allem diejenigen Systeme bewährt zu haben, die
entsprechende Funktionen ausschließlich und ausdrücklich dem Anwender selbst zur Lernkontrolle
anbieten. Will man seine Mitarbeiter wirklich testen, muss man dazu andere Voraussetzungen schaffen
als lediglich den Erwerb einer Software: Ohne einen Schulungsrahmen, vertrauensbildende Maßnahmen
und echte Anreize erzeugen Prüfungen nur Unwillen und Widerstand. Was aber möglich sein sollte, ist
eine einfache Kontrolle, wie viele Mitarbeiter die Lernsoftware tatsächlich aufrufen. Dies hilft
dabei, den Erfolg der Maßnahmen wenigstens annähernd einzuschätzen.
Individuelle Anpassung
Ein besonders heikles Kapitel ist die Flexibilität der angebotenen Systeme, sich auf
unterschiedliche Sicherheitsrichtlinien und Unternehmenskulturen einzustellen. Ein Lernprogramm,
dass das Verbot privater E-Mail- und Webnutzung am Arbeitsplatz als gegeben annimmt, sorgt in einem
Unternehmen mit in dieser Hinsicht menschenfreundlicherer Haltung nicht nur für Verwirrung, sondern
trägt im entsprechenden Bereich zwangsläufig auch nichts zur Vermittlung risikovermindernden
Verhaltens bei. Ähnliches gilt, wenn in der Schulungssoftware nur von Kennwörtern die Rede ist, ein
Unternehmen aber Tokens, Grid-Karten oder andere Authentifizierungsmittel zur Anmeldung an den
IT-Ressourcen einsetzt. Man muss also genau prüfen, ob die Software die Praxis in der eigenen
Organisation spiegelt oder mit vertretbarem Aufwand entsprechend angepasst werden kann.
Modifikationsfreudig sollte die Software aber auch deshalb sein, weil sie von Zeit zu Zeit neue
Bedrohungen aufnehmen und behandeln können sollte. Entweder muss also die Möglichkeit bestehen, das
Programm in Eigenregie zu erweitern, oder der Anbieter muss regelmäßig Updates zur Verfügung
stellen oder das Programm in stets aktuellem Zustand als Internetdienst hosten.
Beim Abgleich zwischen Programm und Wirklichkeit kann sich im übrigen auch herausstellen, dass
anstelle des Programms die Sicherheitspraxis im Unternehmen angepasst werden muss – so setzen
Lektionen zur Behandlung vertraulicher Informationen zwangsläufig voraus, dass im Unternehmen eine
nachvollziehbare Klassifizierung der gespeicherten Dokumente überhaupt existiert.
Ein Mindestkanon an Themen sollte vom Programm auf jeden Fall angesprochen werden:
E-Mail-Sicherheit samt Malware-Gefahr, das Verhalten beim Surfen auf unbekannten Websites, die
Download-Problematik, der Umgang mit Kennwörtern und mit den erwähnten vertraulichen Daten,
Datenschutzgrundsätze und gegebenenfalls Verschlüsselung. Für besondere Nutzergruppen sind
Spezialversionen angebracht, etwa mit Hinweisen zur Notebookbenutzung für Außendienstler.
Psychologische Tricks
Als innovativ dürfte man Lernprogramme verstehen, die psychologisch verifizierte Prinzipien der
positiven Beeinflussung von Individuen aufnehmen, um die schwierige Aufgabe der Änderung
menschlichen Verhaltens zu meistern. Dazu gehören der Einsatz von Anerkennung und Belohnungen sowie
das Prinzip, dass eine Awareness-Maßnahme besser wirkt, wenn man den Lernenden Hilfsmittel an die
Hand gibt, mit denen sie den neu vermittelten Anforderungen auch gerecht werden können. Die
Lernsoftware könnte etwa nach dem Absolvieren eines Kapitels zu Kennwörtern den Download einer
Freeware freigeben, in der sich Passwörter sicher speichern lassen, und die neben den
Firmenkennwörtern auch die von privaten Surfer-Zielen wie Online-Banken mitverwaltet. Beim
Webzugriff wäre es möglich, erst als Belohnung für die Auseinandersetzung mit dem entsprechenden
Lernstoff einen freien Zugang zum Internet im Unternehmen zu gewähren.
Lesen Sie mehr zum Thema
