Awareness 2012 - Teil 2
Die ganzheitliche Sicht
Kaum ein Mitarbeiter hat Verständnis dafür, wenn ihn verschiedene Sicherheitsabteilungen seines Unternehmens mit unterschiedlicher Terminologie zu Sicherheitsthemen schulen, die aus seiner Sicht zusammengehören. Wer seine Belegschaft erfolgreich sensibilisieren will, sollte deshalb zunächst die Kommunikation zwischen IT-Sicherheit, Datenschutz, physischer Sicherheit und Personenschutz optimieren.Für eine Zusammenarbeit zwischen den verschiedenen Sicherheitsabteilungen einer Organisation gibt es viele wichtige Argumente. Primär geht es um die Wirksamkeit der Security-Abteilungen an sich: Ohne Kooperation zwischen IT-Sicherheit, Datenschutz, physischer Sicherheit und eventuell dem Personenschutz gibt es keine ganzheitliche Informationssicherheit, wie sie etwa das BSI definiert. Der Grund dafür ist, auf welche Weise ernsthafte Angriffe auf Unternehmen heute real ablaufen. Reine Hacker-Attacken, die diffusen Zielen gehorchen oder einfach die Überlegenheit des Hackers über die Spezialisten eines Unternehmens beweisen sollen, sind selten geworden und werden von handelsüblicher Technik gut abgewehrt. Stattdessen steigt die Zahl der wohl überlegten Angriffe mit dem Zweck, Informationen zu stehlen und weiterzuverkaufen oder einem Konkurrenten oder einer Institution einen finanziellen oder Image-Schaden zuzufügen. Strategie und Taktik folgen dabei dem Prinzip der "Blended Threats". Dieser Begriff beschreibt ein mehrkanaliges Vorgehen. Dazu gehört unter anderem Social Engineering mit Social-Media-Auswertung, fingierten Anrufen in der Rolle eines "Insiders" und weiterer manipulativer Kommunikation. Hinzu kommen dann technische Hacks und andere Methoden der Informationsgewinnung wie Müllauswertung, "Hausbesuche" in der Maske von Dienstleistern und so weiter. Jeder kleine Schritt fördert dabei ein wenig mehr Informationen auf dem Weg zum Spionage- oder Sabotageziel zutage, ist für sich aber kaum wahrnehmbar.
Angriffe auf mehreren Kanälen
Erst dann, wenn Beobachtungen verschiedener Sicherheitsabteilungen zusammenlaufen, fällt möglicherweise auf, dass eine Blended-Threat-Attacke im Gange ist: So treten vielleicht in wenigen Tagen unverhältnismäßig viele falsche Eingaben an Authentifizierungssystemen auf, werden ein paar "seltsame" Anrufe gemeldet, beschweren sich einzelne Mitarbeiter über E-Mails ihnen unbekannter "Administratoren" und richten Mitarbeiter wegen offener Türen oder unbekannten Personen in den Fluren Anfragen an ihre Führungskräfte. Moderne Informationssicherheit muss sich wegen der fortgeschrittenen Angriffstechniken immer mehr mit "Aufklärung" befassen als mit Abwehr allein [1].
Es sind jedoch nicht nur konkrete Vorkommnisse, "Incidents", die für eine enge Zusammenarbeit der Sicherheitsabteilungen sprechen. Auch Risiko-Assessments verlangen nach interdisziplinärem Vorgehen. Wer beispielsweise herausfinden will, welche Gefahren den vertraulichen Daten in einer Personalabteilung drohen, muss die Möglichkeiten unerlaubten Zutritts, die Sichtbarkeit von Monitoren aus dem Flur heraus, den Schulungsstand der Mitarbeiter und die Professionalität der IT-Sicherheitsmaßnahmen gleichzeitig betrachten. Er berührt damit die Verantwortungsbereiche aller Security-Spezialisten zugleich.
An dieser Stelle kommt zum ersten Mal die "Awareness" ins Spiel: Zuweilen ist es nötig, die ersten Sensibilisierungsmaßnahmen in einem Unternehmen auf die Sicherheitsabteilungen zu richten. Die Spezialisten müssen anhand der Bedrohungslage und Risikosituationen selbst erkennen, dass sie das erwähnte Ziel ganzheitlicher Informationssicherheit nur gemeinsam Erfolg versprechend verfolgen können. Der zweite Schritt ist dann, wo entsprechende Strukturen noch nicht existieren, der Aufbau einer institutionalisierten Kommunikation zwischen den Bereichen. Sinnvoll sind regelmäßige Meetings, in denen die Beteiligten ihre Beobachtungen aus den unterschiedlichen Sicherheitssektoren diskutieren können. Risikobetrachtungen für Brennpunkte wie etwa die Entwicklungs- oder Personalabteilung sollten grundsätzlich gemeinsam stattfinden.
Bisweilen ist es durchaus problematisch, die passenden Kommunikationspraktiken zu etablieren, da die Perspektiven und kulturellen Hintergründe der Fachleute aus den einzelnen Disziplinen stark voneinander abweichen. IT-Spezialisten etwa sprechen traditionell eine andere Sprache und bevorzugen andere Vorgehensweisen als klassische Sicherheitsingenieure aus den Bereichen Werks- und Personenschutz. Ein Datenschützer oder gar ein Awareness-Beauftragter mit psychologischem Hintergrund schließlich kommuniziert noch einmal auf einer ganz anderen Ebene und muss überdies Aspekte des Mitarbeiterdatenschutzes ins Spiel bringen. Dies birgt Konfliktpotenzial: Wo Sicherheitserwägungen etwa für Videoüberwachung sprechen, muss sich der Datenschutz oft dagegen stellen. Kommt dann noch die "Compliance" ins Spiel, hat man es zusätzlich mit der sperrigen Sprache der Juristen zu tun.
Awareness "mit einer Zunge"
Eine etablierte und "gelebte" Zusammenarbeit zwischen den Sicherheitsabteilungen birgt für eine erfolgreiche Sensibilisierung der gesamten Belegschaft eines Unternehmens erhebliche Vorteile. Mitarbeiter nämlich erleben viele Aspekte der Sicherheit, die im Unternehmen jeweils einer der existierenden Security-Abteilungen fest zugeordnet sind, als zusammengehörig. Der Schutz personenbezogener Daten etwa, die Domäne des Datenschutzbeauftragten, erfordert am PC und im Umgang mit vertraulichen Dokumenten die gleichen Vorgehensweisen wie der Schutz geistigen Eigentums, der in der Verantwortung der IT- und Informationssicherheit liegt und auch die Belange der physischen Sicherheit berührt. Alle drei Gebiete generieren Richtlinien, Sicherheitsstandards und gegebenenfalls Schulungen. Werden hier offensichtlich gleiche Sicherheitsziele mit unterschiedlichen Vorgehensweisen und abweichender Terminologie behandelt, wenden sich Mitarbeiter schnell ab und sehen sich als Zielgruppen nicht ernst genommen. Sie erwarten von den Verantwortlichen zu Recht, die Lerninhalte aufeinander abzustimmen und anwendergerecht aufzubereiten.
Spürbar werden entsprechende Mängel besonders häufig beim Blick auf Richtlinientexte. Kritisch ist es außerdem, wenn die Sicherheitsabteilungen jede für sich bei verschiedenen Herstellern Online-Schulungen "von der Stange" kaufen. Diese sind dann kaum individualisiert, operieren mit inhaltlichen Überschneidungen, weisen nicht die gleiche Bedienung auf und sprechen obendrein die erwähnten unterschiedlichen Sprachen.
Abgesehen von einer disparaten Terminologie und Schulungspraxis kann auch die pure Menge an Schulungen und Richtlinien zum Problem werden. Oft stellen sich Führungskräfte gegen Awareness-Maßnahmen, wenn die Angestellten aus ihrer Sicht zu viel Zeit mit aufwändig koordiniertem Frontalunterricht oder auf Online-Lernplattformen verbringen. Besser aufeinander abgestimmte Schulungen reduzieren deshalb unternehmensinternes Konfliktpotenzial.
Auch dem Lernerfolg kommt ein koordiniertes Vorgehen zugute: Wo weniger zu lernen ist, bleibt mehr in Erinnerung. Überdies haben die Mitarbeiter bei einem abgestimmten Awareness-Ansatz eher die Chance, Informationssicherheit als Ganzes kennenzulernen und die Vorgehensweise moderner Angreifer zu verstehen [2].
Zusammenarbeit mit Fachführungskräften
Der letzte Grund schließlich, warum gemeinsame Anstrengungen zur Mitarbeitersensibilisierung für die Sicherheitsabteilungen von Vorteil sein können, ist die damit verbesserte Position der Security-Spezialisten gegenüber den Fachführungskräften und somit den Vorgesetzten der Mitarbeiter. Viele Unternehmen wissen zu berichten, dass Awareness-Maßnahmen schnell ins Abseits geraten, wenn sie von den Führungskräften als den Vorbildern der Mitarbeiter nicht explizit gestützt werden. Kritik an Awareness-Maßnahmen entsteht aber vor allem dann, wenn Manager Bedenken hegen, die damit verbundenen Schulungen könnten zu viel produktive Arbeitskraft binden. Diesen Befürchtungen wirkt eine koordinierte Sicherheitsschulung entgegen, denn sie reduziert nachweislich den zeitlichen Gesamtaufwand gegenüber dem für mehrere Einzelschulungsstränge. Außerdem trägt es den Sicherheitsverantwortlichen Sympathien ein, wenn sie auch den Führungskräften abgestimmte, auf das Wesentliche komprimierte und damit zielgruppengerechte Informationen bieten können.
Weiterführende Literatur
[1] Vgl. SBIC-Report "Getting ahead of advanced threats. Achieving intelligence-driven Information Security", www.rsa.com/innovation/docs/CISO-RPT-0112.pdf.
[2] Sebastian Broecker: "Warum Awareness nicht funktioniert - oder vielleicht eben doch?!", in Kes 4/2011, S.10, und Bettina Weßelmann: "Warum Awareness oft funktioniert - aber allein noch nicht genügt", in Kes 6/2011, S.16-18.
