Awareness-Diskussion auf dem Konradin-Kongress

Für Menschen gibt es kein Config-File

9. Mai 2006, 23:25 Uhr | Dr. Johannes Wiele

Mit der Security-Technik kommen die meisten IT-Sicherheitsverantwortlichen gut zurecht. Das Einbinden der Mitarbeiter in Sicherheitskonzepte gelingt dagegen seltener. Während einer Podiumsdiskussion auf dem Kongress Security 2005 loteten Spezialisten praktikable Ansätze aus, diese Situation zu verbessern.

Gesucht wird: Der wachsame Angestellte, der gegen Social-Engineering-Angriffe immun ist, die
Grundbegriffe des Datenschutzes beherrscht und beim Umgang mit dem PC und den
Unternehmensressourcen souverän unnötige Risiken vermeidet. Viele Sicherheitsverantwortliche hätten
gern solche Anwender im Haus, wissen aber nicht, wie sie die vorhandenen Mitarbeiter weiterbilden
und zu Verhaltensänderungen bewegen sollen. Fürs Anheuern von Kommunikationsprofis und
Awareness-Kampagnen wiederum fehlt in vielen Organisationen das Geld.

LANline und COMPUTER ZEITUNG brachten Ende 2005 deshalb ausgewählte Spezialisten zu einer
Diskussionrunde zusammen, die Wege aus dieser Misere aufzeigen sollte. Moderiert von Dr. Johannes
Wiele für die LANline und Armin Barnitzke für die COMPUTER ZEITUNG diskutierten Susanne Westphal,
Beraterin und Autorin des Buchs "Unternehmenskommunikation in Krisenzeiten", Rainer Fahs,
NATO-IT-Sicherheitsspezialist und Vorstand der European Expert Group for Information Security
(EICAR), Manuel Hüttl, zweiter EICAR-Vorstand und Kommunikationsberater, Klaus Schimmer,
Marketing-Spezialist und Verantwortlicher für die internen Awareness-Kampagnen im Hause SAP, und
John von Simson, Geschäftsführer des Kölner Sicherheitsdienstleistungsunternehmens BDG, das ein
selbst entwickeltes Lernprogramm für Sicherheitsfragen als Open-Source-Produkt freigeben hat
(vorgestellt in LANline 12/2005, Seite 54).

Die Diskussion startete mit der Frage, welchem Lager der IT-Sicherheitsspezialisten sich die
Anwesenden eher zuordnen würden: Dem, das die Belegschaft als "größtes Risiko" für die
Informationssicherheit versteht, oder dem, das den Angestellten die Rolle der "wichtigsten Firewall"
im Unternehmen zuweist. Bei Klaus Schimmer war die Antwort vorhersehbar, denn seine internen,
jährlich zwischen 300.000 und 400.000 Euro teuren SAP-Kampagnen basieren auf der Vorstellung vom
Mitarbeiter als eigentlicher Abwehrbastion gegen IT-Bedrohungen (siehe auch LANline 7/2005, Seite
Seite 56). Allerdings stellte sich schnell heraus, dass auch die übrigens Sprecher seine Meinung
teilten. So wurde sich die Runde einig, dass zu einem guten Teil das Engagement von
Geschäftsleitung und IT-Administration darüber entscheidet, welche Rolle die Mitarbeiter für die
IT-Sicherheit im Unternehmen spielen können. Schimmer präzisierte dazu seinen Ansatz: "Am Ende sind
es immer die Mitarbeiter, die mit den Informationen im Netz und im Alltag umgehen, und auch die
Technik wird von Mitarbeitern bedient, also können wie Sicherheit nur mit den Menschen erreichen."

Engagement setzt Verständnis voraus

"Dazu allerdings muss man die Mitarbeiter auch kommunikativ mitnehmen", griff von Simson den
Gedanken auf, "und das heißt: Ohne geduldige Erklärungen von Zusammenhängen und daraus
resultierenden Regeln erreicht man nichts." Als Beispiel verwies der Sprecher auf lästige
Kennwort-Vorschriften. "Mit langen Passwörtern und häufigen Wechseln arbeitet nur der freiwillig,
der verstanden hat, wie man ein einfaches Kennwort knacken kann und welche Folgen das für seinen
Arbeitsbereich hätte." Die Vorstellung, man könne sicheres Verhalten einfach per Order erzwingen,
zerstörte ausgerechnet NATO-Security-Spezialist Rainer Fahs: "Das funktioniert vielleicht in einer
militärischen Einheit, die sich gerade im Einsatz befindet, aber sonst nicht einmal in den
Verwaltungseinheiten der NATO." Man müsse zur Förderung der Sicherheit überdies auch gegen die
Tendenz der IT-Abteilungen anarbeiten, jeden Anwender erst einmal grundsätzlich als Feind zu
betrachten.

Wertschätzung beflügelt, Misstrauen lähmt

Bei diesen Punkten hakte Susanne Westphal mit einer für autoritär denkendes Führungspersonal
bitteren Erkenntnis ein: "Nur Kommunikation, die Wertschätzung vermittelt, erreicht einen
Mitmacheffekt. Sobald die Belegschaft hinter Sicherheitsmaßnahmen ein gegen sie gerichtetes
Misstrauen wittert oder glaubt, die Geschäftleitung halte sie für dumm, ist der Erfolg der
Maßnahmen hinfällig." Ihre Erfahrung habe gezeigt, dass die Mitarbeiter durchaus für
Sicherheitsmaßnahmen zu gewinnen seien, weil sich fast jeder tatsächlich für alles interessiere,
was seine Arbeit erleichtere oder gefährde. Selbst Reduzierungen gewohnter Rechte könne man mit
Erklärungen vermitteln – und wenn das nicht helfe, ließen sich Einschränkungen der
Handlungsfreiheit am PC manchmal auch als durchaus willkommene Reduzierung von Komplexität
vermitteln, da sich mancher Mitarbeiter ohnehin durch die Möglichkeiten von PC und Netz überfordert
fühle. Die Unternehmensberaterin ergänzte allerdings auch: "Den Mitarbeiter hinreichend zu
informieren bedeutet auch, ihm den Wert der Informationen verständlich zu machen, mit denen er
arbeitet, also darf er im Unternehmen kein bloßer Befehlsempfänger sein." Als Mittel der Wahl zur
Bewusstseinsveränderung empfahl sie, Geschichten von Angriffen zu erzählen, die entweder gelungen
oder abgewehrt worden seien. "Anekdoten sind Erkenntnisbeschleuniger. Selbst wenn man reale
Vorfälle anonymisieren muss, erreicht man so, dass sich die Belegschaft von sich aus darüber
unterhält und versteht, aus welchen Gründen beispielsweise bestimmte Regeln eingehalten werden
müssen." Fahs stimmte zu und berichtete, reale Vorfälle "erzähle" man bewusst auch NATO-intern zum
Beispiel bei vorgeschriebenen regelmäßigen Awareness-Meetings, so sehr man dort auch bisweilen
Verschwiegenheit bewahren müsste: "Wenn uns ein wichtiger Notebook verloren gehen würde, könnte man
das natürlich nicht einfach herumerzählen." Man müsse den Mitarbeitern außerdem positives Feedback
auf richtiges Verhalten geben, was am besten funktioniere, wenn Lob für gutes Verhalten ohnehin zur
Unternehmenskultur gehöre. Kontrolle und Druck hingegen seien unter allen Umständen
kontraproduktiv.

Plädoyer für eine konstruktive Fehlerkultur

Zentral, so Westphal, sei außerdem eine gut entwickelte Fehlerkultur, in der jeder eventuelle
Patzer ohne Angst zugeben könne. Wenn sich Mitarbeiter aus Angst nicht melden würden, wenn sie sich
etwa einen Virus eingefangen hätten, habe ein Unternehmen ein echtes Risiko geschaffen. Fahs
stimmte zu und ging so weit, den Ausschluss von "Etagenpolizisten" aus der Sicherheitsorganisation
eines Unternehmens zu fordern: "Wer immer nur darauf aus ist, anderen Regelvorstöße nachzuweisen,
stört die Zusammenarbeit und untergräbt dadurch sicheres Verhalten."

"Wenn Mitarbeiter absichtlich gegen Richtlinien verstoßen", erklärte demgegenüber Klaus
Schimmer, "muss es allerdings auch Sanktionen geben" – eine Äußerung, die das Publikum spaltete, da
einigen die Sanktionsforderung bereits zu forsch vorgetragen erschien, während sich andere eher
über die offensichtliche Liberalität des Plenums wunderten. Susanne Westphal forderte,
Sicherheits-Policies auf jeden Fall in die Arbeitsverträge zu übernehmen, gleichzeitig
Führungskräften aber Kommunikationspflichten aufzuerlegen. So könne erreicht werden, dass die
mehrfach geforderten Informationen und die Erklärungen von Sicherheitsmaßnahmen tatsächlich bei der
gesamtem Belegschaft ankämen.

Geschichten erzählen auf allen Kanälen

Eine sicherheitsfördernde Kommunikationsatmosphäre zu schaffen, sei ein wirkungsvoller Schritt
auch für Firmen mit kleinem Budget, zogen die Spezialisten schließlich ihr Resümee. Manuel Hüttl
allerdings wies darauf hin, dass in diesem Fall die Unternehmensleitung voll hinter der Strategie
stehen müsse: "Sonst scheitert alles an den bekannten Kommunikationsschwierigkeiten zwischen
Technik, Management und Belegschaft und daran, dass man die IT-Verantwortlichen mit den
Sicherheitsaufgaben allein lässt." "Das ist richtig – selbst bei uns ist eine Rund-Mail des
Vorstands noch immer das wirkungsvollste Instrument", stützte Schimmer die These Hüttls, und
Susanne Westphal ergänzte: "In den meisten Fällen sind Vorgesetzte für Mitarbeiter die
vertrauenswürdigste Quelle, wenn es um die Bewertung von Veränderungen wie neuen Maßnahmen geht.
Außerdem tragen in fast jedem Unternehmen etwa 20 Prozent der Personen 80 Prozent der internen
Kommunikation – diese Menschen muss man zuerst identifizieren und einbinden."

Aufmerksamkeit sichern mit Technik-News

Zum Erhalt des Sicherheitsbewusstseins sei ein Mix unterschiedlicher Medien das beste, einigten
sich Hüttl und Schimmer: Mails, Schulungen, Poster, Plakate, Giveaways – man müsse alles einsetzen,
was das Budget hergebe, komme aber auch mit kostengünstigen Mitteln wie dem Open-Source-Produkt von
BDG durchaus weiter. Die Frage der Moderatoren, ob man die Belegschaft nicht hin und wieder auch
mit einem Scherzvirus aufrütteln könnte, quittierte die Runde allerdings mit heftigem
Kopfschütteln: Das sei zu risikoreich und rechtlich bedenklich.

Blieb noch die Frage, wie ein einmal errungenes Sicherheitsbewusstsein auch langfristig wach
gehalten werden könne. Von Simson hielt dies für nicht allzu problematisch: "Zum Glück gibt es in
unserer Branche ja immer technische Neuerungen, an denen man mit neuen Geschichten anknüpfen kann."

Info: BDG Web: www.bdg.de

Info: Eicar Web: www.eicar.org

Info: SAP Web: www.sap.de

Info. Susanne Westphal Web: www.suewest.de


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+