Mit fähigen Anwendern steigt das Sicherheitsniveau
Mit Awareness-Maßnahmen wecken Unternehmen das Sicherheitsbewusstsein ihrer Mitarbeiter. Das ist ein Gewinn, aber doch nur ein Teilerfolg: Die Sicherheitsanforderungen der Zukunft verlangen nach Führungskräften und Mitarbeitern, die das Ziel "Security" selbstständig verfolgen.
Prognosen für die Zukunft der Informationssicherheit mögen eine heikle Angelegenheit sein, aber ein paar feste Ausgangspunkte dafür gibt es sehr wohl. Am einfachsten zu beurteilen ist dabei der Be¬reich der Technik. Die heute vorhandenen Produkte decken alle Bereiche, die zum "Grundschutz" gehören, zuverlässig ab. Standardangriffe aus dem Internet, Gelegenheitshacker, Allerweltsviren und Spam lassen sich damit angemessen bekämpfen.
Diese Aspekte beschreiben allerdings nur das Grundrauschen der Risiken, denen ein modernes Unternehmen ausgesetzt ist. Was für die Zukunft deutlich mehr Sorgen macht, sind Aspekte, auf die die Technik allein keine wirksamen Antworten hat.
Menschen als Angriffsziel
Der erste Punkt ist dabei die Zunahme gezielter Angriffe. Kriminelle haben Unternehmen heute aus unterschiedlichen Motiven heraus im Visier: Im einfachsten und häufigsten Fall wollen sie lediglich Rechner kapern oder Zugangsdaten zu internen Ressourcen erlangen, um damit verschiedenen Erwerbsmodellen der Schattenwirtschaft nachzugehen. Immer häufiger aber betreiben die Angreifer auch Wirtschaftsspionage. Dies geschieht entweder im direkten Auftrag – oder auf Verdacht in der Hoffnung, für einmal aufgedeckte Informationen auch einen Käufer zu finden. Hier ist die Technik allein als Gegenmittel überfordert, weil die Spione ihren Weg ins Unternehmen nicht allein über Internetzugänge suchen. Sie wirken auch direkt auf Mitarbeiter ein.
Gleichzeitig wird das Umfeld, in dem Informationssicherheit betrieben wird, immer komplexer. Compliance-Anforderungen spielen dabei eine große Rolle. Selbst aus der Sicht von Unternehmen, die nur national operieren, ist die Zahl der Vorschriften schon nahezu unüberschaubar. Firmen, die international aktiv sind, haben es noch schwerer und kommen ohne ständige juristische Fachberatung kaum mehr zurecht. Plagen müssen sie sich vor allem damit, die identifizierten Anforderungen auch in technische und organisatorische Maßnahmen umzusetzen. Dies gelingt nur mit fähigen Mitarbeitern aus allen Arbeitsbereichen und Führungsebenen, die die abstrakten Vorgaben für ihre Fachabteilungen in die passenden Verfahren und Maßnahmen übersetzen können.
Datenschutz und Sicherheit miteinander vereinbaren
Der dritte Punkt ist der verschärfte Konflikt zwischen Sicherheit und Datenschutz. Mit peinlichen Datenverlusten einerseits und überzogener Spionage bei Mitarbeitern andererseits hat sich die Wirtschaft hier ein Gemengelage aus wachsender Sensibilität in der Öffentlichkeit, Misstrauen gegenüber Managern, schlechter Presse und zunehmender öffentlicher und politischer Kontrolle eingebrockt, das seinesgleichen sucht.
Nicht alles davon ist aus unverantwortlicher Nachlässigkeit einerseits oder Big-Brother-Mentalität andererseits entstanden. Zu einem guten Teil zeugen die bekannt gewordenen Vorfälle einfach von Hilflosigkeit. Führungskräfte sind daran gescheitert, immer höhere Sicherheitsanforderungen in einer wirtschaftlich turbulenten Zeit auf eine Weise zu erfüllen, die abstrakten Normen ebenso gerecht wird wie der Konstitution der Menschen, die die Vorgaben während ihrer Arbeit umsetzen müssen.
Zu regeln statt zu kontrollieren hätte oft geholfen. Dazu allerdings muss man technische und orga-nisatorische Informationssicherheit so gut verstehen, dass man Ansatzpunkte für sanfte Regelungen überhaupt wahrnimmt und die plakativ vorgetragenen, vereinfachenden Lösungsangebote der Überwachungsindustrie nicht überschätzt. Man muss erkennen, wo diese Ansätze Grenzen haben und wann ihre Nebenwirkungen die erwünschte Wirkung ad absurdum führen.
"Empowerment" als Lösung
Wenn die bisher vorgetragene Situationsanalyse auch nur ansatzweise richtig ist, muss zukunftsorientierte Informationssicherheit zwangsläufig auf Menschen bauen, die auf diesem Gebiet mehr wissen und können als heute. Awareness-Maßnahmen müssen das Niveau des kultivierten Angstmachens hinter sich lassen. Trainer sollten mit den Mitarbeitern in den Organisationen sicheres Verhalten intensiv diskutieren und es dann auch einüben.
Der Begriff, mit dem man es hier immer häufiger zu tun haben wird, lautet "Empowerment". Empowerment ist das psychologische Fachwort für Maßnahmen, die einem Menschen die souveräne Bewältigung von Aufgaben ermöglichen, für die er – etwa durch seine Ausbildung oder Erfahrung – nicht unmittelbar disponiert ist. Beim Arbeitsgebiet Informationssicherheit trifft genau dies auf die meisten Mitarbeiter in den Unternehmen exakt zu. Eine Investition auf diesem Gebiet nützt Unternehmen nicht mehr allein mittelbar durch Risikoverminderung, sondern auch durch die Entwicklung größerer Flexibilität und Schlagkraft. Eine Belegschaft nämlich, die Sicherheitsziele von vornherein mit in ihre Handlungsentscheidungen einbezieht, muss im Detail weniger überwacht werden. Man kann ihr einen größeren Handlungsspielraum gewähren, der der Reaktionsfähigkeit in Krisenzeiten zu Gute kommt.
Coaching für Führungskräfte
Eine besondere Rolle für Informationssicherheit und Datenschutz haben die Führungskräfte in den Organisationen – und zwar gerade diejenigen, die mit den Arbeitsfeldern IT und Informationssicherheit bisher nur als interne Kunden der IT-Abteilungen zu tun hatten. Dies gilt nicht nur, weil sich die Mitarbeiter auch in Sicherheitsbelangen eher an den Chefs ihrer Fachabteilungen orientieren als an IT-Administratoren oder Sicherheitsbeauftragten. Die mehrfach erwähnte Umsetzung von Sicherheitsvorgaben in Verfahren, die zur Praxis und Kultur eines Unternehmensbereichs wirklich passen, kann nur dessen Leitung in aktiver Zusammenarbeit mit den Sicherheitsfachleuten eines Unternehmens leisten. Aber auch für die bisher technisch orientierten Security-Spezialisten, die sich in Zukunft stärker mit den Fachabteilungen abstimmen müssen, sind Fortbildungsmaßnahmen und beratende Unterstützung sinnvoll.
Coaching dürfte hier der erfolgversprechendste "Empowerment"-Ansatz sein. Die Bewältigung der Aufgabe Sicherheit enthält nämlich höchst persönliche Komponenten – allein schon deshalb, weil in einem dynamischen Unternehmen eine buchstabengetreue Umsetzung aller externen Vorgaben und die Ausschaltung sämtlicher Risiken nie in allen Bereichen möglich sein werden. Optimale Sicherheit für einen Unternehmensbereich bedeutet immer individuelle Kompromisse zwischen Sicherheit und unternehmerischer sowie persönlicher Freiheit, Risikosituation, interner Kultur und Budget. "Security" wird so zu einem unternehmerischen Arbeitsgebiet, das Managern immer mehr Kreativität abverlangt.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by DisqusWeitere Artikel zum Thema
alle Artikel zum Thema
© 2012 FEiG & PARTNER