Der Mitarbeiter in Sicherheitsprozessen – das stärkste Glied in der Kette

Viele Organisationen versuchen, mit Verboten, Policies und Regelwerken gegen Datenverlust auf ein unsicheres Verhalten von Mitarbeitenden zu reagieren. Doch leider sind Menschen, wie sie sind, und halten sich nicht immer an das, was man ihnen vorgibt. Tatsächlich versuchen Organisationen seit Jahren, ihre Mitarbeiter zu sensibilisieren und die Akzeptanz für das Thema Informationssicherheit zu erhöhen. Mit mässigem Erfolg. Wer die IT und Informationssicherheit als «Enabler» zu einer nachhaltigen Informationssicherheit entwickeln will, muss seine Unternehmens- und Kommunikationskultur ändern.

Als ich kürzlich am Flughafen Zürich auf meinen Abflug wartete, zog es meine Blicke automatisch auf das Notebook meines Nachbarn, der gerade geschäftliche E-Mails bearbeitete. Es war ganz einfach mitzulesen. Was ich sah, wollte ich eigentlich gar nicht wissen. Genau genommen, durfte ich es auch nicht wissen. Denn die Informationen waren nicht für mich bestimmt. Gerät Wissen dieser Art in falsche Hände, kann für das Unternehmen grosser Schaden entstehen.

Was mich dabei beschäftigt, ist die Tatsache, dass der Benutzer dieses Notebooks derart in seine Arbeit vertieft war, dass er wohl keinen Gedanken an die Gefahr des Informationsverlustes verlor. Diese Haltung ist weitverbreitet und beschreibt das eigentliche Problem der IT-und Informationssicherheit: Die Anwender sind zu wenig sensibilisiert, die tägliche Arbeitsüberlastung sorgt für ein «Entsichern» der Mitarbeitenden, wenn es um den Schutz von Daten und Informationen geht.

Doch finde ich, dass Unternehmen mit dem «Paradoxum» leben müssen, dass der Mitarbeiter an sich nicht nur den vermutlich grössten Risikofaktor darstellt, sondern auch den wichtigsten Wert für das Unternehmen. Um dieses Paradoxum aufzubrechen, braucht es nachhaltige und wirksame Security-Awareness-Kampagnen, eine klare und verständliche Kommunikation und auch die Vorbildfunktion und das Committment des Managements – ohne das läuft in der Regel gar nichts.

Dabei reden wir seit mehr als zehn Jahren über das Thema Sensibilisierung der Nutzer für Sicherheitsthemen. Offensichtlich will es einfach nicht in die Köpfe der Mitarbeiter. Selbst vorbildliche CISOs, die ihre Mitarbeiter in Schulungen über Security und ihre Anwendung im Alltag informieren, müssen feststellen, dass bestimmte Vorgaben zwar kurz nach der Schulung von vielen eingehalten werden, die Akzeptanz im Laufe der Zeit jedoch wieder stark nachlässt. Bei näherer Betrachtung wird klar, dass das Thema nicht richtig verankert ist und dass in der Kommunikation Fehler gemacht werden.

Fokus auf die Mitarbeitenden richten

Weil der Mensch den grössten Risikofaktor darstellt, sollten sich Sicherheitsverantwortliche intensiver mit ihm beschäftigen. Es klingt paradox, aber die grösste Aufmerksamkeit erhält ein Mitarbeiter vor Beginn und nach Beendigung seines Arbeitsverhältnisses. So haben die Personalabteilungen klare Prozesse für die Phasen Rekrutierung, Einstellung und Ausstellung. Aber was geschieht in der Zeit dazwischen? Die meisten Unternehmen schauen auf die kritischen Schnittstellen und auf Veränderungsprozesse bei den Mitarbeitern selbst, nicht aber auf den Standard im Alltag. Es ist nicht der chinesische Praktikant, der die Daten stiehlt. Vielmehr muss sich der Blick manchmal auf jene richten, die überhaupt nicht im Visier der Sicherheitsmenschen sind. So kann ein 50-Jähriger mit zwei Kindern, der seit fünf Jahren im Unternehmen ist, ein weitaus höheres Risiko darstellen, wenn dieser beispielsweise durch Scheidung finanziell unter Druck gerät. Auch wenn er die Jahre über ein loyaler Mitarbeiter war, kann sich das sehr schnell ändern. Und er kennt die «Kronjuwelen» des Unternehmens besser als ein Praktikant, der für sechs Wochen im Betrieb mitarbeitet. Vor dem Hintergrund, dass einer GULP-Studie zufolge lediglich 60 Prozent der Mitarbeiter loyal gegenüber ihrem Unternehmen stehen und 25 Prozent nichts mehr mit ihm zu tun haben wollen, ist eine stärkere Fokussierung auf den einzelnen Mitarbeiter ratsam.

Unternehmenskultur beleben

Wer eine stabile Sicherheitskultur im Unternehmen aufbauen und das Risikobewusstsein bei seinen Mitarbeitern verankern will, muss seine Unternehmenskultur beleben. Sie trägt zu einer höheren Identifizierung der Mitarbeiter mit dem Unternehmen bzw. seinen Werten und infolge dessen zu einer höheren Loyalität bei. Loyale Mitarbeiter sind dem Unternehmen wohlgesonnen und können die Werte des Unternehmens kommunizieren. Häufig macht das Management den Fehler, Werte top-down herunterzubrechen, in der Erwartung, dass sie von den Mitarbeitern übernommen werden. Das funktioniert nicht. Werte lassen sich nicht diktieren, sie müssen verstanden werden. Um bei den Mitarbeitern ein Risikobewusstsein zu schaffen, bedarf es einer vernünftigen Kommunikation. Dazu muss der Mitarbeiter aber auch als Mensch angesprochen werden. Gerade in Grossbetrieben werden Angestellte häufig unter Mitarbeiternummern geführt. Das mag aus organisatorischen Gründen sinnvoll sein, psychologisch betrachtet ist es kontraproduktiv. Ein Mensch will nicht als Nummer geführt werden. Und von einer Nummer kann auch keine Loyalität erwartet werden. Kein Wunder, dass bei Unternehmen, die ihre Mitarbeiter unter Nummern führen, häufiger Sicherheitsvorfälle auftreten.

Der Schlüssel: Loyalität

Loyalität von Mitarbeitenden kann man eben nicht einfach erwarten, sondern muss sie gestalten. Der Mitarbeiter muss sich mit seiner Arbeit, seinem Unternehmen, seinem Vorgesetzten verbunden fühlen. Diese Verbundenheit kreiert ein Verantwortungsgefühl, das sich dann nicht mehr nur auf die eigene Person bezieht, sondern sich z.B. auch auf die ganze Abteilung oder das Unternehmen ausweiten kann. Der loyale Mitarbeiter fühlt sich dem Unternehmen verbunden und für dessen Erfolg mitverantwortlich, ergo behält er die Belange und Forderungen desjenigen, zu dem er sich loyal verhält, bei all seinen Handlungen im Hinterkopf.

Wer die Arbeitsprozesse des Nutzers versteht, findet einfache, praktikable Lösungen, die dann auch von den Mitarbeitern unterstützt werden: Ein CISO einer Bank ärgerte sich, dass einige Angestellte ihre Rechner während der Mittagspause nicht sperrten und entwickelte eine simple, aber sehr gut funktionierende Lösung. Er koppelte den Betrieb der Rechner an die Signaturkarte. Die Mitarbeiter benötigen diese, um in andere Räume zu kommen, für die Nutzung des Kopierers und für die Bezahlung in der Kantine. Damit hat der CISO sichergestellt, dass die Mitarbeiter ihre Karte beim Verlassen des Arbeitsplatzes mitnehmen und somit automatisch ihre Rechner sperren. Die Mitarbeiter wiederum akzeptierten die Massnahme von Beginn an, weil sie den Sinn verstanden und weil die Umsetzung automatisch erfolgte.

Wirkungsvolle Awareness-Kampagnen

Benjamin Franklin sagte einmal: «Tell me and I forget, teach me and I may remember, involve me and I learn.» Diese Erkenntnis lässt sich auf die Vermittlung von Sicherheitsthemen im Unternehmen übertragen. Wer nur darüber redet, wird scheitern, wer das Thema veranschaulicht, erntet das eine oder andere Kopfnicken. Wer aber nachhaltige Wirkung erzielen will, bezieht die Menschen in das Thema mit ein. Aus diesem Grund gehen immer mehr Unternehmen dazu über, Awareness-Kampagnen zu initiieren, die genau darauf ausgerichtet sind. Sie tragen dazu bei, dass Informationssicherheit von den Mitarbeitern wahrgenommen wird, die Schwachstellen für jeden sichtbar werden, und positionieren sie im richtigen Kontext.

Fazit

Die Sensibilisierung von Mitarbeitenden und die damit verbundenen Massnahmen oder die Security-Awareness-Kampagne als solche führen nicht nur zu einer Kulturveränderung, sondern schreien auch nach Organisations- und Prozessanpassungen im Unternehmen. Wenn Mitarbeiter während der Awareness-Kampagne zu Verhaltensänderungen angeregt werden, bekommen IT- und Organisationseinheiten viel zu tun. Denn wenn Mitarbeiter sensibilisiert werden, werden sie auch aktiv! Sollen sie sich sicher verhalten, müssen die Rahmenbedingungen stimmen. Aufgeworfene Fragen müssen adressiert und beantwortet werden können und das geforderte Verhalten muss in der Praxis umsetzbar sein. Was hilft es, Mitarbeitern zu erklären, dass Dokumente wegzuschliessen sind (CleanDesk-Ansatz), wenn der Schlüssel für den Aktenschrank nicht aufzufinden ist, oder wenn vertrauliche Dokumente geschreddert werden müssen, in der Abteilung aber nirgends ein Schredder zur Verfügung steht? Erfolgreiche Security Awareness ist also nicht nur Sensibilisierung auf Sicherheit, sondern zusätzlich Ermöglichen von sicherem Verhalten.

Menschliches Verhalten ist nicht so einfach «programmierbar». Viele Faktoren müssen mitberücksichtigt werden, die das Verhalten mit beeinflussenden. Informationssicherheit ist entsprechend mehr als nur die reine Technik. Die IT-Verantwortlichen sollten davon abkommen, immer nur digitale Werkzeuge – reine Technologie – zum Schutz von unternehmenseigenen Daten und Informationen einzusetzen. Eine wirkungsvolle und nachhaltige Informationssicherheit funktioniert, wenn sie einen Querschnitt durch das ganze Unternehmen, durch alle Prozesse und Hierarchien macht. Eine Sicherheitskultur lässt sich eben nur dann etablieren, wenn es auch eine gelebte und aktive Unternehmenskultur gibt. Das eine funktioniert ohne das andere nicht und das macht Awareness recht schnell zu einem komplexen Vorhaben – und für viele Unternehmen aber auch CISOs – zu einem Abenteuer.

Security Awareness im Unternehmen In diesem Kurs lernen Sie, wie Sie Ihr Unternehmen mit Hilfe Ihrer Mitarbeitenden gegen Sicherheits- und Betrugsfälle von aussen schützen können. Ihr Trainer: Sascha Maier Zu den Kursdetails

In diesem Kurs lernen Sie, wie Sie Ihr Unternehmen mit Hilfe Ihrer Mitarbeitenden gegen Sicherheits- und Betrugsfälle von aussen schützen können.

Ihr Trainer: Sascha Maier

Zu den Kursdetails