Security Awareness in Unternehmen und Organisationen

„69 Prozent aller Opfer von Malware-Attacken geben an, dass der Vorfall durch ein anderes Verhalten von Mitarbeitern hätte verhindert werden können.“ (<kes>/Microsoft‐Sicherheitsstudie (2014), S. 2)

„79 Prozent der befragten Unternehmen meinen, dass eigene Mitarbeiter zumindest eine Mitverantwortung an einem Datenabfluss gehabt hätten.“ (<kes>/Microsoft‐Sicherheitsstudie (2014), S. 2)

Das bedeutet, dass die bestehenden Awareness-Maßnahmen sowohl qualitativ als auch quantitativ konsequent ausgebaut werden müssen, um den Herausforderungen der Zukunft zu genügen. Unter einer Steigerung der Qualität verstehe ich dabei die fortwährende Weiterentwicklung der Maßnahmen hinsichtlich geeigneter Methoden zur ganzheitlichen Einbindung des Menschen in das Sicherheitskonzept von Unternehmen.

Die Quantität betrifft vor allem den Verbreitungsgrad der Awareness. Bislang liegt es im Ermessen der Geschäftsführung, ob und in welchem Umfang Awareness-Maßnahmen in einem Unternehmen bzw. einer Organisation durchgeführt werden. Dieser Zustand ist nicht befriedigend, da eine objektive Einschätzung der tatsächlichen Bedrohungslage in vielen Unternehmen nicht stattfindet beziehungsweise Awareness-Maßnahmen aus Kostengründen abgelehnt werden.

Awareness – als Prävention

„Unter Awareness verstehen wir Maßnahmen zu Sensibilisierung, Schulung und Training. Sensibilisierung bedeutet, sic auf ein für das Unternehmen wichtiges Problem aufmerksam machen. Schulen heißt, Lösungen für das Problem anzubieten und zu vermitteln. Training hat den Sinn, diese Lösungen in der Praxis zu üben.“ (KERSTEN, HEINRICH / KLETT, GERHARD (2005))

Awareness soll die Mitarbeiter also in die Lage versetzen, sich der Risiken im Umgang sowohl mit der Technik als auch mit anderen Menschen bewusst zu werden, diese besser einschätzen zu können und ihre Handlungsweise entsprechend den gewonnenen Erkenntnissen zu ändern.

Ziel ist das sicherheitskonforme Verhalten der Mitarbeiter. Wenn auf ein für das Unternehmen wichtiges Problem aufmerksam gemacht werden soll, muss dazu dieses für das Unternehmen wichtige Problem erst einmal identifiziert werden. Daraus ergeben sich weitere Fragen, die beantwortet werden müssen:

1. Wer kann diese Aufgabe übernehmen?
2. Welche Herangehensweise ist dafür geeignet?
3. Wie kann eine sinnvolle Wichtung der Probleme erfolgen?

Der Mensch ist das zentrale Element in der Sicherheitskette. Er befindet sich (an der Schnittstelle) zwischen den Prozessen und Produkten.

„Wo der Mensch intervenierend in sicherheitsrelevante Prozesse oder Arbeitsabläufe einwirkt, ist er automatisch Teil der Sicherheitskette. Dabei muss jedes Glied dieser Kette stark sein, sonst wird sie den ihr zugedachten Zweck, Sicherheit zu gewährleisten, nicht erfüllen können. Wer also ein nachhaltiges Risiko- beziehungsweise Sicherheitsmanagement anstrebt, der kommt an der Einbeziehung des ‚Faktors Mensch‘ nicht vorbei.“ (HELISCH, MICHAEL / POKOYSKI, DIETMAR (2009))

Betrachten wir den Menschen als zentrales Glied der Sicherheitskette und die auf ihn einwirkenden Faktoren etwas genauer. Willy Christian Kriz bezeichnet Menschen als „nicht triviale Maschinen, zumindest nach humanistischer und systemischer Auffassung. So reagiert ein Mensch auf denselben Reiz anders, wenn er ängstlich ist, als wenn er sich selbstsicher fühlt.“

Die Reaktion eines Menschen auf denselben äußeren Reiz muss folglich in zwei unterschiedlichen Situationen nicht zwangsläufig die gleiche sein. Halten wir also zwei wesentliche Aussagen fest:

1. Der Mensch ist das zentrale Glied der Sicherheitskette.
2. Der Mensch ist eine „nicht triviale Maschine“.

Aus diesen beiden Aussagen lässt sich folgender Schluss ziehen: Der Mensch (als zentrales Glied der Sicherheitskette einerseits und als nicht triviale Maschine andererseits) sollte entsprechend seiner Bedeutung in das Sicherheitskonzept einbezogen werden.

Mark Baier, Awareness-Trainer beim Arbeitskreis Datenschutz, dazu:

"Das Ziel ist eine ganzheitliche, also systemische Awareness."

Thomas Gordon beschreibt anhand der menschlichen Bedürfnisse Möglichkeiten für die ganzheitliche Einbindung des Menschen. Nur wenn alle seine Bedürfnisse vollständig befriedigt werden, kann er ein zuverlässiges Element der Sicherheitskette werden.

Ein möglicher Lösungsansatz zur Befriedigung dieser Bedürfnisse ist ein dauerhaft im Unternehmen präsenter Kommunikator. Dieser zeichnet sich sowohl durch genaue Kenntnis der unternehmensinternen Prozesse und Produkte als auch durch die für eine fruchtbare Kommunikation erforderlichen psychologischen und pädagogischen Fähigkeiten aus. Diesen Kommunikator bezeichne ich als Security-Awareness-Beauftragten.

Eine wirksame Awareness ...

... innerhalb von Unternehmen und Organisationen ist mittels eines „Security-Awareness-Beauftragten“ (SAB) möglich.

Dieser gibt den Mitarbeitern effektive Hilfestellung bei der sicherheitskonformen Bewältigung des täglichen Arbeitspensums. Seine Kern-Aufgaben bestehen sowohl in der Planung und Durchführung von zielgruppengerechten Weiterbildungs- und Schulungsveranstaltungen als auch in der Förderung einer geeigneten Kommunikationskultur innerhalb des Unternehmens.

Dazu ist die Durchführung einer Vielzahl von Maßnahmen erforderlich. Der Security-Awareness-Beauftragte übernimmt somit dringend zu erfüllende Aufgaben, die aufgrund der dafür erforderlichen Qualifikation sowie deren Umfang von anderen Mitarbeitern nicht sinnvoll ausgeführt werden können. Das Ziel ist eine ganzheitliche, also systemische Awareness. Diese vereint bewährte Maßnahmen mit neuen Ansätzen. Der Security-Awareness-Beauftragte trägt somit entscheidend zur Erhöhung der Sicherheit in Unternehmen und Organisationen bei.

Arbeitskreis Datenschutz, Mail 

Bilder: (1) © ra2 studio / fotolia.com (2) © Arbeitskreis Datenschutz (3) experten-netzwerk GmbH