Security Awareness: Die Mitarbeiter zu Aktivisten machen

Die Sicherheit ihrer IT-Systeme ist für deutsche Unternehmen zum Dauerthema geworden. Und während sie ihre Geschäftsprozesse weiter digitalisieren, Geräte und Sensoren vernetzen oder mobile Devices zum Einsatz bringen, verschärft sich die Lage noch. Den gesamtwirtschaftlichen Schaden durch Wirtschaftsspionage, Datendiebstahl oder Sabotage beziffert der Branchenverband Bitkom schon jetzt auf rund 55 Milliarden Euro – jährlich. Das entsprechende Problembewusstsein ist in den Führungsetagen längst vorhanden: So planen 75 Prozent der deutschen Unternehmen künftig stark oder sehr stark in ihre IT-Security zu investieren (Lünendonk-Studie 2017 „Der Markt für IT-Beratung und IT-Services in Deutschland“).

Diese Investitionen sind auch notwendig, wenn Unternehmen, die gesetzlichen und vertraglichen Regeln zur IT-Compliance dauerhaft einhalten wollen. Schließlich sind Informationssicherheit, Datenschutz oder das Management von Lizenzen unternehmenskritische Bereiche. Werden sie vernachlässigt, kann das zu Imageschäden, abwandernden Kunden und ernsten juristischen Konsequenzen führen. Die Verantwortlichen versuchen daher – mit hohem technischen und organisatorischem Aufwand – Sicherheitsmaßnahmen zu identifizieren und umzusetzen, um Standards wie dem IT-Grundschutz, ITIL oder ISO 27001 zu genügen. Aber bei der technischen Aufrüstung rutscht eine Schwachstelle immer wieder aus dem Fokus: Die Security Awareness der Mitarbeiter. Deren Sensibilität für Sicherheitsfragen und ihre Bereitschaft, Verhaltensweisen zu verändern, sind zentrale Stellschrauben, um die Wirksamkeit eines Sicherheitskonzepts drastisch zu erhöhen.

Awareness ist mehr als Regelkunde

Die Anwender tragen eine große Verantwortung und schon das allzu sorglose Öffnen von E-Mail-Anhängen kann jedes Security-Konzept torpedieren. Dennoch schult nicht einmal jedes zweite deutsche Unternehmen seine Mitarbeiter regelmäßig in IT-Sicherheit – so das Ergebnis einer aktuellen Umfrage der Bundesdruckerei. Ein Problem dabei: Viele Unternehmen stellen zwar Verhaltensregeln und Sicherheitsrichtlinien auf. Allerdings ist schwer festzustellen, ob diese auch eingehalten werden. Häufig werden sie es nicht. Denn Anwender empfinden Verhaltensregeln schnell als unbequem und lästig, wenn sie Mehraufwand verursachen und Aufmerksamkeit für ein Thema jenseits der eigentlichen Jobbeschreibung erfordern. Zudem sorgen abstrakte Sicherheitsrichtlinien nicht unbedingt dafür, dass sich Mitarbeiter ein entscheidendes Element zu eigen machen: Security Awareness, das kritische Bewusstsein für IT-Sicherheit.

Gefahrenmuster erkennen

Und wie wird diese Awareness geweckt und wach gehalten? Zunächst ist es wichtig, die Mitarbeiter nicht mit Regeln und Informationen zu überfrachten, die fern von ihrem jeweiligen Arbeitsumfeld liegen. Der Kollege aus der Personalabteilung interessiert sich wenig für den Sicherheitsgewinn durch VPN-Verbindungen auf mobilen Devices – der Vertriebsmitarbeiter im Außendienst durchaus. Hier zählt die individuelle Ansprache. Natürlich gibt es auch generelle Fragen, die praktisch jeden im Unternehmen betreffen: Wie kann man herausfinden, ob eine Download-Website frei von Schadsoftware ist? Welche Dateiformate lassen sich über die Gateway-Security-Systeme aus dem Internet beziehen? Wie sollen E-Mail-Empfänger mit bestimmten Arten von Dateianhängen umgehen? Wie lässt sich ein Passwort so generieren, dass es zugleich sicher und benutzbar ist?

Aber bei Awareness geht es nicht einfach darum, reihenweise Einzelfälle durchzuspielen. Vielmehr sollten die Mitarbeiter verstehen, welche Muster auf mögliche Gefahren hindeuten. Diese Muster im Bewusstsein zu haben hilft, wenn im Arbeitsalltag unter Zeitdruck Entscheidungen getroffen werden müssen. Entsprechend wenig taugt ein zwanzigseitiges Textdokument zur Sensibilisierung der Mitarbeiter. Stattdessen sollten alle Informationen so vermittelt werden, dass sie leicht zu verstehen und zu merken sind. Dazu können Visualisierungen, Poster, Flyer, Videos und zielgruppenspezifische Seminare beitragen – ebenso wie Intranet-Seiten mit weiterführenden Informationen und Links. Wesentlich ist immer, bei den Mitarbeiterinnen und Mitarbeitern die Motivation zu wecken, sich mit der IT-Security dauerhaft auseinanderzusetzen. Das gelingt leichter, wenn die Informationen spannend aufbereitet werden. Und nebenbei steigt damit die Chance, dass die Mitarbeiter sich darüber austauschen und Viralität entsteht.

Der Chef macht mit

Um bei den Mitarbeitern zusätzliches Engagement für das Thema zu erzeugen, kann ein Hinweis auf die private Gefährdung helfen: Raffinierte Systeme für gute und erinnerungsfähige Passwörter machen schließlich auch die persönlichen Accounts sicherer und Sicherheitstipps zu Phishing nutzen ebenso im privaten Mailverkehr und bei Social-Media-Plattformen.

Im Change Management gilt der Grundsatz: „Man muss die Betroffenen zu Beteiligten machen.“ Auch bei Awareness-Kampagnen geht es im Grunde um einen Change – den nachhaltigen Wandel im Verhalten. Deshalb ist es so wichtig, die Mitarbeiter über die schweren Konsequenzen von Datenverlust, Spionage oder Betrug aufzuklären. Ganz entscheidend gehört dazu das klare Signal, dass die Mitarbeiter-Awareness Chefsache ist. Die hohe Bedeutung und das Mitwirken der Führungsetage sollten in der gesamten Kommunikation erkennbar sein.

Zurück zur Übersicht

E-Book:
Kernkompetenzen agilen Führens und Arbeitens in der IT

ZUM DOWNLOAD

E-Book: Agiles Projektmanagement mit Scrum


ZUM DOWNLOAD

E-Book:
Stressbewältigung: 10 Tipps für einen entspannten Tag

ZUM DOWNLOAD

E-Book: Tipps für mehr Durchsetzungs-
vermögen

ZUM DOWNLOAD

Ein Fehler ist aufgetreten. Bitte versuchen Sie es später noch einmal