Management und Wissen

Sicherheits-Sensibilisierung

Trust statt Tricks

Von André Kneiphoff, Frankfurt

Das Geld für ein teures Sicherheitskonzept ist fehlinvestiert, wenn die Mitarbeiter nicht auf allen Ebenen mitziehen. Doch wie können Unternehmen erreichen, dass alle Mitarbeiter geschlossen hinter einem Sicherheitskonzept stehen? Das Rezept heißt "miteinander statt von oben herab".

Wenn es darum geht, wie man die Unterstützung sämtlicher Mitarbeiter für eine Security Policy gewinnen kann, werden Sicherheitsberater häufig gefragt, welche Motivations-Tricks sie auf Lager haben. Die Antwort sollte klar sein: keine. Keine Tricks! Denn niemand lässt sich für ein Sicherheitskonzept mithilfe von Tricks gewinnen. Techniken aus der Trickkiste der Motivationskünstler mögen oberflächlich betrachtet wirken. Bei näherem Hinsehen zeigt sich aber ein gefährlicher Schmutzrand von Manipulation. Menschen haben empfindliche Sensoren für Manipulation – und wer sich manipuliert fühlt, dessen Unterstützung für ein Sicherheitskonzept ist bestenfalls halbherzig.

Eine der zentralen Instanzen in vielen Sicherheitskonzepten heißt Trust Center. EDV-Experten reden darüber häufig, als handele es sich um eine beliebige Schnittstelle, die einfach technisch umzusetzen ist. Aber was wird da technisch umgesetzt? Vertrauen ist eine zutiefst menschliche Angelegenheit. Technische "Trust-Lösungen" können nur einen Rahmen bieten, in dem Menschen verlässliche Beziehungen aufbauen. Ein Trust Center kann nicht mehr Vertrauen hervorzaubern, als die beteiligten Menschen vorher schon aufgebaut haben.

Trust heißt Vertrauen

Eine Sicherheits-Policy wird allerdings zwangsläufig auch Kontrollmechanismen enthalten. Wenn ein misstrauischer Vorgesetzter seinen Leuten erzählt, er vertraue ihnen und die Sicherheitsprüfungen seien nur eine Formsache, dann belügt er sie. Und eine Sicherheits-Policy, die ja unter anderem dazu da ist, Lügen zu verhindern (in Form gefälschter Dokumente), kann man nicht mit einer Lüge erfolgreich einführen. Wer Überprüfungen installiert, muss seinen Mitarbeitern klar sagen: "Ich vertraue euch – aber wir müssen auf Nummer sicher gehen."

Da Kontrolle erfahrungsgemäß als unangenehm empfunden wird, sollten sich Kollegen möglichst gegenseitig helfen und kontrollieren – auf derselben Hierarchieebene. Um zu verdeutlichen, wie das gemeint ist, hat sich das Beispiel von Pilot und Copilot bewährt. Übernimmt ein Vorgesetzter die Kontrolle, entsteht zu leicht das Gefühl, "erwischt" worden zu sein.

Die größten Sicherheitslücken in Unternehmen lassen sich ohnehin nicht durch technische Maßnahmen schließen. Was ist mit der Sekretärin, der ein Gigolo im Auftrag eines Mitbewerbers den Kopf verdreht oder dem Manager, der intensiv von einer netten attraktiven Dame "betreut" wird? Solche Fälle kommen öfter vor als man gemeinhin denkt.

Workshops

Um eine Security Policy erfolgreich einzuführen, gilt es die Mitarbeiter von Anfang an umfassend einzubeziehen. In diesem Zusammenhang haben sich Workshops bewährt. Dabei sollte jeder zu Wort kommen. Die meisten Mitarbeiter haben schon Erfahrungen mit Sicherheitslücken gemacht. Diese Erfahrungen gilt es zunächst zu sammeln und zu ordnen, bevor sie in einem weiteren Schritt in ein Sicherheitskonzept einfließen können. Mitarbeiter, die seit der ersten Planung beteiligt sind, machen sich die Sicherheits-Policy zu Eigen. Wer dagegen ein fertiges Sicherheitskonzept vorgesetzt bekommt, wird die Maßnahmen viel eher als lästig empfinden.

Wer einen Rechenzentrumsleiter nach Sicherheitsproblemen fragt, wird andere Antworten erhalten, als wenn er die Frage an einen Anwender richtet. Die Mischung machts: Nur wenn Mitarbeiter aus allen Ebenen und allen Fachbereichen zu Wort kommen, kann man Bedrohungen möglichst umfassend erkennen. Neben den unmittelbar Betroffenen und "normalen Angestellten" sollten im Workshop sitzen:

Moderator

Der Moderator des Workshops soll die Anwesenden für das Thema Sicherheit sensibilisieren. Das ist im Zusammenhang mit einer Sicherheitsrichtlinie die halbe Miete. Man kann davon ausgehen, dass kein Mitarbeiter ein Interesse an Datenverlusten oder gar Spionage hat. Wer das bezweifelt, sollte sich überlegen, was mit dem Betriebsklima oder der Mitarbeiter-Auswahl nicht stimmt. Es geht viel weniger um Motivation als um Sensibilisierung und das Vermeiden von Demotivation.

Es liegt nur scheinbar nahe, einen Experten aus der EDV-Abteilung als Moderator eines Sicherheitsworkshops einzusetzen. Das ist häufig nicht die beste Wahl. Zum einen geht es hier nicht nur um Faktenwissen, sondern eben um Sensibilisierung, Vertrauen und Motivation, also psychologische Phänomene. Zum anderen ist das Verhältnis zwischen Anwendern und EDV-Abteilung häufig gespannt: Wenn die einen von DAUs und Dumm-Usern reden und die anderen über unverständliche Dokumentationen und Ausfälle klagen, dann muss erst viel Groll aus dem Weg geräumt werden, bevor man gemeinsam produktiv an einer Sicherheitskonzeption arbeiten kann. Da kann es einfacher und effektiver sein, einen externen Moderator einzuladen, der neutral und unbelastet an den Workshop herangehen kann.

Der Moderator sollte als erstes den versammelten Mitarbeitern die Bedrohungslage ihres Unternehmens plastisch vor Augen führen. Das ist ein Balance-Akt: Es geht nicht darum, Angst zu schüren, sondern Risikobewusstsein zu vermitteln. Ängstliche Workshop-Teilnehmer verschweigen ihre Probleme eher, als dass sie sie offen legen.

Ein guter Moderator wird sich vor jedem Workshop mit aktuellen Pressemeldungen zum Thema versorgen. Ergänzen kann das jeder, der sich beruflich mit Datensicherheit beschäftigt, mit eigenen anonymisierten Beispielen. Diese Beispiele sollten möglichst genau auf die Workshop-Teilnehmer und ihre Branche zugeschnitten sein. Das macht das Thema griffig.

Dabei ist es wichtig, die möglichen Bedrohungen an die persönliche Situation der einzelnen Teilnehmer anzubinden. Abstrakte Szenarien helfen hier nicht weiter. Jedem muss klar sein, was die Bedrohungen für ihn ganz persönlich als Benutzer bedeuten. Zur Verdeutlichung eignen sich Arbeitsausfälle, entstehende Mehrarbeit oder verschärfter Termindruck. Bringen die Teilnehmer Kostenbewusstsein mit, kann man auch mit wirtschaftlichen Schäden argumentieren.

Erfahrungen einsammeln

Nach der ersten Sensibilisierungsphase gibt der Moderator das Wort an die Teilnehmer weiter, um Erfahrungen und Geschichten zu sammeln. Eine Reinigungskraft könnte zum Beispiel berichten, dass sie öfter heikle Papiere auf den Schreibtischen offen herumliegen sieht. Oder ein Sachbearbeiter erinnert sich an einen Datenverlust, der ihn zwei Wochen Arbeit gekostet hat.

Diese Erfahrungsberichte sollten zunächst nur gesammelt werden. Teilnehmer, die von ihren Erfahrungen berichten, fühlen sich ernst genommen, wenn man diese Erfahrungen ernst nimmt. Mitarbeiter fühlen sich nicht deswegen ernst genommen, weil jemand ihnen dieses Gefühl vermitteln will, sondern nur wenn es tatsächlich so ist. Vielleicht wird in der fertigen Policy ein Authentifizierungssystem eingeführt – im anfänglichen Workshop müssen jedoch Moderator und Führungskräfte authentisch sein. Es reicht nicht, sich authentisch zu geben, man muss es sein.

Je nach Zeitrahmen kann ein erster Workshop mit der Materialsammlung schon zu Ende gehen. Bis jetzt sind schon zwei wesentliche Ziele erreicht worden:

Die Teilnehmer eines Sicherheitsworkshops haben dann die Aufgabe, die gewonnenen Erkenntnisse in ihren Abteilungen weiterzuverbreiten. Für die Motivation der restlichen Mitarbeiter ist dabei nicht nur das Wissen wichtig, das die Teilnehmer mitbringen, sondern auch die Stimmung, mit der sie aus dem Workshop kommen. Gelangweilte Teilnehmer werden kaum etwas weitererzählen, auch wenn man sie dazu auffordert.

In einer zweiten Phase – oder einem zweiten Workshop – werden dann die gesammelten Sicherheitslücken analysiert, in einer dritten Phase Gegenmaßnahmen ermittelt, deren praktische Umsetzung in Phase vier stattfindet.

Ergebnisse

Die Ergebnisse jedes Workshops sollte man unbedingt ausführlich dokumentieren. Psychologisch ist es wichtig, dass die Teilnehmer sich mit dem Workshop identifizieren und dass sie sich auch in der Dokumentation wiederfinden. Deshalb sollten die Dokumentationsmappen auch Fotos von den Flipcharts direkt aus der Veranstaltung enthalten. Die Rückbindung der Teilnehmer an das Workshop-Erlebnis ist dadurch stärker, als wenn nur die Ergebnisse in eleganten Layouts präsentiert würden. Die Mappe, die jeder Teilnehmer erhält, trägt erheblich dazu bei, eine Policy dauerhaft in den Köpfen zu verankern. Dass dieses Konzept funktioniert, beweisen eindrucksvoll Teilnehmer, die einen zweiten Workshop mitmachen und stolz ihre Mappen aus der vorigen Veranstaltung mitbringen.

Sicherheitsworkshops lohnen sich übrigens auch für Unternehmen, denen eine Policy streng nach dem Grundschutzhandbuch des BSI zu aufwändig ist. Selbst ein improvisierter erster Entwurf ist besser als überhaupt keine Policy zu haben. Und selbst wenn vorerst gar nichts Konkretes beschlossen wird, lohnt allein der Sensibilisierungseffekt den Aufwand.

Natürlich macht ein Workshop allein ein Unternehmen noch nicht sicher. Damit das Ganze fruchtet, müssen wesentliche Randbedingungen gegeben sein. Das Grundschutzhandbuch des BSI (www.bsi.bund.de/gshb/) sollte in der EDV-Abteilung bekannt sein, selbst wenn die konkrete Umsetzung zunächst zu aufwändig erscheint.

Die Sicherheitsrichtlinien sollten in das Wissens-Management eines Unternehmens eingebettet werden. Dabei kann zum Beispiel mit Story Telling gearbeitet werden. Diese Methode verpackt trockene Fakten in lebendige Geschichten und verankert sie dadurch fester in den Köpfen. Außerdem können auch Videos, Intranet-Seiten oder interaktive CDs das Thema illustrieren. Dabei sollten die Führungskräfte als Multiplikatoren stärker mit Informationen versorgt werden als die einzelnen Mitarbeiter. Der Sprachstil von Sicherheitsanweisungen muss auf die Zielgruppe zugeschnitten sein. Die Mitarbeiter müssen sich selbst, ihre eigene Situation in den Richtlinien wiederfinden.

Wiederholungen

Sicherheitsworkshops sollte man regelmäßig wiederholen – mindestens alle zwei Jahre. Mitarbeiter wechseln, Marktsituation, Technik und Bedrohungslage ändern sich. So muss auch die Sicherheitslage immer wieder neu überprüft werden. Sicherheits-Workshops veranstalten Unternehmen üblicherweise im Hause, da das Thema zu sensibel ist, um damit nach außen zu gehen.

Um die Sicherheitsmaßnahmen dauerhaft durchzusetzen, muss außerdem jemand bestimmt werden, der das Thema verantwortlich immer wieder einbringt und die Mitarbeiter daran erinnert. Das sollte er allerdings in einer positiven, nicht in einer bedrohlichen Art kommunizieren.

Es muss zudem ausgeschlossen sein, dass Sicherheitsregeln auf Anweisung eines Vorgesetzten missachtet werden. Nichts wirkt im Sicherheitsbereich demotivierender als ein Vorgesetzter, der die eigenen Bemühungen zunichte macht. So hört man von Fällen wie dem des Finanzchefs, der eine Datensicherung untersagt, weil sie ihn spätabends bei der Analyse der Finanzdaten gestört hätte. Hier sollte man eine Kultur des verantwortlichen Widersprechens pflegen, die vielleicht gerade in Deutschland unterentwickelt ist.

Die EDV-Abteilung sollte den Anwendern so weit wie möglich entgegenkommen: Sicherheitsmechanismen sollten möglichst reibungslos laufen, ohne die produktive Arbeit zu stören, Backup-Läufe ohne Betriebsunterbrechung möglich sein. Die Datensicherheit sollte auch nicht zu sehr zentralisiert werden. Mitarbeiter, die Verantwortung tragen, sind motivierter als Leute, die sich als Rädchen im Getriebe fühlen. Bei der Datensicherung kann das zum Beispiel ganz einfach heißen, dass jeder Einzelne für Sicherheitskopien seiner Daten selbst zuständig ist. Das setzt natürlich voraus, dass er weiß, welche Daten zu sichern sind und wie das geht.

Scheduler sollten Anwender von der Terminplanung entlasten, zum Beispiel bei Viren-Scans. Überhaupt müssen Mitarbeiter zuversichtlich sein können, dass ihre Sicherheitsbemühungen einen Sinn haben und nicht durch unsichere Konzepte und Strukturen ad absurdum geführt werden. Dazu gehören auch scheinbar triviale Randbedingungen wie hinreichend verschließbare Schränke.

Fazit

Eine Sicherheits-Policy kann man weder gegen die Mitarbeiter noch an ihnen vorbei einführen und durchhalten. Nur gemeinsam mit den Mitarbeitern hat die Einführung einer Policy überhaupt Sinn. Dazu ist es unter anderem nötig, auf scheinbar motivierende Tricks zu verzichten. Erfolgreiche Motivationskonzepte setzen statt dessen auf Transparenz, Authentizität, Beteiligung, Eigenverantwortung und die Vermeidung von Demotivation. Dabei haben sich Workshops zur praktischen Umsetzung als Methode bewährt.

Anfré Kneiphoff ist Geschäftsführer der Sinitec Service für Informationssysteme GmbH in Frankfurt.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 6/2001, Seite 6