(Un)-Sicherheitspotenzial Mitarbeiter

Ordnungsmerkmale

erschienen in: <kes> 2004^#2, Seite 10

Rubrik: Management und Wissen

Schlagwort: Personelle Sicherheit

Zusammenfassung: Die Rolle des Mitarbeiters wird im Zusammenhang mit IT-Sicherheit viel diskutiert, doch in der Realität kaum berücksichtigt. Zwischen IT- und Personalverantwortlichen hin- und hergeschoben, verlaufen selbst punktuelle Bemühungen oftmals im Sande. Dabei wird das Thema "personelle IT-Sicherheit" nicht nur von gängigen Richtlinien empfohlen, sondern es ist auch wirtschaftlich vielversprechend.

Autor: Von Matthias Temme, Hamburg

Personelle IT-Sicherheit wird landläufig unter dem Begriff "Awareness" diskutiert. Es geht dabei jedoch nicht nur um das Bewusstsein der Mitarbeiter, sondern auch um Kenntnisse und Fähigkeiten. Sicherheitsbewusstsein ist die Grundlage für richtiges Verhalten. Der Mitarbeiter sollte darüber hinaus aber auch wissen, wie er in einer kritischen Situation richtig reagiert.

Dazu ein Beispiel: Eine Virenwarnung erscheint auf dem Bildschirm. Dies als sicherheitsrelevantes Ereignis einzustufen geschieht, weil der Mitarbeiter sensibel für das Thema ist. Ergreift er jetzt die richtige Maßnahme, beispielsweise den IT-Verantwortlichen zu informieren, dann verwendet er eine vorher erlernte Regel. Neben der Sensibilisierung und Schulung ist also auch die Erstellung und Bekanntgabe von Verfahrensanweisungen erforderlich.

Personelle IT-Sicherheit soll Sicherheitslücken schließen, die durch eigene Mitarbeiter verursacht werden. Das reicht vom richtigen Passwortgebrauch bis zur Vermeidung des Social Engineering, der – meistens ungewollten – Weitergabe von Unternehmensdaten an Unbefugte. Wichtigste Grundlage ist die Identifikation der Mitarbeiter mit dem Unternehmen: Nur durch die Wertschätzung der Unternehmensdaten setzt sich der Mitarbeiter für ihren Schutz ein. Ist ihm das Unternehmen gleichgültig, wird sein Engagement ausbleiben, solange er seine Position nicht gefährdet sieht.

Abbildung 1: Die Maßnahmenverteilung im Grundschutzhandbuch unterstreicht die besondere Bedeutung der Mitarbeiter

Motivation

Die Legitimation für personelle IT-Sicherheit ist vielfältig. Sie reicht von der Verpflichtung der IT-Sicherheitsverantwortlichen bis hin zur wirtschaftlichen Bedeutung für das Unternehmen:

Verantwortung des IT-Sicherheitsmanagements: IT-Verantwortliche beschäftigen sich vorwiegend mit ihrem Steckenpferd – der Technik. Für funktionierende IT-Sicherheit müssen aber auch personelle und organisatorische Bestandteile einbezogen werden. Die Verantwortung erstreckt sich auf das Management aller Faktoren, die zu Sicherheit führen und das wird vermehrt eingefordert.
Das Grundschutzhandbuch (GSHB): Das Bundesamt für Sicherheit in der Informationstechnik (BSI) führt fast 800 Maßnahmen zur Optimierung der IT-Sicherheit auf. Lediglich 25 % dieser Maßnahmen konzentrieren sich direkt auf Hard- und Software des Unternehmens, aber circa 43 % aller Maßnahmen betreffen das Personal und die Organisation. Dazu kommen viele Maßnahmen aus den Bereichen Infrastruktur, Kommunikation und Notfallvorsorge, die personeller und organisatorischer Natur sind. Diese Verteilung nach Bereichen zeigt die besondere Bedeutung des Mitarbeiters und der Unternehmensprozesse in der IT-Sicherheit.
Personelle Sicherheitslücken in der Praxis: Bis zu 60 % aller Sicherheitslücken werden laut aktueller Studien durch eigene Mitarbeiter verursacht. Das schließt alle Mitarbeitergruppen ein: die Geschäftsleitung, Systemadministratoren und IT-Spezialisten, aber vor allem die Anwender. Die Gründe sind vielfältig. Sie reichen von der Fehlbedienung der Hard- und Software über fehlendes Sicherheitsbewusstsein und Unkenntnis bis hin zu absichtlicher Schädigung der unternehmenseigenen Daten und Systeme.
Wirtschaftliche Relevanz: Die Konsequenz daraus ist ein bisher oft ungenutztes Sicherheitspotenzial von bis zu 60 %. Der Mitarbeiter stellt eine Ressource dar, die bereits im Unternehmen vorhanden ist. Anschaffungs-Investitionen sind demnach nicht erforderlich. Ist die Einführung personeller IT-Sicherheit erfolgt, kann man ein hohes Sicherheitsniveau durch einen relativ geringen Pflegeaufwand erreichen oder dieses sogar kontinuierlich verbessern.

Umsetzung

Die Einführung, der Erhalt und die Verbesserung personeller IT-Sicherheit erfordern ein strukturiertes Vorgehen. Der Autor empfiehlt hierzu ein Fünf-Stufen-Konzept, das die personelle IT-Sicherheit als Prozess im Unternehmen etabliert (vgl. Abb. 2).

Abbildung 2: Fünf-Stufen-Konzept zur Etablierung personeller IT-Sicherheit

Integration in die Unternehmensorganisation

Für den Umsetzungserfolg ist es wichtig, dass die Geschäftsführung, das mittlere Management, die Personalabteilung und der Betriebs-/Personalrat hinter dem Projekt stehen. Nur durch Information und Transparenz schafft man die Basis für die geplanten Maßnahmen. Management und Betriebs-/Personalrat legen von Anfang an fest, wie weit die spätere Schulung und Erfolgsmessung der Mitarbeiter gehen darf und wie viele Ressourcen für die Umsetzung zur Verfügung stehen. Die Klärung dieser Fragen ist für den Prozess elementar und sollte daher frühzeitig erfolgen.

Die wichtigsten Unternehmensprozesse für die Platzierung der Maßnahmen betreffen die Personalzu-/-abgänge und die Qualifizierung. Sie stellen sicher, dass jeder Mitarbeiter innerhalb des Unternehmens berücksichtigt wird, die freigesetzten Mitarbeiter keinen nachträglichen Schaden anrichten und ein kontinuierlicher Lernprozess möglich ist.

Sensibilisierung

Sensibilisierung erzeugt Emotionen. Sie stärkt die Wahrnehmung der Mitarbeiter und macht sie "empfindsam" für sicherheitskritische Situationen im Unternehmen. Dadurch werden mögliche Bedrohungen frühzeitig erkannt. Als Inhalte zur Sensibilisierung bieten sich Szenarien an: Durch konkrete Beispiele oder Erfahrungsberichte werden dem Anwender Schadensszenarien und mögliche Auswirkungen deutlich. Es entsteht ein Bewusstsein dafür, wie sicherheitsrelevante Situationen beginnen und welche Auswirkungen es haben kann, wenn Daten missbraucht oder verfälscht werden oder nicht verfügbar sind. Dabei ist darauf zu achten, dass die Szenarien auf die eigene Unternehmenssituation transferierbar sind.

Die Veröffentlichung solcher Inhalte kann beispielsweise über das schwarze Brett, in Betriebsversammlungen oder durch die Auslage von Artikeln aus Fachzeitschriften erfolgen. Zusätzlich hilft eine Sprechstunde des IT-Verantwortlichen, ein Forum für konkrete Fragen und Antworten zu schaffen. In speziellen Workshops zum Thema sollten Ziele und Inhalte des Unternehmens, aber auch Meinungen, Fragen und Erfahrungen der Mitarbeiter Platz finden.

Ein besonders geeignetes Mittel zur Sensibilisierung sind Flyer. Ihre Erstellung und Verteilung ist relativ einfach und als Bestandteil einer Begrüßungsmappe erreicht man auch neue Mitarbeiter. Bei der Erstellung sind einige Aspekte wichtig: Der didaktische Aufbau soll es ermöglichen, die komplexe Thematik nachzuvollziehen und die individuelle Verantwortung für IT-Sicherheit aufzeigen. Dabei sollte man zunächst beschreiben, in welcher Form sich mögliche Schäden an Daten auf den Arbeitsplatz auswirken können. Dann folgt die Darstellung der aktuellen Aktivitäten des Unternehmens bezüglich der IT-Sicherheit und die Rolle des Mitarbeiters in diesem Prozess. Schließlich enthält der Handzettel alle wichtigen Rufnummern und Kontaktadressen. Bei all dem sollte man weitgehend auf Fachsprache aus der Computerwelt verzichten. Zum besseren Verständnis hilft auch die grafische Aufbereitung. Symbole und Grafiken wecken das Interesse und erleichtern die Erinnerung an das Gelesene.

Eine aktive und offene Kommunikation ist hilfreicher und transparenter als ein bloßes "zur Verfügung stellen" von Inhalten. Die Erwartung, dass sich ein Mitarbeiter selbst um das Studium relevanter Themen bemüht, ist in den meisten Fällen nicht gerechtfertigt.

Schulung

Aufbauend auf den Sensibilisierungsmaßnahmen vermitteln Schulungen Kenntnisse und Fähigkeiten im Umgang mit Hard- und Software, aber auch mit Regeln und Verfahrensanweisungen des Unternehmens. Das ermöglicht dem Mitarbeiter, nach dem Erkennen der kritischen Situation die richtigen Maßnahmen zu ergreifen. Um beim Viren-Beispiel zu bleiben, weiß der Mitarbeiter dann auch, dass er eine Virusmeldung nicht einfach löscht, sondern seinen IT-Verantwortlichen informiert, sodass dieser gegebenenfalls weitere Maßnahmen ergreifen kann.

Generell reicht eine einmalige Schulung nicht aus. Neue Inhalte, veränderte Verfahrensregelungen und vor allen Dingen die Tatsache, dass nur ein Bruchteil der Schulungsinhalte beim ersten Mal aufgenommen und behalten werden, machen es notwendig, Schulungen in einem langfristigen Qualifizierungsplan umzusetzen.

Sinnvolle Schulungsinhalte sind beispielsweise der Umgang mit PCs, Software, externen Personen, Unternehmensdaten oder Notfallsituationen. Hierzu sollte man Regeln und Verfahrensanweisungen schulen, die gängige Sicherheitskonzepte mit unternehmenseigenen Prozessen verbinden. Letztere sind besonders wichtig, da sie eine individuelle Umsetzung vorgegebener Konzepte erst möglich machen. So muss der Mitarbeiter wissen, welche Ansprechpartner es für welche Fälle gibt und wie im Unternehmen mit IT-Sicherheit verfahren wird.

Je nach Größe und Struktur des Unternehmens sind zielgruppen- oder auch produktspezifische Inhalte nötig. Beispielsweise können spezielle Regeln für Notebooks, die Nutzung von Telearbeitsplätzen oder besonderen Anwendungen spezieller Unternehmensbereiche aufgenommen werden. Wie schon bei der Sensibilisierung gibt es auch hier verschiedene Methoden für die Praxis:

Frontalschulung: Bei diesem "Klassiker" gilt, dass eine lebendige und abwechslungsreiche Gestaltung einen langfristigen Lernerfolg fördert. Je nach Budget und Bedarf bietet man Sicherheitsschulungen eigenständig oder als integrative Bausteine in anderen Fortbildungen an.
Informationsbörse im Intranet: Als zentraler Informationspool bietet eine Informationsbörse im Intranet Zugriff auf alle IT-Sicherheits-Themen. Das BSI stellt eine Vorlage für die Gestaltung einer solchen Informationsbörse mit den Themen IT-Organisation, Aktuelles, "Ihr IT-Arbeitsplatz", Ansprechpartner, Heiteres und Informationszentrum zur Verfügung. Hinter diesen Überschriften kann man unternehmensspezifische Informationen ablegen. Zusätzlich empfiehlt sich die Einrichtung spezieller Bereiche für bestimmte Zielgruppen, zum Beispiel für Notebook-Nutzer. Da sich ein Mitarbeiter hier selbst aktiv um die gewünschten Informationen kümmern muss, eignet sich die Informationsbörse vor allem im Nachgang zu Schulungsmaßnahmen. Ohne Impuls von außen wird ein Mitarbeiter die Börse jedoch kaum nutzen, da man kein "natürliches" Interesse an der IT-Sicherheit voraussetzen kann.
Infotainment: In der Praxis hat sich der Einsatz von Tools bewährt, die Information und Entertainment verbinden und so den Mitarbeiter über seinen "Spieltrieb" anregen, sicherheitsrelevante Informationen zu erlernen. Darüber hinaus kann ein entsprechendes Infotainment-Tool einen wertvollen Beitrag zur Erfolgsmessung durchgeführter Schulungsmaßnahmen leisten. Eine erfolgreiche Umsetzung, die beide Aspekte umfasst, hat der vielfach ausgezeichnete Schweizer Multimedia-Experte Georg Fietz für die Swiss Re entwickelt. Die Integration der dort herausgegebenen Informationsbroschüre in das fünfsprachige Lernspiel war eine zentrale Anforderung.
Die Broschüre kann durch einen direkten Link zur Unterstützung in den Spielsituationen herangezogen werden. Sowohl die Spannung als auch die Realitätsnähe der Geschichte haben zu enormer Akzeptanz bei den Mitarbeitern geführt. Die Handlung begleitet den Mitarbeiter per Taxi und Flugzeug vom Londoner Arbeitsplatz zu einem Kundentermin in Lissabon. In acht unterschiedlichen Szenenbildern setzt er sich spielerisch mit wichtigen Verhaltensregeln im Umgang mit vertraulichen Geschäftsdaten, außenstehenden Personen, auftretenden Viren, Backups, Passwörtern, Datenaustausch via Internet und anderem auseinander. Am Ende erhält der "Spieler" ein Lösungswort, das er an seinen IT-Sicherheitsverantwortlichen sendet und das auch Informationen über den Spielverlauf enthält. Dadurch können unter anderem unternehmensweite Defizite bei bestimmten Inhalten ermittelt und in laufende Schulungsmaßnahmen aufgenommen werden.

Infotainment-Tools können durch spielerischen Anreiz Sicherheit vermitteln

Erfolgsmessung

Neben der Erfolgsmessung durch das Infotainment-Tool kann man den Stand des Sicherheitsbewusstseins auch durch so genannte Mystery Calls testen. Hierbei werden stichprobenartig Anrufe mit dem Ziel getätigt, vertrauliche Unternehmensdaten zu erfahren. Neben Notfallübungen, die das Verhalten in bestimmten Gefahrensituationen zeigen, führen auch stichprobenartige Langzeitbefragungen zu guten Aussagen über den Sensibilisierungsstand.

Als Ergänzung zur Ermittlung des Sicherheitsbewusstseins ist eine Überprüfung abgeschlossener Maßnahmen ratsam. Bei der Umsetzung des GSHB sollte man von Beginn an mögliche, geplante und umgesetzte Maßnahmen dokumentieren. Das vom BSI angebotene Grundschutz-Tool ( [externer Link] www.bsi.bund.de/gstool/) erleichtert die Steuerung der Maßnahmen enorm, da es den Status der Umsetzung kontinuierlich und übersichtlich erfasst. Zu jeder Zeit ist der Fortschritt in der Planung und Umsetzung der Sicherheitsmaßnahmen ersichtlich. Durch die unternehmensweite Abbildung der IT-Sicherheit ist es somit nicht nur ein Erfolgsmesser, sondern auch eine Hilfe bei der Budgetplanung.

Optimierung

Am Ende des Fünf-Stufen-Konzeptes geht die personelle IT-Sicherheit vom Projektcharakter in den laufenden Betrieb über. Ein bestimmter Status ist erreicht und muss nun aufrechterhalten und optimiert werden. Der ermittelte Status quo dient als Ausgangspunkt für das erneute Durchlaufen der Stufen "Sensibilisierung" bis "Optimierung" und die bei der Erfolgsmessung festgestellten Schwachstellen fließen in die laufenden Sensibilisierungs- und Schulungsmaßnahmen ein. So erreicht man einen kontinuierlichen Verbesserungsprozess, der mit bedeutend weniger Energie als im ersten Durchlauf zu stetig steigender IT-Sicherheit führt.

Fazit

Durch überschaubare und relativ einfache Maßnahmen mit bestehenden Ressourcen leistet personelle IT-Sicherheit einen großen Beitrag zum Schutz von Unternehmensdaten. Sie ist nicht nur unumgänglich, sondern ein wesentlicher, wirtschaftlich bedeutender Erfolgsfaktor langfristig funktionierender und ganzheitlicher IT-Sicherheit.

Matthias Temme ist Partner der BTP Consulting, Unternehmensberatung und Training für IT-Sicherheit in Hamburg ( [externer Link] www.btp-consulting.de).