![[Illustration]](07-1-065-1.jpg)
Abbildung 1: Managementprozess zur Informationssicherheitskultur
Wie im letzten BSI-Forum aufgezeigt, trägt der Faktor Mensch wesentlich zur Informationssicherheit bei [5]. Dieser Faktor kann durchaus bewusst gelenkt und gefördert werden. Jedoch nur ein gezielter Prozess führt zum Erfolg und bewahrt das Unternehmen vor erfolglosen Investitionen. Abbildung 1 zeigt nochmals die wichtigsten Schritte eines gezielten Sicherheitskultur-Managements.
Am Anfang eines gezielten Informationssicherheitskultur-Managements steht die Diagnose der Ausgangslage durch Aufzeigen der aktuellen Stärken und Schwächen. Für die Diagnose bieten sich, je nach gewünschter Tiefe, verschiedene Untersuchungsmethoden an, zum Beispiel Fragebogen, Interviews, Analysen der sicherheitsrelevanten Vorgaben und Audits.
Abbildung 1: Managementprozess zur Informationssicherheitskultur
Bei der strategischen Planung wird entschieden, wie die Soll-Sicherheitskultur aussehen soll und davon abgeleitet, welche Punkte verbessert werden müssen (Gap-Analyse). Ein Benchmarking mit dem Klassenbesten kann den Handlungsbedarf auch losgelöst von eigenen Vorgaben aufzeigen. Danach werden die Zielgruppen definiert und entsprechende Instrumente und Maßnahmen ausgesucht und priorisiert.
Auf die Diagnose und strategische Planung wurde im letzten BSI-Forum detailliert eingegangen [5]. Der vorliegende Fortsetzungsartikel beschäftigt sich nun mit der taktischen Planung, das heißt den wichtigsten Maßnahmen und Instrumenten, die zur Steigerung der Sensibilisiertheit und zur Förderung einer geeigneten Informationssicherheitskultur eingesetzt werden können. Es werden auch die wichtigsten Erfolgsfaktoren für eine erfolgreiche Umsetzung diskutiert sowie auf die verbleibenden zwei Punkte, die Evaluation und den Lernprozess, eingegangen.
Im Vorfeld der taktischen Maßnahmenplanung wird die Änderungsstrategie festgelegt. Diese hängt einerseits von der vorherrschenden Organisationskultur ab, andererseits vom Lebenszyklus der Informationssicherheitskultur. Während aggressive Kulturwandel-Strategien in der Entwicklungsphase einer neuen Kultur geeigneter erscheinen, bieten sich korrosive Methoden eher in der Reifephase an.
Die Wahl der Strategie beeinflusst die Auswahl, Inhalte und Gestaltung der Instrumente aus dem Maßnahmenkatalog. Die im letzten Artikel besprochene Studie über Maßnahmen, die aktuell eingesetzt werden respektive in der Planung sind, ergibt ein breites Angebot an Möglichkeiten zur Förderung und zum Wandel der Sicherheitskultur. Diese Maßnahmen werden nun zur weiteren Diskussion im so genannten "Haus der Informationssicherheitskultur" kategorisiert (vgl. [1]). Das vorgeschlagene Haus der Informationssicherheitskultur definiert dabei drei grundlegende Aspekte, deren Inhalte und Gestaltungselemente sich in den darauf aufsetzenden fünf Hauptinstrumenten niederschlagen.
![[Illustration]](07-1-065-2.jpg)
Abbildung 2: Maßnahmenkatalog zum "Haus der Informationssicherheitskultur"
Basis aller Maßnahmen zur Entwicklung und Wandlung der Informationssicherheitskultur sind die grundlegenden Elemente:
Die Verantwortung ist zentraler Inhalt der Maßnahmen. Sie wird einerseits von den Regulierungsbehörden durch Gesetze, andererseits von der Organisation selbst durch die Aufbauorganisation auferlegt. Auf letzter Stufe befindet sich die Eigenverantwortung in Form moralischen und ethischen Handelns.
Die Maßnahmen für die Veränderung einer Kultur "verkaufen" das "Produkt Informationssicherheit" an die Mitarbeitenden, wobei die Kommunikation eine zentrale Aufgabe übernimmt. Internes Marketing und Kommunikation sind deshalb Gestaltungselemente des Maßnahmenkatalogs. Grundlegende marketing- und kommunikations-theoretische Grundsätze müssen beachtet werden.
Die Ausgestaltung der Maßnahmen hängt zudem stark von der gesellschaftlichen Kultur ab. Maßnahmen können deshalb nicht lokal ausgearbeitet und global umgesetzt werden, sondern benötigen immer eine lokale Adaption.
Die fünf Hauptinstrumente werden durch diese Inhalte und Gestaltungselemente maßgebend geprägt. Als Hauptinstrumente wurden identifiziert:
Ausgehend von der Informationssicherheitspolitik, die in Abhängigkeit von der Organisationspolitik entworfen wurde, müssen die sekundären Politiken, Standards und Prozessbeschreibungen in einem Dokumentensystem schriftlich festgehalten werden. Sie dienen zur Festhaltung und Dokumentation des organisatorischen Wissens und definieren, wie aus Sicht der Organisation mit Informationen sicher umgegangen werden sollte.
Für die Glaubwürdigkeit einer Informationssicherheitskultur braucht es ein sichtbares Engagement der Organisationsführung. Sie muss die konkreten Maßnahmen zur Verbesserung der Informationssicherheit und zur Veränderung der Informationssicherheitskultur nicht nur in Wort, sondern auch in Tat unterstützen. Eine Kampagne zur Veränderung der Informationssicherheitskultur benötigt daher in jedem Fall die Unterstützung des Managements. Dem Einbezug des Managements in die Definition der Informationssicherheitskultur und der Maßnahmenplanung, sowie die Überzeugung wichtiger Schlüsselpersonen ist daher im Vorfeld jeder Kampagne besondere Aufmerksamkeit zu schenken.
Mitarbeitende können für ihr Fehlverhalten nicht verantwortlich gemacht werden, wenn sie nicht über die Risiken aufgeklärt und zudem informiert wurden, wie sie sich dagegen schützen können. Ebenso wird die Einführung einer Informationssicherheitspolitik scheitern, wenn nicht das grundlegende Verständnis für den Sinn eines solchen Dokumentes gegeben ist. Die Sensibilisierung hat daher zum Ziel, die Mitarbeitenden auf allen Stufen auf die Informationssicherheit aufmerksam zu machen ("um was geht es?!"). Sie ist nicht als einmalige, sondern vielmehr als stetige Aufgabe zu sehen, die einem ständigen "Vergessen" oder "nachlässig werden" entgegenwirken soll.
Das Ausbildungs- und Schulungsprogramm für Mitarbeitende aller Ebenen und Fachgebiete ist ein weiterer Pfeiler für die Veränderung der Informationssicherheitskultur. Es kreiert Verständnis für die Informationssicherheit und vermittelt Handlungskompetenz, um Produkte und Prozesse sicher anzuwenden. Die Schulung vermittelt dabei konkretes Wissen, wie sicheres Verhalten zu erreichen ist, während in der Ausbildung tiefer gehendes Wissen vermittelt wird, warum etwas sicher oder unsicher ist [2]. Wichtig für ein erfolgreiches Lernen ist die richtige Mischung aus verschiedenen Lernformen und Hilfsmitteln, von Theorie und Praxis und von Wissensvermittlung und unterhaltenden Komponenten [3]. Die Mitarbeitenden können sich dadurch entsprechend ihrer präferierten Lernform das Wissen erarbeiten.
Die schon diskutierte Verantwortung aller Mitarbeitenden für die Informationssicherheit sowie die durch Sensibilisierung, Training und Ausbildung erarbeiteten Kompetenzen ermöglichen es, die Mitarbeitenden für sicherheits- und regelkonformes Verhalten in die Pflicht zu nehmen. Als letzte wichtige Maßnahme steht daher die Verpflichtung der Mitarbeitenden zur Einhaltung der Gesetze, Regeln und Vorschriften durch Verträge und Abmachungen sowie die Überwachung des Verhaltens. Lokalen Gesetzgebungen ist dabei selbstverständlich Rechnung zu tragen.
Abhängig von der gewählten Strategie zur Entwicklung oder zum Wandel der Informationssicherheitskultur eignet sich die eine oder andere Maßnahme besser, respektive werden Maßnahmen unterschiedlich ausgestaltet. Während die Verpflichtung und Überwachung eher einen aggressiven Charakter haben, gehört die Ausbildung eher zur pädagogischen Strategie. Wichtiger als die strategieabhängige Wahl der Maßnahmen erscheint jedoch deren Ausgestaltung. Denn jedes Instrument kann entsprechend der Strategie unterschiedlich gestaltet werden und vermittelt so einen anderen Führungsstil und dadurch eine andere Kultur.
Die ausgewählten Instrumente werden zuletzt in der Projektplanung detailliert strukturiert, indem zusätzlich Termine, Ressourcen, Aktionen und Projektorganisation spezifiziert werden.
In der Durchführungsphase werden die geplanten Maßnahmen umgesetzt. Türöffner ist dabei wie bereits erwähnt eine durchgehende Unterstützung durch das Management. Ohne sie wird jede Maßnahme zur Sensibilisierung und Kulturveränderung im Sande verlaufen, da die notwendige Vorbildfunktion fehlt, im schlimmsten Fall sogar kontraproduktiv wirkt.
Ebenso zeigt sich immer wieder, dass das Hinzuziehen von Kommunikationsspezialisten wie Experten aus der eigenen Kommunikations-, Public-Relations- oder Marketing-Abteilung oder von extern eine deutlich bessere Sichtbarkeit bewirkt.
Vorzugsweise werden Kulturmaßnahmen nicht punktuell sondern über einen längeren Zeitraum umgesetzt. Genauso wie guter Wein benötigt eine gute Sicherheitskultur Zeit zum Reifen. Nicht selten dauert daher die Umsetzung von Kulturprojekten 12 und mehr Monate. Doch genau dieser Umstand führt letztlich zu nachhaltigen Ergebnissen und damit zum angestrebten Erfolg. Wiederkehrende Maßnahmen, wie zum Beispiel Schulung und Einführungstage für neue Mitarbeitende, werden in den operationellen Betrieb überführt.
Beispielhaft soll hier aufgezeigt werden, wie bei einem Finanzdienstleister die Sicherheitskultur nachhaltig verändert wurde: Als kommunikative Maßnahme wurden als Erstes alle Mitarbeitenden über die Resultate der Diagnose und die daraus folgenden Maßnahmen informiert. Das Unternehmen hat danach eine Sensibilisierungskampagne gestartet, in der mit verschiedenen Medien und Kanälen gearbeitet wurde (Plakatkampagne, Give-aways, Artikel in der Hauszeitschrift). Die Ausbildung neuer Mitarbeitender wurde durch ein neues Konzept stark verbessert. Auf der Ebene der Sicherheitsdokumente wurde die Sicherheitspolitik verständlicher gestaltet und die Klassifizierungspolitik den tatsächlich gelebten Bedingungen angepasst. Zur Verbesserung der Passwortproblematik wurde ein Projekt zur Einführung eines Identity-Management-Systems gestartet.
In der Kontrollphase wird einerseits die Durchführung der einzelnen Maßnahmen überwacht und bei Abweichung werden kurzfristig korrektive Maßnahmen eingeleitet. Andererseits werden nach der Umsetzung aller Maßnahmen die erreichten Ziele durch Vergleichen des Zustandes vor und nach dem Informationssicherheitskultur-Programm evaluiert (s. Abb. 3). Dieser Evaluationsprozess wird in Projekten der TreeSolution Consulting ebenfalls vollständig durch das im ersten Teil dieses Beitrags angesprochene Managementsystem TWISK unterstützt, das automatisiert die Veränderungen in der Informationssicherheitskultur aufzeigt.
Die Evaluation soll die Frage beantworten, ob das Sicherheitskulturprogramm das ihm gesetzte Ziel erreicht hat (oder nicht), nämlich die Informationssicherheitskultur positiv in die geplante Richtung zu verändern. Sie gibt also Auskunft über die Effektivität der Maßnahmen und ihrer Umsetzung. Bei der Überprüfung wird dasselbe Analyse-Framework wie bei der Diagnose verwendet.
![[Illustration]](07-1-065-3.jpg)
Abbildung 3: Vor-/Nachher-Vergleich im Sicherheitskulturradar
Die letzte Phase, die Verbesserung, dient dazu, aus den gemachten Erfahrungen zu lernen, korrektive Maßnahmen zu ergreifen und die eingesetzten Methoden und Instrumente zu verbessern. Ebenso sollten die erreichten Ziele und die gemachten Erfahrungen kommuniziert werden. Die Erkenntnisse aus dieser Phase fließen dann in den nächsten Zyklus zur Förderung der Sicherheitskultur ein. Das Managementmodell stellt also an sich einen Lern- respektive Qualitätsmanagementprozess dar, der eine ständige und kontinuierliche Verbesserung der Informationssicherheitskultur ermöglicht.
Die Resultate der Evaluation führen zu langfristigen Änderungen im Sicherheitskulturprogramm. Unter Umständen wird festgestellt, dass die eingesetzten Maßnahmen die gewünschte Veränderung nicht oder nicht genügend hervorbringen können, sodass das sicherheitskulturelle Maßnahme-Wirkungs-Modell angepasst werden muss. Die Überprüfungsresultate könnten aber auch zeigen, dass die angestrebte Informationssicherheitskultur für die Organisation gar nicht geeignet ist, sodass die "Soll-Kultur" und damit eventuell auch die Informationssicherheitspolitik angepasst werden muss.
Die Verbesserungsphase hat somit eine direkte Wirkung auf das organisatorische Lernen, das die Informationssicherheitskultur zu einem großen Teil beeinflusst. Die Erfahrungen aus der Kontrollphase sensibilisieren sowohl die Kontrollierenden wie auch die Kontrollierten bezüglich der Wahrnehmung von Situationen, Problemstellungen sowie der Eignung der eingesetzten Methoden. Sie führen auch zu Verbesserungen des Managementprozesses selbst und aktivieren dadurch alle drei Stufen des organisatorischen Lernens.
Informationssicherheit sollte zum Bestandteil unseres täglichen Lebens werden, sie sollte so selbstverständlich wie Verkehrs- oder Gebäudesicherheit sein. Um dieses Ziel zu erreichen, braucht es eine Informationssicherheitskultur, welche auch die sozio-kulturellen Aspekte abdeckt. Die Mitarbeiter sollten zu Partnern in Fragen der Informationssicherheit werden und nicht nur als Sicherheitsrisiko betrachtet werden. Trotz Sicherheitskultur muss man jedoch realistisch bleiben: Nicht allen Menschen kann und soll in allen Belangen vollumfänglich getraut werden; ein gewisses Risiko bleibt immer bestehen, das mit technischen und organisatorischen Mitteln weiter eingeschränkt werden muss. Der Mitarbeiter wird immer beide Aspekte in sich vereinen: Risiko- und Sicherheitsfaktor. Ein gezieltes und systematisches Management der Informationssicherheitskultur stärkt neben dem Willen auch die Fähigkeit zu schützen und legt damit einen unabdingbaren Grundstein für den Schutzwall eines Unternehmens.
Mit einem gezielten Prozess und geeigneter Produktunterstützung kann in kürzester Zeit mit wenig Ressourcen-Aufwand erfolgreich eine geeignete Informationssicherheitskultur aufgebaut werden. Den wichtigsten Vorteil der hier vorgestellten Herangehensweise benennt jedoch Paul Bate: "Kultur existiert nicht als objektive Realität, sie existiert vielmehr als ein Aufmerksamkeitsraster in den Augen des Betrachters." [4]
Eine geeignete Methodik gibt Ihnen ein Aufmerksamkeitsraster, welches sich mit einer der aktuellsten Herausforderungen in der Informationssicherheit beschäftigt, mit dem Menschen als Anwender der Informations- und Kommunikationstechnologie.
![[externer Link]](../../../../images/link.gif)
http://csrc.nist.gov/publications/nistpubs/800-16/800-16.pdf4. P. Bate, Cultural change, Strategien zur Änderung der Unternehmenskultur, Gerling-Akad.-Verl., München, 1997, ISBN 978-3-932425-03-5
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 65
tag:kes.info,2007:art:2007-1-065
| 