Entsicherung am Arbeitsplatz Erkenntnisse und Folgerungen zur Psychologie der IT-Sicherheit

Ordnungsmerkmale

erschienen in: <kes> 2006#6, Seite 61

Rubrik: Management und Wissen

Schlagwort: Psychologie der IT-Sicherheit

Zusammenfassung: Eine "wasserdichte Security" im Unternehmen ist seelisch nicht zu ertragen – zu diesem Schluss kommt die tiefenpsychologische Studie Entsicherung am Arbeitsplatz. Der Mensch braucht Freiräume oder versucht (unbewusst) einen allzu engen Käfig zu sprengen und sorgt so selbst für Sicherheitsprobleme.

"Irgendetwas" hält viele Mitarbeiter offenbar in der täglichen Praxis davon ab, die ihnen weitgehend bekannten Sicherheitsstandards in die Tat umzusetzen. Worum handelt es sich dabei? Woher rühren die "Fehlleistungen", die Irrtum und Nachlässigkeit eigener Mitarbeiter zum bedeutendsten Gefahrenbereich der Informations-Sicherheit werden lassen? Was begrenzt die Wirksamkeit etlicher Awareness-Kampagnen und Trainingsmaßnahmen, von der zahlreiche Erfahrungsberichte, CSOs und Security-Berater ein Lied zu singen wissen?

[Coverscan der Studie] Auf der Suche nach Antworten auf diese und ähnliche Fragen haben die Kommunikationsagentur known_sense und <kes> gemeinsam mit der EnBW Energie Baden-Württemberg, dem Deutschen Sparkassenverlag, nextsolutions und Pallas eine psychologische Studie produziert. Die wissenschaftliche Projektleitung lag bei den Diplom-Psychologen Udo Eichstädt und Ankha Haucke, die Feldorganisation beim Kölner K&M Forum. Hierzu wurden 15 zweistündige tiefenpsychologische Interviews mit "Bildschirmarbeitern" geführt, für deren Tätigkeiten Sicherheitsaspekte und auch Mobile Computing von Bedeutung sind. Neben dem Ergründen menschlicher Aspekte der IT-Security ging es dabei vorrangig um die Themenfelder Passwörter, E-Mail und Spam, Malware, Phishing sowie IT-Abteilung und Arbeitsumfeld.

Dieser Artikel enthält wesentliche Teile aus Fazit und Empfehlungen der Studie; Bezugsinfos zur vollständigen Studie, die zudem etliche Aussagen der Befragten sowie detailliertere Erkenntnisse zu den genannten Themenfeldern umfasst, finden Sie am Schluss des Beitrags.

Ambivalenz der Security

Die Befragten zeigten in den Gesprächen wenig Initiative und agierten überwiegend sachlich und wenig emotional. IT-Security erachten sie als wichtig und notwendig und nehmen auch dabei eine sachlich-verstehende Haltung ein. Sicherheit wird als passiver Akt beschrieben, Verantwortung und Umsetzung an die IT-Abteilung delegiert. Die Befragten vermitteln nicht den Eindruck, aktiv zu sichern, sondern befolgen (nur) Anweisungen – sowohl diese Sicherheitsanweisungen als auch ihre Umsetzung wirken oft wenig motiviert.

Ungeliebte Seiten an der Informations-Sicherheit und eine kritische Auseinandersetzung blieben zunächst aus. An manchen Stellen kam es jedoch zu (überraschenden) "Ausbrüchen" aus der beschriebenen Sachlichkeit: Immer wieder zeigt sich eine gewisse Faszination von Verbotenem oder Gefährlichem, Schadenfreude über das Versagen von Sicherheitssystemen oder der (latente) Wunsch zur Rebellion gegen zu viel Versachlichung und Entmenschlichung.

Der IT-Abteilung und ihren Security-Maßnahmen wird ebenfalls ambivalent begegnet: Einerseits helfen sie durch ihre administrative Präsenz, die Arbeitsverfassung des Einzelnen im gewünschten Rahmen zu halten. Andererseits werden sie als Exekutive des Systemzwangs im Unternehmen erlebt und dabei bisweilen als Kontrollinstanz mit einem Hang zu Größenwahn und Sadismus beschrieben. In der Regel stehen die Befragten ihnen misstrauisch bis ablehnend gegenüber.

Insgesamt wird das gesicherte Unternehmen als Bollwerk wahrgenommen, das sowohl gegen Eindringlinge von außen schützt als auch unerwünschte Aktivitäten von Internen verhindert. Der Eindruck von der IT-Security kippt zwischen einem notwendig haltgebenden Rahmen und einem fesselnden Kontrollinstrument. Das Erleben und der Umgang mit IT-Security sind dabei untrennbar mit dem Selbstverständnis des Unternehmens verbunden: Aktuelle Strömungen in der Unternehmenskultur bieten zunehmend weniger Raum für das Unterbringen von Eigenem. Viele Befragte beschreiben eine Entwicklung ihrer Firmen, die sie – die Arbeitnehmer – zunehmend zu einer funktionierenden Sache reduziert, quasi entmenschlicht. Zu den Instrumenten dieser Ver-Sachlichung gehören sowohl das Arbeitsumfeld als auch die Informationstechnik.

Riskante Versachlichung

Der vielmals gewünschte Umgang mit IT-Security spitzt die Versachlichung weiter zu: Sicherheit wird dann überwiegend als Kontrollinstanz erlebt, die konkrete Durchführung als "unmenschlich" (ver-sachlichend) empfunden. Je weniger Raum für Eigenes vorhanden ist, umso mehr besteht die Gefahr der Verkehrung des Schutz- in ein Zwang-System. Der Wunsch nach Menschlichem kann dann leicht zu ent-sichernden Handlungen führen, um – im Umfeld von Sicherheitsmaßnahmen – der Ver-Sachlichung entgegenzuwirken.

Eine sinnvolle Weiterentwicklung von Sicherheitsmaßnahmen muss daher ihre Schutzfunktion bewahren und darin zugleich individuelle Gestaltungsmöglichkeiten für die Betroffenen unterbringen. Beispielsweise entsteht entsichernde Reaktanz bei den Befragten dann, wenn sie gezwungen werden, ein Passwort zu vergeben, das ausschließlich den Zugang zum System ermöglicht, Eigenes aber "außen vor" lässt. Die Anleitung zur Passwort-Gestaltung sollte daher Mitarbeiter ermutigen ("herausfordern"), Eigenes kunstvoll darin zu verstecken und zugleich den Sicherungsanforderungen zu entsprechen (sich also insbesondere nicht mit Trivialpassworten aus dem persönlichen Umfeld zu begnügen).

Auch das Zulassen privater E-Mails – in einem bestimmten Rahmen – liefert die Chance zu einem kontrollierten Austausch mit der Außenwelt, einem persönlichen Bereich im eher unpersönlichen Arbeitsalltag. Über das Zulassen kontrollierter, beschränkter "Drähte nach draußen" kommt es weniger zu unkontrollierten "Ausbrüchen", die aus dem Wunsch der Mitarbeiter nach Raum für Eigenes resultieren.

Malware und die entsprechende Abwehr bieten zudem die Möglichkeit einer Dramatisierung und Belebung des sonst eher abstrakten und schwer greifbaren Themas Informations-Sicherheit: Derzeit wird die Auseinandersetzung zwischen Angreifern und Verteidigern überwiegend ungesehen vom Mitarbeiter vollzogen. Die Form, in der die Befragten Schutzmaßnahmen beschreiben, zeigt jedoch ein deutliches Interesse am Bildhaften. Eine stärkere Visualisierung kann hier zu einer stärkeren Identifikation und Teilhabe der Mitarbeiter an den Abwehrmechanismen führen – und somit auch zu mehr Akzeptanz.

Sichtbare Sicherheit

Die Visualisierung von Angreifern (und Verteidigern) und ihren Auseinandersetzungen ermöglicht es zudem, diese als Stellvertreter der im Arbeitsalltag unterdrückten unkultivierten Tendenzen zu nutzen. Die stärkere Anteilnahme an solchen "Gefechten" eröffnet im sachlichen Arbeitsablauf Menschliches. Gleichzeitig wird auch die Arbeit der CSOs sichtbarer und "wertvoller". Anders ausgedrückt: IT-Security muss mehr und besser für sich werben, muss sich "aufladen", indem sie die Mitarbeiter einbindet – möglichst mit einer gewissen anschaulichen Dramatik. Informations-Sicherheit braucht Kommunikation!

Das Interesse der Befragten an einer direkteren Auseinandersetzung (quasi ein Duellieren mit Viren, Würmern oder Hackern) lässt sich im Sinne einer Belebung entmenschlichter Arbeitsverfassungen strategisch als "Abwehr" beziehungsweise "Kampf" aufgreifen, an dem der Arbeitnehmer teilhat. Erfolgversprechende IT-Security braucht ein Gesicht, braucht Protagonisten (vgl. "Aktenzeichen XY").

Eine versachlichende, allzu didaktische oder gar drohende Ansprache der Mitarbeiter ist dabei kontraproduktiv! Es muss vielmehr um ein "sinnliches" Einbeziehen der Mitarbeiter gehen, das nur vor dem Hintergrund einer lebendig-spannenden IT-Security mit Identifikationspotenzial funktioniert.

Erst sinnliches Einbeziehen in eine dramatische Geschichte erzeugt wirkliche, dauerhafte Awareness. Informations-Sicherheit braucht eine Bebilderung ihrer Tätigkeit – beispielsweise Wachhunde, Torposten oder den CSO als kühler Stratege (Feldherr) oder bulliger Türsteher. Trainingsmaßnahmen und andere klassische Awareness-Maßnahmen müssen, wenn sie wirken sollen, eine solche Bilddramatik transportieren und den Mitarbeiter darin als Mitstreiter erfahrbar machen.

Die 63-seitige Printausgabe der Studie ist auf Deutsch oder Englisch zum Preis von 380 € via known_sense ([externer Link] www.known-sense.de) und den SecuMedia-Buchshop ([externer Link] http://buchshop.secumedia.de) erhältlich. <kes>-Abonnenten können die Studie auch direkt beim SecuMedia-Verlag zum Vorzugspreis von 290 € bestellen – am Einfachsten unter Angabe der Abo-Nummer per E-Mail an vertrieb@secumedia.de oder Fax an +49 6725 5994.