Diesen Artikel bewerten: 

Faktor Mensch in der Informationssicherheit

Sicherheit beginnt im Kopf – Mitarbeiter erfolgreich sensibilisieren

Alexander Oesterle (Chief Security Officer, SAP) absolvierte sein Studium der medizinischen Informatik an der Universität Heidelberg. Seine berufliche Karriere begann er als Programm Manager für SAP Implementierungen bei einem SAP Partner. Im Anschluss wechselte er zur InterComponentWare AG. Dort war er verantwortlich für das Qualitäts Management und die Globale IT. Seit dem Jahr 2007 ist er für SAP tätig, wo er zunächst das globale Prozess Management leitete. 2012 wurde er Global Vice President mit Verantwortung für Governance, Risk & Compliance. 2013 übernahm er zusätzlich die Verantwortung als Chief Security Officer für die Konzernsicherheit bei der SAP SE. Zur Zeit absolviert er seinen Executive MBA an der Mannheim Business-School und der ESSEC in Paris.
Im Bereich IT-Security ist der Mensch das schwächste und wichtigste Glied in der Kette zugleich. Wie Sie Ihre Mitarbeiter erfolgreich zum Thema Informationsicherheit sensibilisieren.

Die Sensibilisierung der Mitarbeiter ist eine der wichtigsten Aufgaben, um für Informationssicherheit im Unternehmen zu sorgen.

Mitarbeiter zum Thema Sicherheit sensibilisieren.
Mitarbeiter zum Thema Sicherheit sensibilisieren.
Foto: SAP

Wenn man Sicherheitsstudien glauben darf, finden 65 bis 70 Prozent der Angriffe auf Informationen innerhalb eines Unternehmens statt. Das heißt nicht, dass die Mitarbeiter auch die Täter sind, sondern nur, dass technische Maßnahmen, die einen Schutz von außen bieten sollten, umgangen wurden. Was nützt eine Firewall oder Network Monitoring, wenn sich der Täter im eigenen Netzwerk oder Gebäude befindet? Hier kommen Mitarbeiter als größter Schutzfaktor ins Spiel. Nur sie können starke Passwörter wählen, vertrauliche Ausdrucke rechtzeitig vernichten, das White Board mit vertraulichen Informationen nach dem Meeting säubern oder Fremde im Büro direkt ansprechen. Dafür benötigt der Mitarbeiter ein erhöhtes Maß an Sensibilisierung für das Thema Sicherheit. Obwohl das ansatzweise paradox klingt - durch die digitale Transformation und die Verlagerung vieler Prozesse in die Cloud erhöht sich die Verantwortung des Mitarbeiters, des Individuums in der Sicherheitskette.

Die schwere Aufgabe der Kommunikation für Sicherheitsbewusstsein

Die Sensibilisierung der Mitarbeiter für das Thema Sicherheit ist eine Kommunikationsaufgabe. Wie anspruchsvoll diese Aufgabe ist, zeigt ein Zitat des Verhaltensforschers Konrad Lorenz: "Gesagt heißt nicht immer gehört, gehört heißt nicht immer verstanden, verstanden heißt nicht immer einverstanden, einverstanden heißt nicht immer angewendet, angewendet heißt nicht immer beibehalten."

An dieser langen Kette erkennt man, wie viel Arbeit man leisten muss, bis vom ersten "sagen" auch ein "immer beibehalten" erwirkt wird.

Die meisten Unternehmen bleiben leider beim ersten Satz stecken: "Wir haben die Sicherheitsrichtlinie geschrieben und ausgeteilt. Wir haben es "gesagt" und verstehen nicht, warum sich keiner daran hält." Wurde denn überprüft, ob die Richtlinie gelesen und verständlich formuliert wurde? Sind die Regeln sinnvoll und überzeugend? Stellen die Regeln eine Behinderung dar und werden deshalb nicht umgesetzt?

Ohne diese Vorarbeiten ist jede Kommunikationsmaßnahme sinnlos. Nur, wenn wir mit überzeugenden Inhalten und Regeln aufwarten, die unsere Mitarbeiter auch problemlos umsetzen können, dürfen wir langfristige Verhaltensänderung unserer Mitarbeiter erwarten. Jeder Schritt des Lorenz Zitates muss mit einbezogen und geklärt werden.

Sicherheitskultur

Ein entscheidender Faktor für Sicherheit ist sicherlich die Einstellung der Geschäftsführung und des Top Management in Bezug auf Sicherheit. Hier wird die Priorität von Sicherheit geprägt und was der Manager nicht vorlebt, wird der Mitarbeiter nicht annehmen. Und so ergibt sich für eine Firma ein Grad an Sicherheitskultur, der sich im Sicherheitsbewusstsein und im Verhalten widerspiegelt.

Ziele der Sensibilisierung

Die großen drei Ziele der Mitarbeiterkommunikation für Sicherheit lauten: Motivieren, Informieren und Sensibilisieren.

Motivieren, um Mitarbeitern eine positive Einstellung zum Thema Sicherheit zu vermitteln. Sicherheit soll keine Bremse oder Behinderung sein. Alle Maßnahmen zur Erhöhung der Sicherheit beschützen den Erfolg des einzelnen Mitarbeiters und dadurch auch den Erfolg des Unternehmens.

Informieren: Mitarbeiter brauchen generelle Informationen über Gefahren, Informationssicherheit und Richtlinien. Nur wer die Bedrohung kennt und sie nachvollziehen kann, wird sich mit Überzeugung dagegen schützen.

Sensibilisieren: Nur wer überzeugt hat, kann erwarten, dass Mitarbeiter aktiv an der Umsetzung der Maßnahmen mitarbeiten.

Was macht die SAP?

Um das Sicherheitsbewusstsein der Mitarbeiter bei SAP zu erhöhen setzten wir auf eine Mischung aus Training und Kommunikation. Training, um die wichtigsten Sachverhalte und Richtlinien zu vermitteln. Kommunikation, um das Bewusstsein für Sicherheit ständig anzufeuern und auf einem hohen Niveau zu halten.

Aber wir testen auch, ob unsere Maßnahmen ankommen. Clean Desk Checks , Workshops mit Interviews in Fachabteilungen und Social Engineering Penetration Tests zeigen deutlich auf, was funktioniert und was gestärkt werden muss. Die Erkenntnisse fließen wiederum in die Planungen für neue Sicherheitstrainings und transparente Mitarbeiterkommunikation ein.

Das Information Security Forum hat in einer Studie über Sicherheitsbewusstsein die SAP als eine von sieben best-practices ausgewählt. Die Studie ist auf der Webseite des ISF erhältlich. Eine weitere Quelle für Informationen rund um die Informationssicherheit ist die Initiative Deutschland sicher im Netz e.V., die von SAP maßgeblich unterstützt wird.