computerwoche.de

Archiv

IT-Angriffe nehmen zu

Sicherheit gibt es nur im Gesamtpaket

24.02.2011
Von 
Thomas Pelkmann ist freier Journalist in München.
Alle Posts des Autors

Mechanische Sicherheitsvorkehrungen reichen nicht aus

Bei allem Verständnis für die Nöte der kleinen und mittelständischen Unternehmen: "IT-Sicherheit", meint die IDC-Analystin in ihrer 2010 erschienenen IT Security-Studie, "ist zunehmend eine ganzheitliche Aufgabe". Zwar stehe - gleichsam als Pflicht - die Technik im Vordergrund. Die Kür einer umfassenden Sicherheitsstrategie erfordere aber zudem auch "organisatorische Maßnahmen wie Unternehmens- und Nutzerrichtlinien sowie Zertifzierungen". Ist ja auch logisch: Wo potenziell die Mitarbeiter - ob bewusst oder unbewusst - die Urheber von Datenverlusten sind, sind rein mechanische Sicherheitsvorkehrungen wichtig, reichen aber nicht aus.

Ohne überzeugte Mitarbeiter lässt sich kein Sicherheitskonzept umsetzen, ist sich Peter Maucher sicher. Er ist bei HP leitender Berater für Governance, Compliance und Informationssicherheit.
Ohne überzeugte Mitarbeiter lässt sich kein Sicherheitskonzept umsetzen, ist sich Peter Maucher sicher. Er ist bei HP leitender Berater für Governance, Compliance und Informationssicherheit.
Foto: HP, Peter Maucher

Zu allererst, da sind sich Lynn-Kristin Thorenz und Peter Maucher einig, gehe es darum, die Awareness für das Thema Sicherheit zu erhöhen. "Viele Mitarbeiter sind sich einfach nicht über die möglichen Gefahren bewusst", meint Thorenz. Hier gehe es also vor allem um Aufklärung sowie um die Vermittlung von verbindlichen Regeln und Umgangsformen.

Meistens empfänden die Mitarbeiter Sicherheitsregeln als lästige Pflicht, deren Erfüllung ihre Arbeit behindere und aufhalte. Solche Maßnahmen, so Thorenz, könnten aber nur greifen, "wenn die Sicherheitskonzepte auch gelebt werden". Die Sensibilisierung der Mitarbeiter sei unumgänglich, um einen wirksamen Schutz des Unternehmens zu gewährleisten. Hier sollte man vor allem auf die betriebswirtschaftlichen und rechtlichen Konsequenzen hinweisen, "auf überzogene Schreckensszenarien" aber verzichten, rät die IDC-Analystin.

Stattdessen müsse man, ergänzt Peter Maucher, die Mitarbeiter unbedingt davon überzeugen, dass nicht nur die Firma, sondern auch sie selbst von den Richtlinien profitierten, "sonst funktioniert es nicht". Wer etwa wisse, dass zum Beispiel auch die eigenen persönlichen Daten zum schützenswerten Gut gehören - Vertragsdaten, Gehaltsdaten, eventuell in den Personalakten auch Daten über Fehlverhalten oder Krankheiten - der werde sich viel nachhaltiger am Datenschutz beteiligen.

Zudem hat ein einfacheres Leben, wer sich an die Regeln hält: Die verbindlichen Vorschriften entlasten den Mitarbeiter davon, sich bei jeder Aktion neu Gedanken machen zu müssen, ob er sich gerade regelkonform verhält. "Und wenn sich herausstellt, dass die Regeln falsch oder unvollständig waren, dann war es nicht mein Fehler, wenn trotzdem mal was schief geht", erläutert HP-Sicherheitsexperte Maucher einen weiteren Vorteil verbindlicher Vorschriften.