Sicherheit wird allzu oft nur unter technologischen Aspekten diskutiert. Der Faktor Mensch und die Bedeutung der verständlichen Kommunikation von Sicherheitsregeln wird dabei weitestgehend unterschätzt – ein Fehler, der sich existenzbedrohend auswirken kann.

IT- und Informationssicherheit hat die Vorstandsetagen längst erreicht: „Zur Diskussion über IT-Investitionen auf Vorstandsebene gehört heute auch die Betrachtung des damit einhergehenden IT-Risikos“, heißt es in einer aktuellen Gartner-Research-Note. Diese IT-Risiken werden vorwiegend unter technologischen Gesichtspunkten geführt. Das zeigt sich unter anderem daran, dass immer mehr Unternehmen auf Technologien wie Threat Intelligence Services setzen. Leider mangelt es allerdings vielerorts an einem ganzheitlichen Blick auf die IT-Sicherheit. Denn effiziente Security braucht mehr als nur Technologie – vor allem die richtige Art und Weise der Kommunikation ist hierbei entscheidend, wie Marcus Beyer, Advisory Lead Resilient Workforce bei DXC weiß: „Die meisten Sicherheits-Policies sind völlig unverständlich verfasst.“ Damit legt der Experte den Finger direkt in eine Wunde, die in vielen Unternehmen klafft. Denn Anweisungen, die unverständlich sind, werden nicht befolgt und sind somit nutzlos.

Wo Sparen ins Security-Verderben führt

Beyer beschäftigt sich schon seit vielen Jahren mit den Problemen der IT-Security, die er weitaus umfassender als „Informationssicherheit“ bezeichnet. Das bedeutet, sein Fokus liegt auf einer Art Metaebene, die sich oberhalb des allgemeinen Security-Spektrums bewegt: „Technologie und technische Sicherheitsmaßnahmen sind sehr wichtig, aber noch wichtiger ist der Faktor Mensch, der leider allzu häufig außer Acht gelassen wird“, sagt er über seinen Security-Ansatz.

Dieser Umstand manifestiert sich nach Meinung des DXC-Experten unter anderem in der Kommunikation zwischen den Stellen, die für die IT-Security verantwortlich sind und denen, die mit den sensiblen Daten umgehen müssen: „Die Sicherheits- und IT-Experten sind zwar für die Erstellung der Security-Richtlinien verantwortlich, doch sie haben normalerweise keine gute Schreibe. Häufig werden diese Anweisungen mehr oder minder einfach von einem anderen Unternehmen ungeprüft übernommen.“

Die Folge sind in vielen Fällen Sicherheitsregeln, die nicht nur unverständlich formuliert, sondern dazu auch noch veraltet daherkommen, beziehungsweise völlig überholt sind: „Richtlinien, in denen noch der Umgang mit Telefon und Fax geregelt ist, sind schlichtweg überholt. Spätestens an diesem Punkt sagt sich der Mitarbeiter ‚Haben wir doch alles schon längst nicht mehr, interessiert mich also nicht‘; und schon liest er nicht mehr weiter“, lautet Beyers vernichtendes Urteil. Auch würde es sehr viele „altehrwürdige Berater“ geben, die für wenig Geld solche Papiere „ausarbeiten“. Unternehmen, die bei der Security-Kommunikation eine willkommene Gelegenheit sehen, um Kosten einzusparen, schneiden sich folglich ins eigene Fleisch.

Kennen Sie Ihre Zielgruppen für Sicherheitsthemen

Die Lösung für diese Verständigungsprobleme ist vielschichtig. Bei der Überarbeitung der Sicherheitsregeln, lassen sich beispielsweise zielgruppenspezifische Anhänge hinzufügen. Dabei unterscheidet Beyer mindestens vier Mitarbeitergruppen: Führungskräfte, White-Collar (Büro), Blue-Collar (Logistik & Produktion) und IT-Mitarbeiter. Das macht Sinn, weil sowohl Sprache, als auch Perspektive beispielweise von Führungskräften und IT-Experten sehr unterschiedlich ausfallen können. Stimmt das Wording nicht, können sich die erforderlichen IT-Investitionen deutlich verzögern oder gar Sicherheitsrisiken entstehen.

Die Maßnahmen-Empfehlungen des DXC-Experten beziehen sich aber nicht nur auf schriftliche Richtlinien: „Eine aktualisierte und gut verständliche Sicherheitsanweisung macht das Thema Security noch lange nicht sexy, aber es ist ein guter Anfang, um die Mitarbeiter für diese Probleme zu sensibilisieren“, lautet seine Einschätzung. Ergänzend zu Policies sind interaktive Trainings- und Schulungsmaßnahmen sinnvoll – und das analog. Gerade diesem Aspekt wird regelmäßig nicht der nötige Stellenwert eingeräumt. Die Folgen mangelnden Sicherheitsbewusstseins können existenzbedrohend ausfallen, etwa wenn Mitarbeiter aufgrund mangelhafter Awareness den Social-Engineering-Taktiken krimineller Hacker zum Opfer fallen. Gezielte Schulungsmaßnahmen sind imstande, solche Gefahren deutlich zu reduzieren.

Security Rocks

Besonders wichtig ist, dass die Mitarbeiter nicht nur die gängigen Security-Risiken kennen, sondern auch verstehen, wie diese funktionieren und wie sie im Ernstfall darauf zu reagieren haben. Dabei muss man sich nicht in ellenlangen, abstrakten Abhandlungen ergehen. Der bessere Weg wäre es, das Thema Sicherheit unter Einbindung praktischer Beispiele und mit Geschichten zu emotionalisieren. Nur so kann Security Awareness funktionieren. Oder wie es Beyer ausdrückt: „Security muss genauso unter die Haut gehen, wie guter Rock ‘n‘ Roll.“

Autoren: Harald Weiss & Marcus Beyer // Quelle: THRIVE