Immer größere Datenmassen sicher zu speichern ist eine Herausforderung für jede IT-Infrastruktur. Schon mit Gigabit-Ethernet lassen sich aber ... (mehr)

Führungskräfte mitnehmen

Für CIOs und Administratoren kleiner und mittlerer Unternehmen sind Kampagnen der oben geschilderten Art zwar zu groß und zu kostspielig. Das Prinzip, Führungskräfte ins Boot zu holen, weil sich Mitarbeiter eher an ihren Fachvorgesetzten oder dem oberen Management orientieren als am IT-Personal, gilt aber in Organisationen jeder Größe. Die Manager haben eine für jede Awareness-Maßnahme zentrale Aufgabe: Sie müssen den Anwendern deren Verantwortung für die Sicherheit von Informationen verdeutlichen, die sie allen technischen Schutzmaßnahmen zum Trotz haben.

Das Wort einer echten Vorbildfigur, mit E-Mails, Web oder Datenträgern vorsichtig umzugehen, kann oft mehr bewirken als noch so viele Appelle aus der IT-Abteilung. Administratoren sollten sich deshalb nach Managern umsehen, mit denen sie sich verstehen, und diese in die Arbeit einbeziehen. Manchmal finden sich in einem Unternehmen aber auch andere Respektspersonen, Sympathieträger oder Meinungsführer, die helfen können. Wer Medien einsetzen will, kann vielleicht die sonst so gescholtenen Blogger, Web- 2.0- und Twitter-Fans im Betrieb dafür begeistern [4] . Ideal, aber zeitaufwändig ist es, wenn sich ein IT-Verantwortlicher eine Position erarbeitet, in der er als souveräner, aber fairer Ansprechpartner für Sorgen und Probleme in IT-Fragen gilt. Unter diesen Umständen kann er leichter Forderungen durchsetzen und lästige Regeln rechtfertigen ( [10] , [11] )

Auf manche Anwender üben Online-Gefahren und ihre Abwehr regelrechte Faszination aus, die sich auch für Awareness-Maßnahmen nutzen lässt, so wie Live-Hacking auf Messen viele Zuschauer anzieht. Manche Personen stoßen auch im privaten Umfeld auf IT-Risiken, etwa im Zusammenhang mit Onlinebanking. Viele User möchten also durchaus verstehen, wie Hacker oder Industriespione arbeiten, und diesen Angreifern gern selbst ein Schnippchen schlagen. Aus psychologischer Sicht ist das Bewusstsein, etwas gegen eine Gefahr tun zu können, neben dem Verantwortungsgefühl die zweite Bedingung dafür, dass sich Menschen für Informationssicherheit engagieren.

Wer es schafft, sicheren Umgang mit IT zum persönlichen Ziel der Mitarbeiter zu machen und ihnen zugleich sicherheitsbezogenes Können vermittelt, das auch am heimischen PC hilft, ist im Vorteil. Schließlich sind ja Menschen durchaus bereit, für Sicherheit Lernaufwand auf sich zu nehmen, wenn sie den Sinn und Vorteil der Sache verstehen: Sporttaucher etwa trainieren zu ihrer Sicherheit extra eine eigene Zeichensprache.

Mitarbeiter sind nicht dumm in Sachen IT-Sicherheit, sondern eher unbeholfen, unsicher oder einfach desinteressiert. Nicht eine bestimmte Technik aktiviert sie im positiven Sinne, sondern eine bestimmte Art des Umgangs mit ihnen, garniert mit interessanten Informationen und gegebenenfalls kleinen Trainings kritischer Situationen.

Infos

  1. Blended Threats: http://www.mcafee.com/us/enterprise/solutions/network_protection/blended_threat_protection_for_email_and_web.html
  2. Corporate Trust: http://www.corporate-trust.de
  3. Pricewaterhouse Coopers: Wirtschaftskriminalität 2007; http://www.pwc.de/fileserver/RepositoryItem/studie_wikri _2007.pdf?itemId=3169192
  4. Bettina Weßelmann, Johannes Wiele, "Digital Natives und Informationssicherheit": Kes, 5/2009, S. 6 bis 12
  5. Johannes Wiele, "Mitarbeiterdatenschutz versus Sicherheit: Das Recht hilft nur mit Diplomatie": DuD 11/2009
  6. Psychologie der IT-Sicherheit: http://www.presseforum08.de/fileadmin/pdf/pf/2008/2008_lmu.pdf .
  7. Bruce Schneiers Blog: http://www.schneier.com/blog
  8. Secaware-Konferenz: http://www.secaware.de
  9. ISSE-Konferenz: http:// [ http://www.isse.eu.com http://]
  10. Johannes Wiele, "Die Mitarbeiter als Firewall": Lanline 7/2005, S. 56 bis 59
  11. Enbw, Known Sense, Pallas u. a., "Aus der Abwehr in den Beichtstuhl": 2008

Der Autor

Bettina Weßelmann ist freie Journalistin und Kommunikationsberaterin. Ihr Spezialgebiet sind die unterschiedlichen Bedingungen und Risiken internationaler Sicherheitskulturen.

Dr. Johannes Wiele arbeitet als Director Business Consulting beim IT-Security-Dienstleister Defense AG in Ismaning.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Security-Awareness-Trainings mit KnowBe4

Seit Beginn der Corona-Pandemie arbeiten zahlreiche Mitarbeiter von Zuhause. Phishing-Betrüger versuchen, dies auszunutzen, und die Anzahl der Phishing-E-Mails ist in diesem Zeitraum deutlich gestiegen. KnowBe4 bietet eine Plattform für Security-Awareness-Training und simuliertes Phishing, womit Mitarbeiter in die Lage versetzt werden sollen, Spam- und Phishing-E-Mails besser zu erkennen. Wir haben die Plattform ausprobiert und waren von der Vielfalt der Testmöglichkeiten überrascht.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023