Home » Technologie » Sicherheit » So schaffen Sie eine Kultur der Informationssicherheit

So schaffen Sie eine Kultur der Informationssicherheit

Tech Page One

So schaffen Sie eine Kultur der Informationssicherheit

 

Ich habe im Laufe der Jahre einige Sicherheitsteams geleitet und ihnen oft gesagt, dass sich aus jeder Krise Nutzen ziehen lässt. Und in den Schlagzeilen finden sich heute regelmäßig neue Sicherheitskrisen. Schwerwiegende Sicherheitsverletzungen kommen dabei in praktisch jeder Art von Unternehmen vor – vom Einzelhandel über das Gesundheitswesen bis hin zu Online-Partnervermittlungen. Deswegen ist Datensicherheit selbst für diejenigen Benutzer zu einem der wichtigsten Themen geworden, die nur gelegentlich Technologie verwenden.

In den USA war der Oktober der National Cyber Security Awareness Month. Zahlreiche Veranstaltungen sollten die Bevölkerung für Cyberbedrohungen und Sicherheitslücken sensibilisieren, die ein Risiko für die Informationen darstellen, mit denen sie täglich arbeiten. Unzählige Studien haben belegt, dass Datensicherheitsverletzungen in der Regel nicht durch das Versagen von Sicherheitshardware oder -software verursacht werden, sondern von Menschen – in Analogie an die IT-Welt auch als „Wetware“ bezeichnet (denn das menschliche Gehirn besteht zu 75 % aus Wasser) –, da sie die meisten Informationssysteme bedienen. Mit anderen Worten: Auch wenn Firewalls der nächsten Generation sowie Softwarelösungen für Viren- und Malwareschutz immer ausgeklügelter und effizienter werden, sind sie dennoch immer nur so effektiv (oder ineffektiv) wie die Menschen, die sie benutzen.

Die steigende Zahl an Sicherheitsverletzungen, die Schaden anrichten, sollte daher als Weckruf gesehen werden – die Gewährleistung von Informationssicherheit ist eine gemeinsame Pflicht aller Mitglieder einer Organisation. Zukunftsfähige Unternehmen lassen den lange vorherrschenden Glauben hinter sich, dass Sicherheit etwas ist, für dessen Weiterentwicklung andere zuständig sind (z. B. Sicherheitsbeauftragte oder Entwickler). Mitarbeiter, Geschäftspartner und alle anderen Personen mit Zugriff auf vertrauliche Daten können das Thema Sicherheit nicht länger einfach nur als etwas Lästiges begreifen, dass unglücklicherweise zum Geschäftsalltag dazugehört. Sicherheit ist heute eine unverzichtbare Voraussetzung für den Erfolg und das Wachstum eines Unternehmens. Genauso wie die Informationstechnologie mittlerweile in praktisch jedem Unternehmen in jedem Aspekt des Geschäftsbetriebs fest verankert ist, muss auch die Datensicherheit hier zu einem festen Bestandteil werden. Nur so lässt sich Vertrauen – Business Assurance – schaffen.

Risiken eingehen – auf intelligente Weise

So schaffen Sie eine Kultur der InformationssicherheitDabei geht es jedoch nicht darum, Mitarbeitern einfach nur Angst vor Cyberkriminellen und Sicherheitslücken zu machen. Sie sollen nicht durch die ständige Sorge gelähmt werden, dass sie dem Unternehmen versehentlich schaden könnten. Wer heute auf dem globalen Markt geschäftlich erfolgreich sein will, muss Risiken eingehen, aber auf intelligente Weise. Mitarbeiter in Unternehmen werden immer unter dem Druck stehen, Aufgaben abzuschließen, sich noch mehr anzustrengen und geschäftliche Agilität zu demonstrieren. Dadurch entsteht die Versuchung, bei Sicherheitsprozessen und -protokollen Kompromisse einzugehen und im Zweifelsfall den kürzeren, schnelleren Weg einzuschlagen. Durch die Schaffung einer Sicherheitskultur lässt sich gewährleisten, dass derartiger Pragmatismus intelligent umgesetzt wird und dabei immer die neuesten und besten Bedrohungsdaten berücksichtigt werden, die verfügbar sind. Mitarbeiter müssen wissen, wie akut Bedrohungen sind und wie sie konkret aussehen. Sie müssen wissen, welches Gefahrenpotenzial sie bergen und ob und welche Sicherheitslücken sich auftun könnten.

Der Schlüssel zur Schaffung einer derartigen Kultur ist gute und klare Kommunikation. Es genügt nicht, einfach nur die möglichen Gefahren und unsichtbaren Angreifer ins Gedächtnis zu rufen, von denen Sie sich bedroht glauben – Sie müssen dokumentierte Informationen zu den Fähigkeiten dieser Angreifer und der Art der Bedrohung vermitteln. Meiner Erfahrung nach werden Ihre Mitarbeiter das Thema ernst nehmen und sich aktiv dafür engagieren, wenn Sie offen und ehrlich sagen, worum es geht, und ihnen handfeste Bedrohungsdaten und Tatsachen liefern statt vager Möglichkeiten und Wahrscheinlichkeiten. Nur wenn sie nicht glauben, dass eine Bedrohung tatsächlich real ist, suchen sie hier und da nach Wegen, um Prozesse abzukürzen. Legen Sie Ihren Mitarbeitern also klar formulierte, reale Bedrohungsdaten vor und Sie werden sehen, dass sie die Bedeutung des Themas verstehen werden.

Belohnen und fordern

Aristoteles sagte einmal sinngemäß, dass nur der tugendhaft ist, der nicht aus Angst vor Strafe oder in Erwartung einer Belohnung handelt. Auch wenn die Überzeugung herrscht, dass die Menschheit sich stetig weiterentwickelt – der typische Angestellte ist kein tugendhafter Mensch im aristotelischen Sinne. Wir lernen schon in jungen Jahren, in den Begriffen Handlung und Konsequenz zu denken. Daher haben Organisationen sowohl Anreize als auch Sanktionen zur Verfügung, um die notwendige Kultur der Informationssicherheit aufzubauen. Gewinnbeteiligungen, Boni und andere Standardmaßstäbe zur Beurteilung der Geschäftsleistung sind klare Anreize, mit dem Ziel, Mitarbeiter zu belohnen. Mit ihrer Hilfe lässt sich unterstreichen, dass der angemessene Schutz der Informations-Assets des Unternehmens im besten Interesse beider Seiten liegt. Es sind schließlich diese Assets, mit denen Umsätze generiert und die Gewinne eingefahren werden, von denen auch die Mitarbeiter profitieren. Gewinnbeteiligungen und leistungsorientierte Boni können für Mitarbeiter starke Anreize sein, ihre Energien neu zu fokussieren und sicherzustellen, dass sie bei ihrer täglichen Arbeit so intelligent wie möglich agieren.

Umgekehrt benötigen Organisationen aber auch ein Repertoire an Sanktionen, um die Wichtigkeit der Informationssicherheit zu verdeutlichen. Wer sich mutwillig über wichtige kommunizierte Sicherheitsprotokolle hinwegsetzt und sich weigert, Prozesse zu beachten, die dem Wohl aller dienen, muss mit Konsequenzen rechnen. Wenn diese Konsequenzen klar sind und auch durchgesetzt werden, sind die meisten Menschen durchaus intelligent genug, sie zu akzeptieren, und werden letztlich profitieren. Irgendwann wird die menschliche Natur sich vielleicht ändern. Bis dahin bedarf es einer durchdachten Mischung aus Anreizen und Sanktionen.

Und ganz gleich, für welchen Ansatz sie sich entscheiden – Führungskräfte sollten Möglichkeiten finden, das Thema auf persönlicher Ebene anzugehen. Jeder Einzelne muss individuell Verantwortung übernehmen und seinen persönlichen Beitrag zu Sicherheit und Compliance leisten. So können Sie eine wachsame Belegschaft aufbauen, die kollektiv nach möglichen Sicherheitslücken und Bedrohungen Ausschau hält.

Unsere vernetzte Welt

Die Verflechtungen zwischen physischer und logischer Sicherheit nehmen exponentiell zu. Isolierte, klar abgegrenzte Interessenbereiche gehören größtenteils der Vergangenheit an: Es ist nicht mehr offensichtlich, wo unser berufliches Leben beginnt und unser privates Leben aufhört. Die Grenzen sind so verschwommen, dass eine wirklich sicherheitsbewusste Firmenkultur der Offenheit und dem Grad der Vernetzung in der heutigen Welt Rechnung tragen muss. Eine solche Sicherheitskultur muss, wie ich es ausdrücke, „kontextsensitiv“ sein. Sie muss anerkennen, dass die Welt heute eine offene ist, und sich darauf einstellen, dass eben diese Offenheit jederzeit unerwartete Bedrohungsvektoren schaffen kann.

Was tun Sie, um eine effektive Sicherheitskultur zu schaffen?

 

 

John McClurg

John McClurg

John McClurg leitet den strategischen Fokus und taktischen Ablauf der Dell internen globalen Sicherheitsdienste, die beides betreffen – die physichen sowie auch die Internetdrohungen. Er ist verantwortlich für die Verbesserung der Sicherheitsbemühungen und Implementierung der Dell Sicherheitslösungen. Vor seinem Beitritt zu Dell war McClurg als Vice President für globale Sicherheit bei Honeywell tätig.

Neueste Beiträge:

 

Tags: Sicherheit, Technologie