Sicherheitsmanagement: Vergessen wir den Menschen nicht!

Alexander Krenn

Im folgenden Artikel zum Thema Sicherheitsmanagement möchte ich mich daher auf den Faktor Mensch konzentrieren und die wichtigsten Punkte für ein erfolgreiches Sicherheitheitsmanagement hervorheben.

Sicherheitsmanagement ist ein komplexes Thema. Security-Awareness-Trainings alleine sind zu wenig, um die Sicherheitskultur einer Firma nachhaltig zu verändern. Ein umfassendes Konzept – welches Multi-Channel-Maßnahmen berücksichtigt und nicht auf Quick-Wins beschränkt ist – führt zum Erfolg. Denn erst die gezielte Veränderung menschlicher Gewohnheiten beeinflusst die Sicherheitskultur einer Firma. Keine leichte, aber sehr reizbare Aufgabe! Denn wir Menschen sind Gewohnheitstiere: Wir sind bequem und verwenden daher oftmals immer das gleiche Passwort. Wir sind neugierig und klicken deshalb oftmals auf Links. Und das sind nur zwei Beispiele einer unendlich langen Liste an Angewohnheiten, die einem erfolgreichen Sicherheitsmanagement im Weg stehen können.

„Don’t hurry – be successfull!“ – Dieser Grundsatz ist bei der Personalentwicklung wesentlich. Im Gegensatz zu Computern und Prozessen ändert sich der Mensch ausgesprochen ungern und langsam. Die drei Säulen des Sicherheitsmanagements, „Mensch-Prozesse-Technik“ bedürfen daher unterschiedlichen Maßnahmen und Geschwindigkeiten. Für die Technik hat sich in den letzten Jahren ein Schwachstellen-Management-Prozess, der regelmäßige Patch-Zyklen beinhaltet, etabliert. Zur Entwicklung sicherer Software haben sich anerkannte Methoden wie z.B. der SDLC von Microsoft etabliert.

Abb. 1: Menschen haben viele positive Eigenschaften! Angreifer kennen und nutzen sie leider sehr gezielt und professionell!

Prozesse werden in Firmen mit hohem Sicherheits-Reifegrad mit Hilfe der ISO27001 gesteuert. Regelmäßige ISO Audits und der Plan-Do-Check-Act Zyklus garantieren hier einen den kontinuierlichen Verbesserungsprozess.

Die beiden Säulen „Technik“ und „Prozesse“ sind also durch wiederkehrende Maßnahmen bereits in vielen Unternehmen ausgereift. Der Faktor „Mensch“ hinkt diesem Reifegrad oftmals hinterher und kommt mit der Veränderungsgeschwindigkeit der heutigen Gesellschaft einfach nicht mit. Um die Menschen auf dem Weg zur sicheren Informationsverarbeitung mitnehmen zu können, bedarf es neuer Ansätze. Fakt ist, dass Computer und Prozesse keine Informationen schützen – wir Menschen machen das!

Meist haben Sicherheitsverantwortliche eine technische Ausbildung und sind hierarchisch dem IT-Leiter unterstellt. Mit Personalentwicklungsmaßnahmen haben sie selten Erfahrung. Die besten CIOs vernetzen sich daher, wenn es um den Faktor Mensch geht, mit der Personalabteilung und erstellen gemeinsam ein umfassendes Konzept zur Veränderung der Sicherheitskultur. Dabei sind einige Dinge zu beachten: Wichtig ist zum Beispiel, das Konzept über Jahre anzulegen, denn bei der Veränderung von Gewohnheiten – und darauf zielt jede Bildungsmaßnahme ab – ist Geduld gefragt.

Um den größtmöglichen Erfolg zur Gewohnheitsveränderung bei Menschen zu erreichen, hat sich Blended Learning etabliert. Blended Learning – gerne auch als „integriertes Lernen“ übersetzt – berücksichtigt digitale und analoge Maßnahmen. Der Vorteil dabei ist, dass viele unterschiedliche Touchpoints – also Berührungspunkte – mit dem Menschen generiert werden können. Blended Learning kombiniert die jeweiligen Vor- und Nachteile elektronischer und präsenzorientierter Bildungsmaßnahmen. Skalierung versus Nachhaltigkeit, Kosten versus Nutzen um nur zwei Beispiele zu nennen.

Abb. 2: Blended Learning (Quelle: Wikipedia, de.wikipedia.org/wiki/Integriertes_Lernen)

Voraussetzung für die Umsetzung erfolgreicher Awareness Kampagnen:

• Das Management der Firma kennt die bestehende Sicherheitskultur.
• Das Risiko, welches die Differenz zum geforderten SOLL darstellt, wird von Management nicht akzeptiert (gesetzliche Rahmenbedingungen wie die Datenschutz-Grundverordnung oder branchenspezifische Anforderungen zum Beispiel).
• Die Ziele der künftigen Sicherheitskultur sind bekannt.
• Die gewünschten Verhaltensveränderungen sind definiert.
• Mitarbeiter sind Zielgruppen zugeordnet (High-Risk, Risk, Low-Risk) – denn nicht jeder Mensch ist den gleichen Risiken ausgesetzt und benötigt die gleichen Maßnahmen.
• Die Maßnahmen werden den jeweiligen Mitarbeitern zur Verfügung gestellt.

Die Liste möglicher Maßnahmen zur Veränderung einer Sicherheitskultur ist lang:

• Plakate
• Postkarten
• Screensaver
• Post-it
• Give-Aways
• Newsletter
• Experten-Frühstück
• Awareness Training (mit spielerischen Elementen)
• Videos
• Computer Based Learning
• Phishing-Simulation

Auf dieser Basis kann eine Matrix erstellt werden, welche die Zielgruppen samt Mengengerüst und die ausgewählten Maßnahmen in Verbindung stellt. Mit der Matrix ist der erste Teil der Planung abgeschlossen. Nun können Zeiten festgelegt und Termine koordiniert werden.

Der Planung folgt die Umsetzung. Ein erfahrener Projektleiter oder Kampagnenmanager sollte sie begleiten. Teil der Umsetzung sind regelmäßige Messungen und Feedback-Schleifen. Unmittelbares Feedback der Teilnehmer hilft, Verbesserungspotenziale zeitnahe zu erkennen und umzusetzen.

Die Veränderung der Sicherheitskultur ist ein ständiger Prozess. Er hat kein End-, sehr wohl aber ein Anfangsdatum! Warten sie nicht auf den ersten Vorfall, so wie 90% aller Alarmanlagen-Käufer von Einfamilienhäusern. Handeln sie proaktiv und starten sie ihr Programm noch heute!

__________________________________________________________________________________________________________________________________________________________________________

Alexander Krenn ist Gründer der Firma nextbeststep. Seit vielen Jahren ist er Abteilungsleiter für IT-Security bei den österreichischen Lotterien. Bei nextbeststep entwickelt er Konzepte zur Veränderung der Sicherheitskultur in Unternehmen und ist Trainer für Informationssicherheit. Einige Jahre war er auch als Trainer im Kinderfußball tätig. Alexander hat Spaß an der Vermittlung wichtiger Werte und unterstützt Menschen und Unternehmen beim Lernen und Wachsen.