Der Mensch als größte Schwachstelle – das stimmt per se nicht. Menschliches Versagen ist lediglich das Ende einer Fehlerkette, denn das eigentliche Problem hat viel damit zu tun, wie in einem Unternehmen mit Fehlern umgegangen wird. Ein Interview mit Ari Albertini, Revenue Flow Manager bei der FTAPI Software GmbH.
Herr Albertini, wenn es um Gefahren für IT-Sicherheit in Unternehmen geht, dauert es selten lange, bis der Mensch als größte Schwachstelle gesehen wird. Stimmt das?
Ari Albertini: Wenn man sich bekannte Fälle von Sicherheitslücken anschaut, mag es auf den ersten Blick oft so aussehen. Was man dabei aber nicht vergessen darf: Unternehmen sind Organisationen, in denen bestimmte Regeln herrschen. Und diese Regeln werden in vielen Fällen festgelegt, sei es von der Geschäftsleitung oder im Falle der IT von der IT-Abteilung. Ich würde daher sagen, dass mit Ausnahmen von ganz wenigen Personen, Angestellte, denen einen Fehler unterläuft, nicht in Absicht gehandelt haben. Das sogenannte „menschliche Versagen“ steht am Ende einer Fehlerkette, nicht am Anfang.
Dann lassen sich solche Fehler also komplett vermeiden, wenn die richtigen Abläufe aufgesetzt werden?
Ari Albertini: Ganz vermeiden lassen sich Fehler nie. Aber mit den richtigen Maßnahmen, Programmen und Training lassen sie sich stark reduzieren. Wichtig ist allerdings auch, dass Fehler, sobald sie dann passieren, genutzt werden, um Abläufe zu verbessern. Es bringt nichts, mit dem Finger auf eine Person zu zeigen. Anstatt die Frage zu stellen „Wer ist schuld?“ lautet die wichtigere Frage „Wie können wir verhindern, dass es sich wiederholt? Wir verfolgen den Ansatz: Ein Fehler bedeutet, dass die Abläufe das System nicht gut genug war, um diesen zu verhindern. Die „Schuld“ ist immer im System zu suchen.“
Und wo setzt man da an, wenn es um die IT-Sicherheit geht?
Ari Albertini: Erstmal muss ich im Unternehmen genau wissen, an welchen Stellen besonders kritische und sensible Daten verwendet werden. Dieser Bestandsaufnahme folgt dann die Erarbeitung einer IT-Sicherheitsrichtlinie, in der ich festlege, welche Datentypen wie verwendet werden müssen. Die Gesamtverantwortung dafür kann nicht komplett delegiert werden. Denn sie bleibt beim obersten Führungspersonal, welches das Vorhaben initiieren, steuern und auch kontrollieren muss. Auch muss es notwendige Ressource bereitstellen.
Ok, dann habe ich die Strategie festgelegt, aber nur der Führungskreis weiß davon. Wie komme ich denn jetzt an die Mitarbeiterinnen und Mitarbeiter?
Ari Albertini: Indem ich sie regelmäßig darauf anspreche, dazu schule und die Einhaltung von IT-Sicherheitsvorkehrungen so einfach wie möglich für die gestalte. Nehmen wir das Beispiel, dass eine neue Kollegin im Unternehmen anfängt und ein Onboarding durchläuft. Meistens umfasst das eine Orientierung im Unternehmen wenn es um Angelegenheiten mit der Personalabteilung geht oder auch die Einrichtung der eigenen Arbeitsgeräte geht. Hier sollte von Beginn an eine Datensicherheitsschulung entlang der Sicherheitsstrategie Pflicht sein.
Alle Nutzer sollten in regelmäßigen Abständen an Sicherheitsschulungen teilnehmen. Das kann etwa ein Webinar sein. Oder es ist mal eine gemeinsame Mittagspause mit kurzer Präsentation. Dort kann etwa eine Datenschutzbeauftragte Learnings aus aktuellen Beispielen im Unternehmenskontext erläutern.
Was machen Sie als Unternehmen denn zum Beispiel?
Ari Albertini: Wir bieten bei FTAPI allen Angestellten kostenlos die Möglichkeit zur Ausbildung zur betrieblichen Datenschützer*in innerhalb der Arbeitszeit. Gerade erst haben wieder 23 Kolleginnen und Kollegen ihre Prüfung bestanden. Regelmäßige Schulungen gehören bei uns ebenfalls zum Programm. Grundsätzlich haben wir den Vorteil, dass wir mit unseren Lösungen erfolgreich sind, wenn wir sie gut erklären können. Daher müssen sich alle im Team mit verschiedensten Anwendungsfällen auseinandersetzen. Das schafft Verständnis auch für die interne IT-Sicherheit. Und wenn in der Öffentlichkeit über größere Sicherheitslecks bei Firmen oder Behörden berichtet wird, thematisieren wir das in unseren internen Kanälen. Neulich hat eine Kollegin zum Beispiel von einem Phishing-Versuch erzählt, den sie privat erlebt hat. Ein solcher Austausch macht das Ganze nochmal greifbarer für alle, denn es zeigt, dass es nicht ungewöhnlich ist, entsprechende Mails zu bekommen.