Führungskräfte spielen beim Thema Security Awareness eine ganz besondere Rolle. Welchen Einfluss haben sie auf die Handlungen ihrer Angestellten? Und was muss ein Chef selbst über Security Awareness wissen?
In den letzten beiden Folgen unserer kleinen Serie zum Thema „Security Awareness“ sind die Unternehmens-Mitarbeiter nicht sonderlich gut weggekommen: Sie wurden ausgetrickst, machten (menschliche) Fehler und mussten davon überzeugt werden, dass auch sie ihren Anteil zur Unternehmenssicherheit beitragen müssen. Das ist aber kein Grund für die Führungskräfte, sich nun entspannt zurückzulehnen und bei jedem Hack und jeder Datenpanne auf die Mitarbeiter und die IT zu zeigen, kommt ihnen doch eine ganz besondere Rolle beim Thema Security Awareness zu.
„Ich versteh das einfach nicht. Wie kann man nur so naiv sein, den Anhang einer E-Mail zu öffnen, wenn man den Empfänger nicht kennt? Das sollte doch inzwischen auch der letzte wissen, dass das fatale Folgen haben kann! Wofür bezahle ich denn eine IT-Abteilung?“ Der Chef tobt. Eben hat sich herausgestellt, dass ein Erpressungs-Trojaner die gesamte Unternehmens-IT lahm gelegt hat. Da ist es wenig tröstlich, dass man da in bester Gesellschaft ist: Unlängst erst musste das Berliner Kammergericht komplett vom Netz genommen werden, nachdem sich dort der Emotet-Trojaner eingenistet hatte; unter den Folgen leidet man dort noch heute. Für den Chef unseres fiktiven Unternehmens jedenfalls ist klar: Schuld war einer der Angestellten aus dem Vertrieb, der dem Befall durch seine Nachlässigkeit Tür und Tor geöffnet hatte – und die IT, die da vorab keine geeigneten Gegenmaßnahmen getroffen hat. Ein Fall, wie er sich sicher jeden Tag irgendwo auf der Welt ereignet.
Aber – so einfach lassen wir unseren „Chef“ hier nicht davon kommen. Denn statt auf die üblichen Verdächtigen zu deuten, sollte er besser darüber nachdenken, welche Rolle er – bzw. Führungskräfte allgemein – in Bezug auf Datenschutz, Informationssicherheit und Security Awareness in einem Unternehmen spielen. Hat er seine diesbezügliche Vorbildfunktion gut genug ausgefüllt? Welchen Einfluss hat er auf die Handlungen seiner Angestellten? Und was muss er selbst über Security Awareness wissen?
Der Chef als Vorbild
Schon immer war es in der Evolutionsgeschichte so, dass sich Lebewesen am Ranghöheren bzw. Ranghöchsten orientierten. Kinder lernen von den Eltern, Wolfsjungen eifern dem Rudelchef nach; Mitarbeiter können nur dann ihr Potenzial voll ausschöpfen, wenn es an der Spitze jemanden gibt, der die Marschroute vorgibt und das vorlebt, was er von seinen Mitarbeitern verlangt. Denn sie orientieren sich auch am Verhalten des Chefs; selbst wenn sich Aufgaben und Funktionen des Vorgesetzten in den letzten Jahrzehnten stark gewandelt haben, so wird er/sie auch heute noch von den Mitarbeitern beobachtet und dient ihnen als Orientierung; fehlt diese Orientierung, so suchen sie sich ihren eigenen Weg. In unserem Fall heißt das: Wenn sich die Führungskraft nicht zum Thema Informationssicherheit äußert oder sie aktiv mitgestaltet und vorlebt, überträgt sich das auch auf die Mitarbeiter – die dann auch den Eindruck gewinnen, dass das ja so wichtig auch nicht sein kann. Da reicht es eben nicht aus, die Teams in entsprechende Kurse zu stecken oder ihnen Faltblättchen an die Hand zu geben; nein, die Kollegen müssen erkennen, dass dieses Thema auch dem Vorgesetzten wichtig ist. Erst dadurch werden sie motiviert, selbst etwas an Zeit und Anstrengung zu investieren.
Informationssicherheit und Unternehmenskultur
Unternehmenskultur – das sind die Normen, Wertvorstellungen, Regelungen und Einstellungen, aber auch die inoffiziellen Gepflogenheiten, die die Handlungen, Entscheidungen und das Verhalten der Mitarbeiter eines Unternehmens prägen. Das heißt: Die Unternehmenskultur ist eine Orientierungshilfe und Grundlage für das Handeln.
„Gelebte Informationssicherheit fördert eine Unternehmenskultur, in der verantwortungsbewusstes Handeln, Kundenorientierung und die Identifikation mit den Unternehmenszielen fest verankert sind.“ – schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „Leitfaden Informationssicherheit“. Und Bernd Kloft, Informationssicherheitsexperte beim TÜV Rheinland meint:“ „Wirksame Informationssicherheit kombiniert technische Lösungen mit einer Unternehmenskultur, die die Mitarbeiter immer wieder in das Thema einbindet und motiviert.“ Zwei Zitate, die uns zu denken geben sollten, belegen sie doch, dass Informationssicherheit und Unternehmenskultur mittlerweile untrennbar miteinander verbunden sind – oder besser: sein sollten. Nun muss eine „Sicherheitskultur“ (als Teil der Unternehmenskultur) nicht erst geschaffen werden – die ist in jedem Unternehmen vorhanden. Allerdings reagieren Kulturen im Allgemeinen nur sehr langsam auf Veränderungen von außen. Das mag in vielen Bereichen kein Problem oder sogar wünschenswert sein; in der Informationssicherheit aber, wo durch immer ausgefeiltere Angriffe die Bedrohungslage rasant wächst, ist diese Trägheit fatal. Die Sicherheitskultur muss also schnell den neuen Gegebenheiten angepasst werden – und das ist erst einmal Chefsache. Nach einer Analyse des Ist-Zustandes muss ein Soll-Zustand definiert, Veränderungsstrategien geplant und durchgeführt werden – und später auch weiter befeuert werden. Nur mit so einem Gesamtkonzept ist es möglich, bei den Mitarbeitern eine grundlegende Bewusstseinsänderung zu schaffen – und damit eine den heutigen Erfordernissen auf Dauer angepasste Unternehmenskultur. Zielvorgaben, Maßnahmen und Anpassungen müssen dabei aus der Führungsetage kommen, die dabei aber stets die Rückmeldungen der Mitarbeiter berücksichtigen sollten, um so den Erfolg des Kulturwandels richtig einschätzen und den Weg gegebenenfalls korrigieren zu können. Dass die Führungskräfte dann die neue Unternehmenskultur vorbildhaft vorleben, sollte nach dem letzten Abschnitt klar sein.
Was der Chef wissen muss
Wenn Führungskräfte die neue Sicherheits- bzw. Unternehmenskultur vorleben sollen, ist es unabdingbar, dass sie auch mit den Details der Security Awareness vertraut sind. Begriffe wie Tailgating, Social Engineering, Ransomware oder „Fake President“ sollten für ihn keine „böhmischen Dörfer“ sein, auch sollte er über seine eigene (eventuell passive) Rolle bei diesen Angriffen sowie aktuelle Bedrohungen im Netz Bescheid wissen. Um da mitreden und vorleben zu können, ist es – bei mangelhaften Kenntnissen – nicht verkehrt, eins der inzwischen zahlreichen Angebote zum Thema „Unternehmenssicherheit für Führungskräfte“ zu nutzen.
Bundesdatenschutzgesetz, Europäische Datenschutzgrundverordnung, Datenschutz-Anpassungs- und Umsetzungsgesetz, Landesdatenschutzgesetze – das Thema Datenschutz ist ein Dschungel. Bei den Unmengen an Verordnungen und Gesetzen kann man schon mal eingeschüchtert den Überblick verlieren. Weshalb Führungskräfte derartige Sachen dann gerne ihren Juristen und IT-Mitarbeitern überlassen. Aber spätestens seit dem Inkrafttreten der EU-DSGVO geht es auch um Haftungsfragen, Versäumnisse können schnell sehr teuer werden. Daher sollte jeder Chef hier wenigstens die Basics kennen. Denn letztendlich ist nicht die IT, sondern er dafür verantwortlich.
Wissen muss ein Chef schließlich auch, dass Informationen ein durchaus wichtiges Unternehmensgut sind, das in ganz unterschiedlichen Formen vorliegen kann – beispielsweise auf Papier gedruckt, in IT-Systemen gespeichert, aber vor allem auch als Wissen in den Köpfen Ihrer Mitarbeiterinnen und Mitarbeiter – Daten und Informationen sind die neue Währung, die alles bestimmt. Und schon deshalb ist die Etablierung von Prozessen für die Informationssicherheit eine Führungsaufgabe.
Der Mitarbeiter, das unbekannte Wesen
Kommen wir noch einmal zurück zu unserem anfänglichen Szenario und der Frage „Ich versteh das einfach nicht. Wie kann man nur so naiv sein, den Anhang einer E-Mail zu öffnen, wenn man den Empfänger nicht kennt?“ um das beantworten zu können, muss man (bzw. der Chef) sich ein wenig mit dem Thema „Handlungsmotivation“ beschäftigen. Der Mensch an sich ist nun mal ein bequemes Wesen, das in erster Linie nicht das macht, was man ihm sagt, sondern das, was ihm persönlich a) am meisten nützt und b) am wenigsten Anstrengungen bereitet – es sei denn, es drohen ihm Sanktionen, falls er denn dabei erwischt wird. Daher ist es schwer, neue Richtlinien durchzusetzen, die einen Mehraufwand für Mitarbeiter bedeuten, wenn sie nicht von ihrer Notwendigkeit überzeugt sind und zudem einsehen, dass diese auch zu ihrem persönlichen Nutzen sind; ein Gewinn an Sicherheit geht ja erst einmal mit einem Verlust an Bequemlichkeit einher.
Was also kann/muss aus der Führungsetage kommen, um die Mitarbeitermotivation in Bezug auf die Datensicherheit zu steigern? Denn von allein wird da nichts passieren. Nun – statt Richtlinien einfach per Aushang/Mail zu verteilen, sollten lang angelegte Kampagnen geplant und diese dann auch schon im Vorfeld durch (bereits in Teil 2 dieser Artikelreihe vorgestellten) geeignete Maßnahmen vorbereitet werden, bevor es „richtig losgeht“. Dazu gehören inszenierte (aber natürlich letztendlich harmlose) Bedrohungen, die den Mitarbeitern zeigen, wie schnell der Rumpf der Datensicherheit Leck schlagen kann; hilfreich ist es aber auch zu zeigen, dass die neuen Regelungen den Mitarbeitern auch einen Vorteil bei der Gestaltung der privaten, häuslichen IT-Sicherheit bringen. Vor allem aber müssen sie sich bei all dem wertgeschätzt und in den Prozess der Umgestaltung mit einbezogen fühlen. Das alles erfordert Fingerspitzengefühl, Einfühlungsvermögen und gute Planung – und ist ebenfalls „Chefsache“.
Lesen Sie auch die anderen Beiträge dieser Serie:
Teil 1: Security Awareness: Definition und Bedeutung
Teil 2: Methoden der Security Awareness Vermittlung
Teil 3: In der dritten Folge wird beleuchtet werden, welche Rolle Führungskräfte in Bezug auf Datenschutz, Informationssicherheit und Security Awareness in einem Unternehmen spielen. Wie können sie ihre Vorbildfunktion ausfüllen? Welchen Einfluss haben sie auf die Handlungen ihrer Angestellten? Was müssen sie selber über Security Awareness wissen?
Teil 4: Im abschließenden Teil dann lassen wir auch die Kritiker von Security-Awareness-Schulungen zu Wort kommen, die die dafür notwendigen Gelder lieber in eine sichere Software-Entwicklung, bessere Security-Schnittstellen und eine gute Nachsorge stecken würden. Haben die am Ende Recht? Wie weit lässt sich der Faktor Mensch überhaupt durch ein geschultes Sicherheitsbewusstsein eliminieren? Ist der IT-Anwender tatsächlich die letzte wirksame Verteidigungslinie?
Die SKYTALE Online-Akademie für IT-Sicherheit bietet staatlich zugelassene Online-Kurse für IT-Sicherheit und Datensicherheit – als zertifiziertes Fernstudium sowie als eLearning.
Das Kursangebot umfasst zertifizierte Weiterbildungen für IT-Experten sowie Fortbildungen für Mitarbeiter und Führungskräfte.
Die Online-Schulungen zur IT-Sicherheit werden auf einer Lernplattform sowie als App zur Verfügung gestellt und sind als nebenberufliches Studium oder in Vollzeit möglich.