Chefs, Mitarbeiter und Security Awareness (Teil 1/2) | ISMS

Security System ISMSDie beste Sicherheitslösung ist zum Scheitern verurteilt ist, wenn der Mensch nicht mitspielt. Umso wichtiger sind Maßnahmen, die die Sensibilisierung der eigenen Mitarbeiter im Umgang mit dem wichtigsten Rohstoff der Organisationen, sprich Informationen, fördern. 

Auch die längste Reise beginnt mit einem ersten Schritt. Der etwas poetisch daherkommende Satz birgt in vielen Lebensbereichen zumindest einen Funken Wahrheit. Dies zeigt sich unter anderem am Dauerthema Prozesse sowie ihrer Umsetzung in Organisationen. Und die Prozessreise ist vielfach länger und beschwerlicher als manch Beobachter meint. Während die einen glauben sie täten alles, dass die Abläufe im Unternehmen verstanden werden und funktionieren, wissen andere nicht von deren Existenz.

Anzeige

Wen wundert es, definiert der Duden den Prozess als ein „sich über eine gewisse Zeit“ erstreckenden Vorgang „bei dem etwas [allmählich] entsteht, sich herausbildet“. Gut, wer Geduld mitbringt, sich auf die Integration von Prozessen versteht und dem komplexen Thema zugleich Leben einhauchen kann. Gerade bei unternehmenskritischen Abläufen und Informationen, wie das Beispiel der Informations-Sicherheits-Management-Systeme, kurz ISMS, verdeutlicht.

Vom alten zum neuen trojanischen Pferd

„Apolls Orakel spricht weissagend aus Kassendrens Munde, es spricht von Trojas letzter Stunde.“ Friedrich Schillers Gedicht „Die Zerstörung von Troja“ beschreibt den Untergang der legendären Stadt. Ein Kampf, der endlos erschien. Zehn Jahre mühten sich die Griechen und schafften es in all dieser Zeit nicht, die Mauern von Troja zu bezwingen und die Stadt einzunehmen. Dies sollte sich mit einer List Odysseus und dem Trojanischen Pferd ändern. Der Rest ist bekannt. Nun sind Odysseus, Achill und Hektor im Staub der Geschichte untergegangen. Das Trojanische Pferd als Sinnbild menschlicher List lebt. Und das lebendiger, als viele ehemaligen Chronisten, Geschichtsschreiber und Philosophen es vermutet hätten.

Seine heutige Form ist nicht greifbar, weil digital und sein Erschaffer ist nicht Odysseus, sondern es sind Hacker. Diese bauen Trojaner für das 21. Jahrhundert und überwinden höhere und stärkere Mauern. Die Beute findet sich nicht in geplünderten Städten, Palästen und Tempeln, sondern in Unternehmen und deren Informationen. Diese Daten sind nach Expertenmeinung das neue Gold unserer digitalen Epoche. Mehr noch brandschatzen Cyberkriminelle mithilfe virtueller Sabotage, legen Infrastrukturen lahm und erpressen Unternehmen sowie staatliche Einrichtungen. Der Siegeszug der Hacker liest sich erschreckend eindrucksvoll: 68 Millionen gestohlene Passwörter beim Online-Speicherdienst Dropbox, 500 Millionen entwendete Kontendaten bei Yahoo sowie 91 Millionen Euro, die Hacker von einem Konto der Zentralbank Bangladeschs erbeuteten. Den Gesamtschaden durch Hackerangriffe beziffern die Experten von Bitkom auf rund 51 Milliarden Euro pro Jahr – nur für die deutsche Wirtschaft und nach „konservativen Berechnungen“. Eines haben alle Cyberangriffe gemeinsam. Sie eint der Angriff auf leisen Sohlen. Die Schäden folgen, mit Zeitverzögerung und einem lauten Knall für die Verantwortlichen. Die Angreifer stoßen heimlich, still und leise ins Herz staatlicher Stellen, von Forschungseinrichtungen oder der Wirtschaft.

Anzeige
Vom Wachsen müssen und den Defiziten

„Kleine Firma, kleine Sorgen. Wachsende Firma, wachsende Sorgen.“ Auf diesen einfachen Nenner brachte es das Wirtschaftsmagazin „brand eins“ in einem Beitrag zu „Wachstum tut weh“. Wie schmerzlich dieses „Wachsen wollen und müssen“ sein kann, erfahren Organisationen jeden Tag.

Angefangen bei internen Kompetenzstreitigkeiten zwischen Abteilungen über schlechte Kommunikationswege bis zur mangelnden Budgetausstattung sowie Insellösungen in den Bereichen Informationssicherheit, Compliance und Risikomanagement. Zusammengefasst fehlt es an einer gemeinsamen und organisations-übergreifenden Strategie sowie durchgängiger Prozesse. An dieser Stelle sind wir zurück und am Anfang der Geschichte.

Um aus Risiken Chancen reifen zu lassen, aus denen Erfolgsgeschichten entstehen, muss eine einheitliche Unternehmenskultur in der Organisation Einzug halten. Die sollte von der Unternehmensspitze initiiert werden, durch alle Organisationsbereiche reichen, verstanden und mitgetragen von allen Mitarbeitern. Vor allem, da es um die Informationssicherheit des Gesamtunternehmens geht.

Hierzu braucht es klare Spielregeln – ein Defizit in vielen Führungsköpfen. Böse formuliert „stinkt der Fisch vom Kopf her“ und meint in diesem Kontext, dass sich Topmanager nicht an die Regeln im Unternehmen halten. „Es genügt nicht, Vorschriften zur Informationssicherheit im Unternehmen aufzuerlegen und sich als Topmanager nicht an die Spielregeln zu halten“, erklärt Uwe Rühl, Geschäftsführer der Rühlconsulting Gruppe. Der Managementsystemexperte zielt an dieser Stelle vor allem auf das Verhalten vieler Entscheider in der Öffentlichkeit ab. „Alle Regeln und Maßnahmen werden ad absurdum geführt, wenn diese beim Verlassen des Firmengeländes über Bord geworfen werden.“ Und Rühl ergänzt: „Jeder der beispielsweise Bahn fährt, bei Kongressen weilt, hört Firmenmitarbeiter, die lautstark über Geschäftszahlen, Vertragsabschlüsse sowie sonstige Interna am Smartphone schwadronieren.“ Kleine Beispiele, große Wirkung, mit negativen Folgen. Im Umkehrschluss heißt das, Informationssicherheit ist nur so gut, wie die Menschen, die sie leben.

Dass ein solches Unterfangen komplex ist, weiß Dr. Jan Hadenfeld, Leiter Service Management und Informationssicherheit der badenIT. Als Tochterunternehmen der badenova zählt die badenIT zu einem der führenden IT-Dienstleister in Baden-Württemberg. Informationssicherheitsprozesse sind Pflichtprogramm im Sinne des Unternehmens. Sie gehören zum Kerngeschäft, wie es in der Managementsprache heißt. Ein ISMS einzuführen und intern durchzusetzen ist ein sensibles Thema. Jan Hadenfeld: „Es ist wichtig und notwendig, dass alle Mitarbeiter und beteiligte Unternehmensbereiche in diesen sensiblen Informationsprozess zeitnah eingebunden werden, gerade wenn es um Mitarbeiterverpflichtungen und Vertraulichkeitserklärungen geht.“ Und Uwe Rühl merkt an: „Mitarbeitern muss ihr Beitrag zur Wirksamkeit des Informationssicherheitsmanagementsystems und der Verbesserung der Informationssicherheit bewusst sein und das geht in erster Linie über eine fundierte Kommunikation in der Organisation.“

Der Mensch, das Wissen …

Apropos Einbinden. An diesem Punkt hapert es, wie das Beispiel ISMS in Organisationen zeigt. Unternehmen und ihre Entscheider müssen das Thema Awareness in der Organisation oben auf die Agenda setzen, um Mitarbeitern das notwendige Set im Umgang mit unternehmenskritischen Informationen zu vermitteln. Es muss eine Kultur reifen, in der alle an einem Strang ziehen und ihren Beitrag für den Erfolg des Unternehmens leisten. Und dazu ist ein umsichtiges Verhalten mit dem Wissen der Firma notwendig. Im Umkehrschluss stellt sich die Frage: Wie sind Mitarbeiter stärker in den Sensibilisierungsprozess der jeweiligen Organisation einzubinden?

In diesem Kontext hat die Rühlconsulting Gruppe jüngst im Rahmen einer Masterarbeit den „Faktor Mensch in der Informationssicherheit“ untersucht.

Im Mittelpunkt standen die „Einsatzmöglichkeiten von E-Portfolios zur Erfüllung der Anforderungen der ISO/IEC 27001 an die Sicherstellung der Kompetenz und Awareness“. Die in Kooperation an der Donau-Universität Krems erstellte Arbeit zeigt: Wissen und die Wissensvermittlung im Bereich der Informationssicherheit sind entscheidende Bausteine für Unternehmen.

Im Klartext heißt das: Organisationen stehen vor der Herkulesaufgabe, ihren Mitarbeitern ein Informationssicherheitsbewusstsein und die notwendige Kompetenz in diesem Bereich zu vermitteln. Dies lässt sich aus der Rolle ableiten, die ein Mitarbeiter im Bereich der Informationssicherheit spielt. Und die ist entscheidend. Auf den Punkte gebracht heißt das: Ohne den Mitarbeiter keine Informationssicherheit.

Wie Sie die Unwissenheit in puncto Informattionssicherheit reduzieren, erfahren Sie in Teil 2.

>> zum Teil 2/2

Weiterführende Informationen zu den Ergebnissen der Befragung erhalten Interessenten unter: [email protected]

Stephanie Lepski
Stephanie Lepski ist Geschäftsführerin der Rucon Service GmbH, einem Teil der Rühlconsulting Gruppe.

 
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.