Wie begeistert man Mitarbeiter für IT-Security?

EnterpriseSicherheit

Beim Thema Sicherheit geht es oft nicht nur darum, Wissen zu verbreiten, sondern Verhaltensweisen zu verändern. Vor allem das der eigenen Mitarbeiter und des Managements.

Noch immer verstehen viele Firmen unter dem Begriff IT-Sicherheit die Installation von Firewalls und Virenscannern – technische Lösungen eben. Der Sensibilisierung der Mitarbeiter wird häufig zu wenig Aufmerksamkeit geschenkt. Entweder weil den Verantwortlichen für IT-Security das Bewusstsein dafür fehlt, oder weil die Firmenleitung Aktionen mit entsprechendem Aufmerksamkeitswert nicht bewilligt.
Allerdings gehe es beim Thema Sicherheit nicht nur darum, Wissen zu verändern, sondern Verhalten zu verändern, sagt Dirk Fox, Consultant der Karlsruher Sicherheitsberatungsfirma Secorvo. “Es ist ein bisschen, wie wenn man Kindern das Zähneputzen beibringt”, zieht Fox einen Vergleich. Die notwendigen Handlungen müssten in Fleisch und Blut übergehen.

Doch bevor man mit gezielten Aktivitäten versucht, das Interesse der Mitarbeiter für das eher dröge Thema IT-Sicherheit zu begeistern, müssen die Verantwortlichen zunächst die Unternehmensführung von der Notwendigkeit solcher Aktionen überzeugen. “Der Arbeitstag des Managements ist randvoll. Um dort Gehör zu finden, muss man eine Sache unterbreiten, die gewichtiger ist als die anderen Dinge, die einem Chef im Kopf herumschwirren,” beschreibt Walter Koller das Problem. Koller ist geschäftsführender Partner der österreichischen Strategieberatung Pro4s und weiß, dass “das Thema IT-Security an sich dieses Kriterium nicht erfüllt”.

<b>Was ist Sicherheit wert?</b>

Daher, so Koller weiter, könne ein Sicherheitsverantwortlicher sein Anliegen nur durch einen aktuellen Bezug oder unter dem Gesichtspunkt ‘konkreter Nutzen’ erfolgreich bei der Unternehmensführung vorbringen. Es sei also ratsam, das Thema IT-Security beispielsweise mit Themen wie Werksschutz und Sicherheit am Arbeitsplatz zu verknüpfen. An einem exemplarischen Fall könne man dem Management dann vorrechnen, welche Kosten beispielsweise durch nachlässige Mitarbeiter entstehen könnten. “Wichtig dabei ist, diese fiktiven Kosten sehr konservativ anzusetzen”, rät Koller. “Wenn einem die Unternehmensführung nachweisen kann, dass man bei den Folgekosten von Sicherheitsvorfällen übertreibt, hat man seine Glaubwürdigkeit verspielt.”

Michael Lardschneider,  zuständig bei der Münchner Rückversicherung für Informationssicherheit auf globaler Ebene, hat einen aktuellen Anlass für eine IT-Sicherheitskampagne genutzt. Lardschneider wurde nach einem Vorfall mit Computerviren im Jahr 2001 beim Vorstand vorstellig. Da die Auswirkungen des damaligen Virenvorfalls bis auf die höchste Ebene eskaliert waren, “hat das dort das Bewusstsein geschärft”, sagt Lardschneider rückblickend. Zum Auftakt der Sicherheitskampagne am Münchner Standort des Unternehmens nahm der Vorstand die Führungskräfte in Sachen Informationssicherheit offiziell in die Pflicht – eine ideale Voraussetzung, damit die Kampagne bei den Mitarbeitern auf fruchtbaren Boden fiel.

<b>Aufmerksamkeit erregen</b>

Auftakt für die auf drei Jahre angelegte und derzeit noch laufende Kampagne war eine drei Tage dauernde Hausmesse. “Ein pfiffiges Plakat und eine Einladung für jeden Mitarbeiter mit dem Vermerk ‘persönlich vertraulich’ warben für die Messe”, so Lardschneider. Im Vorfeld der Messe wurden außerdem an hoch frequentierten Stellen so genannte Demo-Punkte eingerichtet. “Beispielsweise einer zum Thema ‘Wasserschaden’, bei dem ein Notebook in einem Aquarium lag”, erzählt Lardschneider.

Aufmerksamkeit erregen, lautete die Devise der Projektverantwortlichen. Denn das Marketing spiele eine wichtige Rolle, wenn man seine Botschaft an den Mitarbeiter bringen wolle. Deshalb hat das gesamte Awareness-Projekt auch einen griffigen Namen bekommen, statt einer der in Computerkreisen weit verbreiteten kryptischen Abkürzungen. “Wir nannten es Alcatraz”, sagt Lardschneider. Die Hälfte der Mitarbeiter habe das toll gefunden, die andere eher befremdlich. “Aber es wurde dadurch über das Thema Sicherheit diskutiert”, stellt er zufrieden fest.

Ein aktueller Anlass, an den sich dann eine Kampagne anknüpfen lasse, sei natürlich ideal, bestätigt Pro4s-Berater Koller. Trotzdem müsse man nicht darauf warten: “Wenn ein Security-Verantwortlicher beispielsweise signalisiert, dass es sich bei der Kampagne um eine zeitlich klar befristete Belastung des Firmenbudgets handelt, nimmt er dem Management die Sorge, dass einmalig genehmigte Ausgaben sich in einer dauerhaften Erhöhung des Etats niederschlagen könnten.” Das erhöhe die Chancen für eine Kampagne.

<b>Sicherheit braucht Agenten</b>

Bevor man die Unternehmensführung angehe, könne man sich auch im mittleren Management Anhänger für seine Idee suchen, so Koller weiter. Bereichs- oder Niederlassungsleiter seien Beispiele dafür. Denn wenn nicht nur der Sicherheitsverantwortliche die Idee einer Kampagne unterstütze, erhöhe das die Chancen, um bei der Unternehmensleitung Gehör zu finden.

Skepsis gegenüber einer Sicherheitskampagne kann es aber nicht nur beim Management geben. So wurde bei einem Softwareanbieter eine geplante Aktion für eine Schärfung des IT-Sicherheitsbewusstseins ausgerechnet von manchem Mitarbeiter der hauseigenen IT-Abteilung skeptisch beäugt. Die – unbegründete – Angst vor dem Verlust von Fachwissen, war wohl die psychologische Ursache dafür. Doch nach dem erfolgreichen Verlauf der Kampagne seien auch diese Zweifler überzeugt gewesen, so ein Beteiligter.

Getreu der Erkenntnis, dass eine erfolgreiche IT-Security-Kampagne viele Botschafter braucht, machte die SAP sich für ihre Aktion im Jahr 2000 auch die Auszubildenden zunutze. Da diese viele Abteilungen durchlaufen und noch nicht so im Tagesgeschäft stecken, ernannte man sie zu einer Art ‘Sicherheitsbotschafter’: Sie wurden ermuntert, in den Abteilungen auf Defizite im Security-Bereich hinzuweisen, die ihnen aufgefallen waren. Die SAP ließ sich ihre damalige Kampagne am Walldorfer Standort rund 18.000 Euro kosten.

Doch der Erfolg einer Kampagne bemisst sich nicht an der Höhe der investierten Summe. Einfache Aktionen, wie beispielsweise ein regelmäßig durchgeführter Workshop, kosten womöglich nur einige tausend Euro und zeigen ebenfalls Wirkung. “Die Unterschiede bei der investierten Summe können einen Faktor 10 oder 20 ausmachen, wenn man verschiedene Unternehmen vergleicht”, bestätigt auch Secorvo-Consultant Fox. Und Pro4s-Berater Koller gibt zu bedenken, dass die erzielbare Wirkung einer Sicherheitskampagne letztlich von den gleichen Faktoren abhänge, die in der Kindererziehung zum Tragen kämen: “Spielregeln vereinbaren, diese durchsetzen und vor allem selbst vorleben.”