Aufklären und schulen

PROTECTOR & WIK: Herr Franke, wann haben Sie zuletzt in der Bahn oder im Flugzeug vertrauliche Firmen- informationen Ihres Sitznachbarn mitbekommen?

Michael Franke: Zuletzt? Eigentlich ist das ein Dauerthema. Erst bei der letzten Bahnfahrt konnte ich Mails schräg vor mir mitlesen. Daraufhin habe ich dem Kollegen, er war ebenfalls Consultant, eine E-Mail geschrieben. Das war ziemlich lustig und sorgte für einen gewissen Aha-Effekt. Im Grunde passiert es ständig, dass man wichtige Informationen von anderen Mitreisenden mitbekommt. Ein Grund mag darin liegen, dass es Personen gibt, die ihr eigenes Wertigkeitsgefühl noch damit steigern, möglichst Publikumswirksam zu telefonieren und strategische Themen in der Bahn zu besprechen. Das Resultat ist, dass sie damit die Informationssicherheit, um der eigenen Eitelkeit willen, gefährden.

Man könnte meinen, dass viele Mitarbeiter beim Verlassen der eigenen Firma auch das Thema Informationssicherheit auf dem Schreibtisch vergessen. Woran liegt es?

Da sehe ich vor allem die mangelnde persönliche Awareness oder eher Kenntnis bezüglich bestehender Bedrohungen. Das ist von den Mitarbeitern sicher nicht böswillig, sprich sie denken nicht daran, dass sie ihrem eigenen Unternehmen schaden. Aber die Fälle von Informationsdiebstahl gerade aus diesem Grund sollte Unternehmen zum Handeln veranlassen. Damit meine ich, dass Arbeitgeber gut beraten sind, ihre Mitarbeiter zu schulen und ihnen auch den privaten Nutzen von mehr Sensibilisierung im Umgang mit Informationen aufzuzeigen.

Kommen wir auf das Thema Prozesse zu sprechen. In vielen Unternehmen mutieren diese zu einem wahren Monstrum. Welche Strategie empfehlen Sie, um Prozesse zu verschlanken und damit das Thema Informationssicherheit in den Griff zu bekommen?

Wichtig ist in diesem Zusammenhang, dass die Mitarbeiter, die mit den Prozessen arbeiten und Sicherheitsmaßnahmen anwenden müssen, intensiv und frühzeitig eingebunden werden und den Sinn und Zweck der Maßnahmen begreifen. Sei es durch Workshops, Schulungen oder mit Hilfe von Informationsveranstaltungen. Das wiederum setzt eine offene Kultur in der Organisation voraus, die Platz für konstruktive Rückmeldungen erlaubt.

Das Schwungrad der Digitalisierung dreht sich immer schneller. Viele Unternehmen können diesem Tempo nicht folgen, geschweige denn die Mitarbeiter. Was braucht es aus Ihrer Erfahrung heraus, um Mitarbeiter zielführend in den Digitalisierungsprozess der eigenen Organisation einzubinden?

Entscheidend sind klare Informationen über den Sinn, die Notwendigkeit und die Chancen, die sich aus bestimmten Digitalisierungsprozessen ergeben. Das heißt, die Mitarbeiter müssen das verstehen. Im Umkehrschluss bedeutet das auch, den Kollegen die Ängste und Vorbehalte vor der Digitalisierung zu nehmen. Die Mitarbeiter mitnehmen, aufklären, Transparenz erzeugen, beispielsweise mit Schulungen und Workshops, und in den Gesamtprozess offen einbinden – das sollte die Maxime sein.

Informationssicherheitsmanagement, kurz ISMS, wird in vielen Unternehmen noch immer mit IT-Sicherheit gleichgesetzt. Experten sehen das als einen fatalen Irrtum. Warum?

Dem kann ich mich nur anschließen. Die zwei Buchstaben IT bedeuten, dass 90 Prozent der Mitarbeiter umgehend aus dem Thema aussteigen. Dann heißt es schnell, dass es nicht das Problem des jeweiligen Mitarbeiters sei, denn das machen die IT-Verantwortlichen. Oder damit habe ich als Mitarbeiter nichts zu tun, geschweige denn eine Ahnung. Doch gerade der Schutz von Informationen geht alle Mitarbeiter etwas an, und dafür sollten sich auch alle interessieren. Denn schließlich hängt das Thema Informationssicherheit zum überwiegenden Teil vom Verhalten der Mitarbeiter ab.

Haben Sie ein konkretes Praxisbeispiel für unsere Leser?

Jedes Unternehmen hat eine Firewall und blockt potentiellen Spam oder Schadcode. Doch all diese Vorkehrungen helfen wenig, wenn Mitarbeiter sich hundertprozentig darauf verlassen und Schad-Mails samt Anhängen, die dann wirklich zu ihnen durchkommen, einfach ohne zu überlegen anklicken. Damit wird Phishing leicht gemacht, und es ist absehbar, bis das nächste Unternehmensnetz gehackt ist. Vor allem geht es darum, dass das Management seine Verantwortung für Informationssicherheit versteht. Welche Informationen sind das besondere Gut des Unternehmens und müssen gesondert geschützt werden? Wie gehe ich mit Entwicklungsergebnissen um? Was bedeutet Informationssicherheit im Outsourcing? Wie sieht es mit dem Einsatz von Cloud-Lösungen aus? All das sind strategische Entscheidungen, die unter Berücksichtigung der Informationssicherheit getroffen werden müssen. Erst dann kann man eine IT-Sicherheitsstrategie ableiten und zudem überlegen, welche zusätzlichen Awareness-Maßnahmen notwendig sind.

Trotz massiver Pannen im Bereich der Informationssicherheit lernen viele Unternehmenslenker nicht aus den Vorfällen. Woran liegt das Ihrer Meinung nach und wie lässt sich dieser Missstand beheben?

Gute Frage. Auch hier ein Vergleich. Ihr Nachbar hat einen Herzinfarkt. Meist ist die Reaktion: „Die Einschläge kommen näher.“ Dass man vielleicht die gleichen Risiken hat, Übergewicht, Rauchen, kein Sport, beruflicher Stress und vieles mehr, wird ausgeblendet. Auch hier hilft nur Schulung. Die Gesamt-Awareness des Topmanagements ist meist schlecht. Hier ist Aufklärung dringend notwendig. Teilweise liegt es auch an zu wenig Ressourcen und Know-how für echte Ursachenanalysen. Woran liegt es und welche Auswirkungen hat das wiederum auf die Strategie der Informationssicherheit? Und dabei geht es auch häufig um Investitionen, die getätigt werden müssen oder sollten.

Fokussieren wir uns auf den Mitarbeiter, der nach Deutung vieler Beiträge, Geschäftsberichte und Expertenmeinungen das wichtigste Glied in der Kette der Informationssicherheit ist. Die Realität zeigt, wie eingangs beschrieben, in vielen Fällen ein anderes Bild. Wie können Unternehmen den Mitarbeiter besser einbinden und sensibilisieren?

Wie bereits oben und in Folge gesagt, durch Aufklärung und Schulung. Holen Sie Ihre Mitarbeiter ab. Nicht nur am Arbeitsplatz, sondern auch in ihrem privaten Umfeld. Zeigen Sie Mitarbeitern aktiv Bedrohungen auf, loben Sie sicherheitsbewusstes Verhalten. Demonstrieren Sie beispielsweise mit „live Hacking“, wie leicht es ein Angreifer oft hat. Was nutzt uns eine hundertprozentig sichere IT in einem Unternehmen, wenn Mitarbeiter bis hin zum Geschäftsführer oder Vorstand beispielsweise ihr Dienst-Tablet an den fünfjährigen Sohn zum Spielen geben und dieser klickt eine „Du hast ein iPhone gewonnen“ SMS an, in der sich ein Schadcode verbirgt?

Verraten Sie unseren Lesern, wie auch Unternehmen mit wenig Budget einen erfolgreichen ISMS-Prozess aufsetzen können?

Hier sind schlanke Prozesse und eine klare Marschrichtung der Geschäftsführung wichtig. Auch wenn ich es wiederhole: Das können Unternehmen nur über die Awareness der Mitarbeiter realisieren. Also mit Hilfe von Schulungen. Ein weiterer wichtiger Punkt ist es, Informationssicherheit als Bestandteil der Unternehmensstrategie zu verstehen und Investitionen gleich auch auf Informationssicherheitsaspekte abklopfen. Im Grunde ist das allemal günstiger, als nachzurüsten.

Schauen wir abschließend nach vorne. In welche Richtung muss sich das ISMS organisatorisch und vom Verständnis bewegen, um den wachsenden Anforderungen zukünftig gerecht zu werden?

Ein ISMS muss, wie jedes Managementsystem, in den Prozessen des Unternehmens verankert und integriert sein, auf die Bedürfnisse angepasst sein und sich mit diesen weiterentwickeln. Hierfür ist die absolute Grundvoraussetzung das hundertprozentige Commitment des Topmanagements und dessen Handeln. Nur so schaffen es Unternehmen, sich in der dynamischen Entwicklung der technischen Möglichkeiten und den damit verbundenen Risiken agil zu bewegen. Denn am Ende geht es nicht nur um Informationssicherheit, sondern um die Gesamtwiderstandsfähigkeit des Unternehmens mithilfe einer Organisational Resiliance sicherzustellen. ASL