Foto: Pixelio.de/ Gerd Altmann/ AllSilhouettes.com

Sicherheitskultur

Risikobewusstsein braucht Wissen

Das Thema Awareness und Sicherheitskultur ist wichtig, wie eine KPMG-Umfrage unter 500 Führungskräften zeigt. 87 Prozent der Firmen und 96 Prozent der Finanzdienstleister nennen demnach Unachtsamkeit als Hauptfaktor, der E-Crime-Vorfälle begünstigt hat.

Ein fehlendes Risikobewusstsein und eine unzureichende Sicherheitskultur bereiten nach Umfrageergebnissen „große Schwierigkeiten“ in den Organisationen. Sicherheits- und Risikomanagement-experten werben seit langer Zeit für ein qualifiziertes Mehr an Awareness in Organisationen.

Technische Schutzmaßnahmen versagen

Im Vordergrund steht idealtypisch eine solide Sicherheits- und Unternehmenskultur, gelebt von allen Mitarbeitern, Partnern oder Lieferanten. So sind sich viele Mitarbeiter nicht über die Tragweite ihres leichtfertigen Handels im Klaren. Ein beliebtes Einfallstor für Hacker und Wirtschaftsspione: die mangelnde Sicherheit des eigenen mobilen Büros (Smartphone, Tablet & Co.) samt unzureichendem Passwortschutz.

An dieser Stelle versagen die ausgereiftesten technischen Vorkehrungen, bieten keinen Schutz. Das perfide daran ist, dass diese „Einbrüche“ lange Zeit unentdeckt bleiben. Ein Spion über einen langen Zeitraum unerkannt bleibt. Das heißt: Mitarbeiter zu sensibilisieren ist Trumpf. Es sollte Teil der vielbeschworenen strategischen Ausrichtung eines Unternehmens sein; gerade vor dem Hintergrund der neuen Cyberwelt mit Datendiebstahl, Social Engineering oder Virenangriffen auf sensible Infrastruktureinrichtungen.

Kollegen statt Humankapital

Es ist Zeit zum Umdenken. Und das fängt bei einfachen Regeln an. Firmenlenker und Personalverantwortliche müssen sich von Marketingbegriffen wie „Humankapital“ oder „Mitarbeiter-Ressource“ entfernen. Stattdessen von Kollegen sprechen, diese ernst nehmen und ihnen das ehrliche Gefühl geben, dass sie ein vertrauensvoller und wichtiger Teil der Organisation sind. Dies ist die Grundvoraussetzung für loyale Mitarbeiter.

Gerd Bucerius, ehemals deutscher Verleger und Politiker, formulierte in diesem Sinne: „Das zufällige Zusammentreffen auf dem Gang gibt sozialen Kontakt, Gelegenheit, eine Frage zu stellen, oder auch nur, ‚Guten Tag‘ zu sagen. Bitte nehmen Sie dabei die Hände aus der Tasche, es wird beachtet.“ Hier trifft Ehrlichkeit auf Respekt. Mitarbeiter bekommen ein Gefühl von Achtung und sind offen für Neues. Wirbt eine Geschäftsführung für mehr Awareness und Loyalität in den eigenen Reihen, dürfen diese Werte kein leeres Versprechen sein.

Wer nicht investiert, verliert

Um mehr Awareness im eigenen Unternehmen aufzubauen, führt an den eigenen Mitarbeitern kein Weg vorbei. Das heißt, diese in den Gesamtprozess einzubeziehen und zu schulen. Aus Unternehmersicht zahlt es sich mittel- bis langfristig aus, in die eigenen Mitarbeiter zu investieren und sie mit gezielten Kampagnen und Wissen auf die Gefahren durch Hacker und Datenspione aufmerksam zu machen. In vielen Fällen ist den Mitarbeitern nicht bewusst, welches Verhalten eines Kollegen kritisch ist und die Unternehmenssicherheit gefährdet. Gepaart mit Gutgläubigkeit und Leichtsinn mancher Kollegen entsteht ein gefährliches Gemisch, das die besten Sicherheitsvorkehrungen sprengt oder von innen aushöhlt.

Das zu verhindern, ist Aufgabe der Unternehmensleitung. Diese sollte einen geeigneten Schulungsprozess im Bereich Awareness initiieren und dessen Wirksamkeit in der eigenen Organisation überwachen. Hierfür sind zunächst Investitionen notwendig. Besitzen Unternehmen eine gute Konzeption und haben sie aufeinander abgestimmte Maßnahmen erarbeitet, lassen sich Aufwand und Kosten kontrollieren, beispielsweise mithilfe eines individuell festgelegten Key Performance Indicator (KPI) zur Messung des Erfolgs.

Langfristiger Mehrwert

Kosten für Weiterbildungen und Awareness-Programme sind direkt sichtbar und werden in Krisenzeiten schnell reduziert. Viele Personal- und Führungsverantwortliche übersehen den langfristigen Mehrwert und stolpern später über die Mehrkosten, die durch ungeschulte Mitarbeiter und mangelnde Sensibilisierungs- und Sicherheitsprozesse entstehen. Die Resultate reichen von gestohlenen Informationen über sabotierte Infrastruktureinrichtungen bis hin zu kompletten Betriebsausfällen. Am Ende bleiben hohe Kosten und Reputationsschäden.

Für Experten gehört eine langfristig angelegte Schulungskultur in den Unternehmen fest verankert. Mit anderen Worten: schulen, weiterbilden und vorbereiten auf die Herausforderungen in unserer modernen und schnelllebigen Geschäftswelt.

Was heute technologisch und als Schulungsmaßnahme aktuell ist, kann morgen überholt sein. Wer an dieser Stelle als Unternehmen den Anschluss verliert, der hat es schwer, Versäumtes nachzuholen. Aus diesem Grund liegt in einem langfristigen und unternehmensweiten Aus- und Weiterbildungsprogramm im Awareness-Umfeld ein klarer Wettbewerbsvorteil, um Informationen zu schützen, Kosten zu senken und den Unternehmenserfolg zu sichern.

Birgit Jacobs, Mitglied der Geschäftsleitung, qSkills GmbH & Co. KG

Foto: qSkills

4. qSkills Security Summit

Vom Feind auf leisen Sohlen

Im Rahmen des vierten qSkills Security Summit, am 10. Oktober 2011 in Nürnberg, zeigten Experten aus dem Security- und Risk-Umfeld praxisnahe Wege zu mehr Sicherheit und Sensibilität im Umgang mit der Ware Nummer eins: Informationen.

Foto: Bernhard Aichinger/Pixelio

Informationsschutz

Aufklären und schulen

Informationssicherheit gewinnt immer mehr an Bedeutung. Wie Mitarbeiter für dieses Thema sensibilisiert werden können und wie man ein geeignetes Managementsystem aufsetzt, wollte PROTECTOR & WIK von Michael Franke, Berater und Senior Project Manager der Rucon Gruppe, wissen.

Foto: Fotolia/DOC Rabe Media

Compliance

Gesamtlösung gesucht

Compliance-Richtlinien sind mittlerweile in fast allen großen Unternehmen anzutreffen. Was jedoch auffällt: ihr Vokabular. Es wirkt vielfach bemüht, ehrlich zu sein, auf das „Wir“ getrimmt und in der ganzen Lesart eher einem Wohlfühlprospekt entliehen. Dabei sollte man die Wichtigkeit dieser Richtlinien nicht unterschätzen. Denn wer als Unternehmen an diesen Stellen die Hausaufgaben nicht macht, dem drohen empfindliche Geld- oder Haftstrafen und Reputationsverlust.

Foto: Paulwip/Pixelio

qSkills

Wissenstransfer für Professionals

qSkills, der unabhängige IT-Trainingsanbieter, präsentiert sein Schulungs-Know-how im Rahmen der diesjährigen IT-Security-Fachmesse it-sa. Das Unternehmen gibt einen Überblick zu aktuellen Trainingsthemen und lädt Interessierte zu 30-minütigen Security-Workshops ein.