Security Awareness: Die Mitarbeiter zu Aktivisten machen

Die Anwender tragen eine große Verantwortung und schon das allzu sorglose Öffnen von E-Mail-Anhängen kann jedes Security-Konzept torpedieren. Dennoch schult nicht einmal jedes zweite deutsche Unternehmen seine Mitarbeiter regelmäßig in IT-Sicherheit – so das Ergebnis einer aktuellen Umfrage der Bundesdruckerei. Ein Problem dabei: Viele Unternehmen stellen zwar Verhaltensregeln und Sicherheitsrichtlinien auf. Allerdings ist schwer festzustellen, ob diese auch eingehalten werden. Häufig werden sie es nicht. Denn Anwender empfinden Verhaltensregeln schnell als unbequem und lästig, wenn sie Mehraufwand verursachen und Aufmerksamkeit für ein Thema jenseits der eigentlichen Jobbeschreibung erfordern. Zudem sorgen abstrakte Sicherheitsrichtlinien nicht unbedingt dafür, dass sich Mitarbeiter ein entscheidendes Element zu eigen machen: Security Awareness, das kritische Bewusstsein für IT-Sicherheit.

Und wie wird diese Awareness geweckt und wach gehalten? Zunächst ist es wichtig, die Mitarbeiter nicht mit Regeln und Informationen zu überfrachten, die fern von ihrem jeweiligen Arbeitsumfeld liegen. Der Kollege aus der Personalabteilung interessiert sich wenig für den Sicherheitsgewinn durch VPN-Verbindungen auf mobilen Devices – der Vertriebsmitarbeiter im Außendienst durchaus. Hier zählt die individuelle Ansprache. Natürlich gibt es auch generelle Fragen, die praktisch jeden im Unternehmen betreffen: Wie kann man herausfinden, ob eine Download-Website frei von Schadsoftware ist? Welche Dateiformate lassen sich über die Gateway-Security-Systeme aus dem Internet beziehen? Wie sollen E-Mail-Empfänger mit bestimmten Arten von Dateianhängen umgehen? Wie lässt sich ein Passwort so generieren, dass es zugleich sicher und benutzbar ist?

Aber bei Awareness geht es nicht einfach darum, reihenweise Einzelfälle durchzuspielen. Vielmehr sollten die Mitarbeiter verstehen, welche Muster auf mögliche Gefahren hindeuten. Diese Muster im Bewusstsein zu haben hilft, wenn im Arbeitsalltag unter Zeitdruck Entscheidungen getroffen werden müssen. Entsprechend wenig taugt ein zwanzigseitiges Textdokument zur Sensibilisierung der Mitarbeiter. Stattdessen sollten alle Informationen so vermittelt werden, dass sie leicht zu verstehen und zu merken sind. Dazu können Visualisierungen, Poster, Flyer, Videos und zielgruppenspezifische Seminare beitragen – ebenso wie Intranet-Seiten mit weiterführenden Informationen und Links. Wesentlich ist immer, bei den Mitarbeiterinnen und Mitarbeitern die Motivation zu wecken, sich mit der IT-Security dauerhaft auseinanderzusetzen. Das gelingt leichter, wenn die Informationen spannend aufbereitet werden. Und nebenbei steigt damit die Chance, dass die Mitarbeiter sich darüber austauschen und Viralität entsteht.

Um bei den Mitarbeitern zusätzliches Engagement für das Thema zu erzeugen, kann ein Hinweis auf die private Gefährdung helfen: Raffinierte Systeme für gute und erinnerungsfähige Passwörter machen schließlich auch die persönlichen Accounts sicherer und Sicherheitstipps zu Phishing nutzen ebenso im privaten Mailverkehr und bei Social-Media-Plattformen.

Im Change Management gilt der Grundsatz: „Man muss die Betroffenen zu Beteiligten machen.“ Auch bei Awareness-Kampagnen geht es im Grunde um einen Change – den nachhaltigen Wandel im Verhalten. Deshalb ist es so wichtig, die Mitarbeiter über die schweren Konsequenzen von Datenverlust, Spionage oder Betrug aufzuklären. Ganz entscheidend gehört dazu das klare Signal, dass die Mitarbeiter-Awareness Chefsache ist. Die hohe Bedeutung und das Mitwirken der Führungsetage sollten in der gesamten Kommunikation erkennbar sein.

Zurück zur Übersicht