(K)ein normaler Tag im Security-Theater

Personen
Christian: Majordomus, Faktotum, „Nummer Eins“
Vicky: Vertrieb
Petra: Personal aka „Human Resources“
Attila: Admin, IT-Abteilung
Babs: Bürokraft und Betriebsrat
Dr. Müller: Leiter der IT-Abteilung
Hr. Ehrlich: Security-Consultant

Morgens am Kaffeeautomaten vor dem Schulungsraum – Vicky schlürft im blauen Kostüm eine Latte Macchiato, Auftritt Christian im Nadelstreifenanzug

Christian: Hallo Vicky!

Vicky: Grüß dich Christian, na wie läufts?

Christian: Ach, was soll ich sagen? „Harte Arbeit, karger Lohn“ und dazu steigende Vorgaben und sinkende Budgets. – (zieht sich einen Espresso) – Was denkst du, wird der heutige Vortrag nützlich oder kann man den vergessen?

Vicky (desillusioniert): Was man so via Flurfunk hört, ist es das Übliche, was Berater so präsentieren – „Same Procedure as every Year, James“: Allgemeines zu Security, Beispiele, die am Thema vorbeischrammen, und viel Fachchinesisch, dass keiner versteht – mit einem Zertifikatstest am Ende der Veranstaltung, den jeder besteht! Ich vermute mal, das ist aber Absicht. Wenn die Fragen schwieriger wären und ein echtes Mitdenken voraussetzen würden, hätte man eine geringere Erfolgsquote, was dann bei den Kollegen zu Frustration und beim Management zu Zweifeln führt, ob man den richtigen Security-Partner gewählt hat.

Christian: Interessant – ich zitiere, unsere ManagementExpertin Vicky: „Unsere Security wird von Beratern bestimmt.“

Vicky: Also zitieren brauchst du mich nicht unbedingt, aber im Prinzip ist es doch so. Denk mal darüber nach! Wäre ich Security-Experte, würde ich mich ärgern, wenn man auf externe Consultants zurückgreift, um meine Arbeit zu machen. Unsere Leute kennen die Geschäftsprozesse, Stimmungen, Befindlichkeiten und Details doch viel besser als jeder Externe – mal abgesehen von den Hackern, die sich in unseren IT-Systemen tummeln.

Christian: O. k., meine Lippen sind versiegelt. Aber was würdest du denn vorschlagen, Vicky, wie wir die Security in den Griff bekommen?

Vicky: Hey, ich bin bloß Vertrieblerin! Aber wenn du schon nach meiner allumfassenden Expertise fragst: Ich würde zunächst einmal dafür sorgen, dass der Bezug zu unserem Geschäft stärker in den Vordergrund rutscht – keine Beispiele von sonstwo, sondern konkretes von hier und was sich daraus für uns ergibt. Wer beispielsweise eine E-Mail an die dienstliche Adresse kriegt, um seine privaten Kreditdaten bei der Dingsbums-Bank zu bestätigen – holla, da müssen doch sämtliche Alarmglocken läuten! Das ist aber tasächlich schon einigen unserer Kollegen passiert und ich weiß genau, dass einer sogar darauf geantwortet hat! Außerdem würde ich mal richtige Zahlen bringen, was bei uns so an Bedrohungen rumgeistert. So ne vage Schwarzmalerei bringt doch nichts. Immer wird nur von Gefährdungen, potenziellen Schäden, Datendiebstahl und möglichen Imagefolgen gesprochen – aber tatsächlich relevante Fakten aus unserer eigenen IT hört man nie.

Christian: Ich weiß was du meinst – wenn man sich die Schadenszahlen von Cyberkriminalität ansieht, dann fragt man sich schon oft, wie realistisch das ist oder ob da einer nur heftig hochgerechnet hat.

(Auftritt der Personalerin Petra im grauem Blazer, mit roter Brille und lederner Schreibmappe unter dem Arm)

Petra: Hallo ihr zwei. Na, rettet ihr mal wieder das Unternehmen und die IT?

Vicky: Klar, wir sind die heimlichen Helden hier.

Petra (skeptisch): Bei „unheimlich“ hätte ich zugestimmt … Ihr macht auch das Training mit?

Christian: Nein, wir halten es ab. Schön, dass HR auch mal vertreten ist!

Vicky: Genau. Wenn Du Fragen hast, wende Dich ruhig vertrauensvoll an uns.

Petra: Und warum steht auf eurem Namensschild, genau wie bei mir, nur „Security Start“? Da fehlt „Dozent“!

Vicky (lacht): O. k., Du hast uns erwischt – wir sind auch nur Teilnehmer.

Petra: Taugt die Veranstaltung was? Mein Boss würde das eigentlich gerne wissen, bevor er hier die Zeit unserer Mitarbeiter verschwendet.

Christian: Vicky meint, der Flurfunk meldet die üblichen Themen und Beispiele.

Petra: Schade, das hilft uns nicht viel weiter! Gerade im Online-Bewerbungsmanagement und bei der Personalbetreuung werden wir immer öfter mit rechtlichen Vorgaben im Datenschutz und globalen rechtlichen Bestimmung konfrontiert. Es gibt zwar Checklisten und sowas, aber praktische Tipps und Hinweise, wie man Stolperstellen umgeht, wären da schon hilfreich – vor allem von Experten aus dem Metier.

Christian: Da machst Du dir wahrscheinlich zu viele Hoffnungen Petra!

Petra: Das dachte ich mir schon, als ich Euch gesehen habe. Also doch wieder so eine Gießkannen-Veranstaltung, wo manches passt und vieles nicht – und man furchtbar aufpassen muss, das „Manche“ nicht zu verpassen, weil einen das „Viele“ so schön einschläfert!

Christian: Sieht so aus. Solche Veranstaltungen sind eigentlich Zeitverschwendung – viel zu wenig Berührungspunkte zur täglichen Praxis.

Vicky: Und da wären wir wieder bei meiner Bemerkung von vorhin: Interne Kolleginnen und Kollegen würden das besser machen, denn die kennen unsere Pain-Points!

Petra: Da gebe ich Vicky recht. Aber wärt ihr wirklich scharf auf eine Schulung von Attila?

Vicky: Wer ist Attila?

Christian: Du kennst Andreas Hunnebein nicht? Der meint, er ist der IT-Master und legitimer Nachfolger von Steve Jobs – selbsternannter IT-Guru der Spitzenklasse und hinter seinem Rücken liebevoll Attila genannt!

Vicky: Nein, ist mir bislang nicht über den Weg gelaufen. Ich sag doch immer: Wir wissen alle viel zu wenig über unsere Kollegen!

Christian: Na, dann freu dich, du lernst ihn gleich kennen – da kommt er nämlich!

Petra: Ups, ich muss los. Bis gleich. Ich geh noch ein paar Snacks besorgen.

Rascher Abgang Petra – Auftritt Attila im kaffeebraunen Sakko zu „BOFH“-T-Shirt und schwarzer Jeans

Christian: Hallo Andreas! Machst Du etwa auch das „Security Start“-Training?

Attila (grinst): Klar Christian, alle für einen, einer für alle – vielleicht gibt es ja was auch mal Neues für mich, selbst wenn ich das bezweifle! Außerdem muss ja einer aufpassen, dass hier nix falsches erzählt wird.

Christian (skeptisch): Ich glaube, für Dich wird das genauso „spannend“ wie für uns. Das ist übrigens Vicky vom Vertrieb.

Attila: Hallo Vicky, ich bin der Andi – oder „Attila, der Admin“, wie dir Christian sicher schon gesteckt hat. Der rote Elektro-SUV auf dem Parkplatz ist deiner, oder?

Vicky: Ja, macht echt Spaß der Flitzer.

Attila: Das glaub ich dir. Kannst mich ja mal ne Runde mitnehmen – diese E-Autos sollen ja eine Super-Beschleunigung haben?!

Vicky: Klar, müssen wir uns halt mal verabreden. Christian sabbert auch schon seit ner Woche, dann darf der auch mit, muss aber hinten sitzen! – Sag mal: Wenn du von der IT bist, weshalb machst du nicht die heutige Veranstaltung?

Attila: Versteh ich auch nicht. Der Chef hat wohl Sorge, dass ich euch mit zu viel Info zutexte und nur von Dingen rede, die – (zynisch) – „keinen Mehrwert fürs Business bieten“. Tja, der Prophet gilt halt nix im eigenen Land und ich bin ja auch kein „Herr Dr.“ oder hochbezahlter Fachdozent – ich hab immer lieber gemacht als gelernt. Praktiker sind total unterbewertet.

Christian: Aber darauf kommt es doch an – auf den praktischen Bezug?!

Attila: Sag das nicht mir, sondern dem Boss, Christian – für den bin ich nur ein kleines Lämpchen wie du.

Vicky: Aber Christian leuchtet heller!

Attila (runzelt die Stirn und hebt eine Augenbraue): Pfff. – Wie auch immer. Ich war in die Themenauswahl nicht eingebunden und die ganze Konzeptarbeit ging auch mal wieder an mir vorbei. Also muss ich jetzt abwarten, was die da oben sich ausgedacht haben. Aber ich hoffe, sie bringen was zur realistischen Einschätzung von Security-Produkten: Ein Virenscanner ist schließlich keine Wunderwaffe, die den DAU schützt, egal was er macht – und auch für unsere anderen Sicherheitsmechanismen gilt, dass wir hier keine KI-Systeme wie im Kino haben, die intelligenter sind als der Mensch und irgendwie schon alles richten – wir haben hier nur Tools, die Regeln folgen und Befehle ausführen. So, wie es die Mitarbeiter auch tun sollten.

Babs (aus zweiter Reihe): Und was ist, wenn ich daheim arbeite? Wie bin ich da geschützt?

Attila (überrascht): Hallo Babs, wir haben Dich ja noch gar nicht bemerkt.

Betriebsrätin Babs tritt in die Runde:

Ja, so ist der Betriebsrat – leicht zu übersehen, aber immer für die Mitarbeiter da!

Christian (wissend): Also wenn ich daheim über den Firmen-Laptop arbeite, bin ich safe – dem ist es doch egal, ob ich im Hotel, zuhause oder im Büro hocke. Nur die Art der Einwahl ist unterschiedlich, aber mein Schutz ist durch die Firma gewährleistet!

Babs: Und was ist mit den Exoten, die unbedingt ihr eigenes Gerät nutzen oder ein Apple-System wollen?

Vicky: Na, denen wünschen wir viel Glück.

Attila: … und lassen sie nicht mehr ins Firmen-Netzwerk, um deinen Satz zu beenden, Vicky. Denn prinzipiell müsste man alles als unsicher einstufen, was nicht unserer vollständigen Kontrolle unterliegt – „Trust nobody“, wie Don Security zu sagen pflegt!

Babs: Aber wenn der Kollege sich doch selbst einen Virenscanner installiert hat?

Attila (ungeduldig): Dann wissen wir nicht, ob und wie gut das Ding funktioniert, ob auch andere Attacken abgefangen werden, ob der Anwender auf Fragen wie „Webseite unsicher“ oder „verdächtige Anwendung“ richtig reagiert oder nicht. Ist das System auf dem aktuellen Stand der Security-Patches? Wer arbeitet oder spielt vielleicht sonst noch auf dem Ding? Haben wir ein echtes oder womöglich virtuelles System am anderen Ende der Leitung? Mir fielen noch zig weitere Fragen ein, auf die wir dann keine Antwort haben. (seufzt)

Babs: Kann die IT das nicht alles vorab checken?

Christian (grinst): Nicht, solange sie nicht endlich einen Hellseher einstellt!

Babs: Gibt es da eine Regel oder Vorgabe – wir könnten dann auf Verstöße gegen das AGG prüfen?!

Vicky: Babs, das war ein Witz! Es gibt keine IT-Hellseher.

Babs (grummelig): Toll, total lustig. – Ich geh dann schon mal rein und sichere mir einen guten Platz. Bis dann.

(Abgang Babs)

Atilla (träumerisch): Ach, so ein Hellseher wäre echt prima! Der würde dann auch schon vorab wissen, welche salbungsvollen Worte gleich unser „CIO“ Dr. Müller zum Veranstaltungsbeginn von sich gibt, bevor er sich ruckzuck wieder verdrückt. (zuckt zusammen und stellt sich gerade hin) Da kommt er übrigens …

Christian: Wer ist denn sein Begleiter mit dem Laptop unterm Arm? Das ist doch nicht der gleiche wie sonst, oder?!

Vicky (leise, zynisch): Wahrscheinlich ein neuer Berater, der mit uns wie jedes Jahr der „heiligen Compliance“ huldigt und uns in seiner Predigt ermahnt, das Netzwerk vor dem Bösen zu bewahren und bloß keine Fehler zu machen, denn es geht ja schließlich um unsere Arbeitsplätze!

(Dr. Müller und Herr Ehrlich betreten die Bühne im auffällig unauffälligen dunkelblauen Anzug mit Krawatte aus den 90er-Jahren)

Dr. Müller: Guten Morgen, allerseits. Dies ist Herr Ehrlich von unserer neuen Security-Management-Beratungsfirma.

Alle (durcheinander): Guten Morgen, Dr. Müller – Herr Ehrlich!

Dr. Müller (aufgeregt): Sicherlich sind Sie schon gespannt auf unsere heutige Veranstaltung „Security Start“?! Wie Ihnen nicht entgangen sein dürfte, haben wir erstmals ein „Start“ im Titel.

Atilla: Und was hat es damit auf sich? Wir hielten das für so eine Reihenbezeichnung – also erst „Start“, dann „Medium“ und am Ende „Experte“ oder so?!

Dr. Müller: Knapp am Ziel vorbei, Andreas. Wir markieren heute den Start in eine ganz neue Sicherheits-Kultur in unserem Haus! Da Sie unser interner Security-Experte sind, wird nun einiges auf Sie zukommen. Denn wir verabschieden uns von Top-down-Denken und Gießkannen-Konzept mit Universal-Trainings und schwenken um zu mehr Teamwork und Schulungen mit spezifischer Themenausrichtung. Das bedeutet für Sie, lieber Andreas, künftig die benötigten Trainingsinhalte aus Sicht der IT zu entwickeln – die Kollegen und Kolleginnen von HR benennen ihre eigenen Problemfelder und sagen, was HR aus der fachlichen Sicht benötigt, um sicherer zu arbeiten. Kollegin Vicky kümmert sich darum, was der Vertrieb an Unterstützung braucht, und unser Christian wird, als eine Art Majordomus, alles aus der Sicht der Mitarbeiter und des Business koordinieren.

Christian (überrascht): Wow! Sowas Ähnliches hab ich doch schon vor zwei Jahren vorgeschlagen?!

Dr. Müller (begeistert): Ja, wow – nicht wahr?! Manchmal dauert’s halt etwas länger, aber ist es nicht das, was via Latrinenparole – pardon, „Flurfunk“ – schon immer gefordert wurde?! Ich musste den Vorstand ganz schön lange bearbeiten, aber nun hat er endlich eingewilligt und das Konzept „Security-Schulung und -Knowledge“ wird auf neue Beine gestellt – der unschöne Datenschutzvorfall vor ein paar Wochen könnte daran auch nicht ganz unschuldig sein. Jedenfalls ist nun dem ganzen Management klar geworden, dass wir der aktuellen Cyberbedrohung nicht ohne befähigte Mitarbeiter begegnen können – und Sie, meine Damen und Herren, sind unsere neue „Brandschutzmauer“!

Vicky: Und was ist Ihre Funktion dabei, Herr Ehrlich?

Ehrlich: Als Berater werde ich Sie bei Ihren Aktivitäten unterstützen und auch regelmäßig mit neuesten Informationen versorgen. Aber es wird Ihr Baby sein und Sie müssen dem Kleinen auch das Laufen und Radfahren beibringen – auf Ihre Art, mit meiner Hilfe!

Atilla: Es geschehen ja doch noch Zeichen und Wunder – ich finde das ein klasse Konzept, Dr. Müller!

Dr. Müller: Freut mich zu hören, Andreas. Aber jetzt lassen Sie uns mal loslegen, damit wir die neue Ausrichtung auch Ihren Mitstreitern beibringen können. Es gibt noch viel zu tun!

(Vorhang)

Die Moral von der Geschicht’

Die Moral von der Geschicht’ ist dieser Dialog im Vorfeld eines Trainings wahres Wunschdenken oder besteht auch in Organisationen mit eingefahrenen Abläufen eine Chance, etablierte Verfahren neu zu überdenken und Trainings sowie andere Elemente neu auszurichten?

Eine breite Aufstellung, welche die Interessen aller Akteure berücksichtigt, ist ein wichtiger Schritt auf dem Weg zu einer besseren Sicherheits-Kultur. Solange man die Bedürfnisse der Fachabteilungen nicht aus erster Hand kennt, miteinander redet, sich gegenseitig zuhört und Verständnis füreinander aufbringt, ist es schwierig, den richtigen Weg zu finden (siehe auch „Commedia della Sicurezza“ – Rollen und Zwänge in Sicherheitsprojekten, 2020#2, S. 10 sowie „Von Top-down zum Dialog“, Kooperation verdrängt Kampagnenmodell, 2016#1, S. 6).

Alles ist mit Kosten verbunden, das ist klar. Aber eventuell lässt sich der „Return on Security Invest“ (ROSI) mal auf einer anderen Ebene wiederbeleben und mit neuen Elementen besser darstellen als anhand von nichterfolgreichen Virusinfektionen oder Fallzahlen blockierter Incidents?! Möglichkeiten gibt es viele, man muss nur den ersten Schritt tun – und bisweilen einen langen Atem haben.

Ralph Dombach ist freier Autor – neben seinem Blog www.secutreach.de twittert er unter @secuteach mit einem Augenzwinkern über das, was IT-Sicherheit ist und ausmacht sowie über securityrelevante Dinge, die ihn in seinem Berufsleben „heimsuchen“.