Mit <kes>+ lesen

Awareness greift zu kurz : Warum der Faktor Mensch durch das ISMS gesteuert werden sollte

Es gibt keinen bekannteren Informationssicherheitsvorfall, bei dem der Faktor Mensch nicht eine maßgebliche Schwachstelle gewesen ist. Unternehmen wissen das und setzen darum verstärkt auf Sensibilisierung und Awareness. Doch damit springen sie in der Regel zu kurz: Es gilt vielmehr, organisationsindividuelle Voraussetzungen für sicheres Verhalten zu identifizieren und durch geeignete systemische Maßnahmen ein Umfeld zu schaffen, das sicheres Verhalten im Arbeitsalltag effizient macht.

Lesezeit 12 Min.

Natürlich haben Schulungs- und Awarenessmaßnahmen durchaus ihre Berechtigung. Es ist absolut notwendig, Mitarbeiterinnen und Mitarbeiter regelmäßig über Bedrohungen und Informationssicherheitspflichten zu informieren – Ad-hoc-Informationen im Fall spezifischer Bedrohungslagen stellen zudem eine wichtige Maßnahme zur Wahrung der Informationssicherheit dar. Wer aber glaubt, auf dieser Basis ein nachhaltig sicheres Verhalten herbeizuführen, der irrt: Davon auszugehen, dass eine gut informierte Mitarbeiterschaft sich sicherer verhält als eine uninformierte, ist berechtigt – davon auszugehen, dass sie sich so sicher wie gewünscht verhält, hingegen naiv.

Seit die Autoren in der IT-Sicherheit tätig sind, begleitet sie auch das Thema Mitarbeiterschulung und -sensibilisierung. Jeder Systemadministrator weiß heute, dass „Start123“ kein sicheres Passwort ist. Und jeder Anwender ist darüber im Bilde, dass es fahrlässig ist, einfach jeden E-Mail-Anhang zu öffnen. Und trotzdem findet man bei nahezu jedem Penetrationstest derartige Passwörter und ganze Angriffswellen setzen mit Erfolg darauf, dass Mitarbeiter Mailanhänge öffnen. Denn Mitarbeiter handeln im Hinblick auf die Informationssicherheit auch heute vielfach wider besseres Wissen – und genau hier liegt die zentrale Herausforderung beim Umgang mit dem Sicherheitsfaktor Mensch.

Wissen reicht nicht

Wissen wird allzu selten nahtlos in entsprechendes Verhalten umgesetzt. Vielmehr ist menschliches Verhalten einer Vielzahl von Störfaktoren unterworfen, die auch die besten Absichten konterkarieren. Genau wie im Privatleben sind Menschen auch im Berufsleben fehlbar, lassen sich ablenken, vergessen Dinge oder schieben sie auf, selbst wenn sie dadurch ihre Gesundheit, ihr Vermögen oder gar ihr Leben gefährden.

Darum kann es nicht nur um Aufklärung gehen! Im Sinne der Informationssicherheit muss es vielmehr in erster Linie darum gehen, das berufliche Umfeld so zu gestalten, dass sicheres Verhalten vereinfacht und unsicheres Verhalten erschwert wird. Anders gesagt ist das Ziel die Minimierung der Störfaktoren, die sicherem Verhalten entgegenstehen.

Störfaktoren

Störfaktoren, die zu menschlichem Fehlverhalten führen, findet man in völlig unterschiedlichen Ausprägungen. Bei technischen Faktoren handelt es sich um die Ausgestaltung oder Konfiguration sicherheitsrelevanter Anwendungen und Tools, die beispielsweise durch ihre Komplexität oder Unübersichtlichkeit zu einem vermehrten Auftreten von Fehlern führen. Mitarbeitern ist in diesen Fällen gar nicht bewusst, dass sie sich fehlerhaft verhalten, sondern sie verwechseln vielleicht einfach Schaltflächen oder geben falsche Informationen in Eingabemasken ein. Ein gutes Beispiel für diese Art Störfaktor ist die Autovervollständigung von E-Mail-Adressen in vielen Programmen: Zahlreiche E-Mails werden jeden Tag an falsche Adressen verschickt, weil die Autovervollständigung einen falschen Namen eingefügt hat.

Auch eine schlechte Ergonomie von Bedienoberflächen oder lange Ladezeiten im Programmablauf gehören zu den technischen Störfaktoren. Solche Stolpersteine können dazu führen, dass Nutzer die Verwendung von Anwendungen meiden oder auf das Nötigste beschränken, selbst wenn diese sicherheitsrelevant sind.

Man kann zwar seine Mitarbeiter im Zuge von Awarenessmaßnahmen dazu anhalten, im Umgang mit technischen Störfaktoren besondere Sorgfalt walten zu lassen. Effektiver und vermutlich auch effizienter wäre jedoch die Beseitigung von Störfaktoren, also etwa eine Verbesserung des Tools oder seiner Konfiguration.

Unter organisatorische Störfaktoren fallen Rahmenbedingungen, die Mitarbeiter (wenngleich unbeabsichtigt) zu unsicherem Verhalten provozieren. Ein weit verbreitetes Beispiel in diesem Zusammenhang ist die unrealistische Bemessung von Projektlaufzeiten. Wenn allem voran IT-Projekte so geplant werden, dass es zu einem Trade-off zwischen der Herstellung der Funktionalität und der Gewährleistung von Informationssicherheitsanforderungen kommt, kippt erfahrungsgemäß das Verhältnis meist zugunsten des Funktionsumfangs. Mitarbeiterinnen und Mitarbeitern bleibt hier oft nur die Wahl zwischen sofortigen negativen Konsequenzen, weil es zu Projektverschiebungen kommt, oder „eventuellen“ zukünftigen negativen Konsequenzen aufgrund von mangelhafter Sicherheit.

In derartigen Situationen wirken Awarenessmaßnahmen oft sogar negativ und lösen bei den Mitarbeitern Widerstände (Reaktanz) gegenüber dem Thema aus. Dies ist letztlich nur allzu verständlich: Wenn die Zeit ohnehin schon nicht reicht, um zentrale Aufgaben vernünftig zu erledigen, wird die Zeit, die man für zusätzliche Aufgaben „am Rande“ aufbringen muss, besonders negativ erlebt.

In die Kategorie der organisationskulturellen Störfaktoren fallen Umstände, die in der spezifischen Kultur einer Organisation oder eines Organisationsteils, beispielsweise einer Berufsgruppe oder Standorts, begründet liegen. Das kann ein negatives Vorbildverhalten der Geschäftsleitung sein, die besondere Risikoaffinität spezifischer Berufsgruppen, von Konflikten zerfaserte Kommunikationsstrukturen oder auch einfach unsichere Verhaltensweisen, die sich im Alltag eingeschliffen haben. Hier gilt es, Awarenessmaßnahmen im besonderen Maße auf solche Gegebenheiten abzustimmen, da nichts eine Maßnahme unwirksamer macht als organisationskulturelle Gegebenheiten, die sie ad absurdum führen.

Eng mit den organisationskulturellen Störfaktoren verwandt sind psychologische Störfaktoren wie beispielsweise der Umgang mit Stress, die Motivation, Gewissenhaftigkeit oder auch der Risikoappetit der einzelnen Mitarbeiter. Meist wirken diese psychologischen Faktoren komplementär zu den anderen Kategorien. So sind Toleranz gegenüber Ablenkung oder Resilienz gegenüber Stress individuell sehr unterschiedlich ausgeprägt. Sie sind jedoch entscheidend für die Frage, wann ein Mitarbeiter den entsprechenden Störfaktoren „nachgibt“ und sich beispielsweise aufgrund von Stress oder zur Umgehung von Konfliktsituationen bewusst fahrlässig verhält.

Steuerung via ISMS

Insgesamt machen Störfaktoren deutlich, dass Schulungs- und Awarenessmaßnahmen zwar eine der Grundlagen für sicheres Verhalten von Menschen darstellen, aber bei Weitem nicht ausreichen, um dieses nachhaltig zu sichern. Vielmehr gilt es, fortwährend die tatsächlichen Ursachen für unsicheres Verhalten in der Organisation zu ermitteln und zu beseitigen. Grundlage dafür kann ein Informationssicherheitsmanagementsystem (ISMS) darstellen, in dem man das Management des Sicherheitsfaktors Mensch aktiv steuert.

Da die maßgeblichen Standards zur Einrichtung von ISMS ohnehin zumindest die Mitarbeiterausbildung und -sensibilisierung vorsehen, bieten sich für die Integration eines Prozesses zur Steuerung des Faktors Mensch in den Implementierungen der meisten Organisationen dafür hinreichend Anknüpfungspunkte.

Diese Steuerung des Faktors Mensch sollte prozessual verankert werden. In der Praxis kann dafür der im Folgenden ausführlich dargestellte und in Abbildung 1 skizzierte Prozess in das ISMS integriert werden.

Abbildung 1 Exemplarischer Prozess zur Steuerung des Faktors Mensch im ISMS
Abbildung 1 Exemplarischer Prozess zur Steuerung des Faktors Mensch im ISMS

Identifikation von Schwachstellen

Der Handlungsbedarf im Hinblick auf Schwachstellen, die den Sicherheitsfaktor Mensch betreffen, sollte regelmäßig ermittelt werden. Hier gilt es, einen möglichst breiten Blick auf möglichen Handlungsbedarf zu gewinnen. Daher empfiehlt es sich, auf möglichst viele Informationsquellen zurückzugreifen – infrage kommen beispielsweise:

  • spezifische Sicherheitskulturanalysen
  • Audits (z. B. in Form von Red-Team-Audits, simulierten Phishingkampagnen oder im Rahmen von Prüfungen)
  • Auswertungen von Support-Anfragen an den Bereich Informationssicherheit
  • Hinweise von Mitarbeitern
  • Usability-Analysen der IT
  • Hinweise von Marktteilnehmern auf spezifische Bedrohungslagen

Da das Verhalten am Arbeitsplatz im Hinblick auf arbeits- und datenschutzrechtliche Fragen als besonders sensibel einzustufen ist, muss man sich hier (bes. im Fall von Audits) mit den entsprechenden Interessenvertretern eng abstimmen. Nur ein frühzeitiger Dialog mit Datenschutzbeauftragten und Betriebsrat kann sicherstellen, dass die Maßnahmen nicht als eine Überwachung des einzelnen Mitarbeiters, sondern tatsächlich als eine Suche nach systemischen Schwachstellen erlebt werden, die sicheres Verhalten erschweren. Sollte dies unterbleiben, wird die Akzeptanz der Informationssicherheitsabteilung nachhaltig gefährdet.

Analyse der Ursachen von Schwachstellen

Identifizierte Schwachstellen sind anschließend im Hinblick auf ihre Ursachen auszuwerten. Dies sollte ergebnisoffen geschehen: Viele Sicherheitskultur- und Awarenessprogramme kranken daran, dass die Analyse der Ursachen für Fehlverhalten nicht sorgfältig durchgeführt wird, sondern stattdessen einfach nur auf die Aspekte „ungenügende Regelung“ oder „Sensibilisierung“ abgestellt wird. Bei der Analyse können sich das vorgestellte Störfaktorenmodell und somit die folgenden Fragen als hilfreich erweisen:

  • Hinweise auf der Schwachstelle zugrunde liegende technische Faktoren lassen sich etwa mit den folgenden Fragen ergründen: Liegen etwa Bedienungsfehler der betroffenen Tools vor? Sind die Tools und Prozesse ergonomisch gestaltet und hinreichend performant? Sind sie besonders komplex? Gibt es eine sonstige technische Ursache für die Schwachstelle oder organisatorische Faktoren, die ihr zugrunde liegen? Trat das beobachtete Fehlverhalten in einer besonderen Stresssituation auf? Gibt es Widersprüche in der Prozessgestaltung? Stehen genügend Ressourcen für sicheres Verhalten zur Verfügung?
  • Gibt es Hinweise auf relevante organisationskulturelle Faktoren? Trat die Schwachstelle nur in einem spezifischen Organisationsteil (Region, Berufsgruppe, Standort, Team) auf? Gibt es Hinweise darauf, dass eine Konfliktsituation oder negatives Vorbildverhalten vorlagen? Gibt es Hinweise auf eine negative Fehlerkultur? Hat sich das unsichere Verhalten der Mitarbeiter als Organisations(teil)kultur fest etabliert?
  • Gibt es Hinweise auf psychologische Ursachen? Handelt es sich bei dem beobachteten Fehlverhalten um einen Einzelfall? Waren die betroffenen Mitarbeiter hinreichend sensibilisiert und geschult? Sind sie motiviert, sich sicher zu verhalten? Gibt es Hinweise auf vorsätzlich schädigendes Handeln?

Die Fragen sind naturgemäß nur exemplarisch und lassen sich individuell erweitern – die genannten bieten aber bereits eine gute Grundlage, um Ursachen für menschliches Fehlverhalten zu analysieren und daraus entsprechende Gegenmaßnahmen abzuleiten.

Maßnahmenentwicklung

Im Rahmen der Maßnahmenentwicklung ist es von entscheidender Bedeutung, dass die Ursachen für den identifizierten Handlungsbedarf hinreichend analysiert wurden. Grundsätzlich lassen sich die nachfolgend beschriebenen Maßnahmenkategorien unterscheiden, die aber auch komplementär verwendet werden können.

Wissens- und bewusstseinsvermittelnde Maßnahmen dienen in erster Linie dazu, unbewusst fahrlässiges Verhalten bei Mitarbeitern zu unterbinden oder sie auf aktuelle Bedrohungssituationen aufmerksam zu machen. Sie sollten nur sparsam und zielgerichtet eingesetzt werden, da sie sonst nur noch wenig Aufmerksamkeit generieren oder von den Mitarbeitern gar negativ erlebt werden und zu Reaktanz gegenüber dem Thema führen können.

Zu dieser Kategorie zählen im Wesentlichen:

  • Awarenessmaßnahmen: Plakate, Aufsteller, Infostände, Give-aways, Newsletter, Intranetbeiträge, Security-Events (Live-Hacking, Security-Olympiade etc.), Veröffentlichungen in Unternehmensorganen, Spiele, Videos und so weiter
  • Schulungsmaßnahmen: Präsenzschulungen, E-Learning, Blended Learning, Coaching und so weiter
  • Supportmaßnahmen: Einrichtung eines User-HelpDesks, Unterhalt eines Postfachs et cetera

ISMS-entwickelnde Maßnahmen erfassen hingegen Mitarbeiterrückmeldungen zum ISMS, allem voran im Hinblick auf die Verbesserung der Prozess- und Toolergonomie. Ziel dieser Maßnahmen ist es, das ISMS und einzelne Sicherheitsaktivitäten besser an die Geschäftsabläufe der Organisation anzupassen und so sicheres Verhalten zu vereinfachen. Dies stärkt in der Regel gleichzeitig massiv die Akzeptanz des ISMS in der Mitarbeiterschaft. Typische Beispiele sind hier: Vereinfachung der Verschlüsselungslösung für E-Mails, Vereinfachung des Prozesses zur Aufnahme von Informationssicherheitsrisiken, Optimierung der Benutzerschnittstelle des ISMS-Tools, Einführung einer passwortlosen Authentifizierungslösung oder die Terminierung von Penetrationstests in das „Sommerloch“.

Im Gegensatz dazu steht bei organisationsentwickelnden Maßnahmen eine Veränderung der organisatorischen Rahmenbedingungen für sicheres Verhalten im Vordergrund. Solche Maßnahmen dienen im Besonderen der Abwendung bewusst fahrlässigen Verhaltens, das Mitarbeiter aufgrund organisatorischer Unzulänglichkeiten an den Tag legen – zum Beispiel, weil Fristen zu eng geplant sind oder Pflichten kollidieren.

Durch organisationsentwickelnde Maßnahmen sollen Situationen aufgelöst werden, die Mitarbeiter üblicherweise dazu bewegen, innere Einstellungen wie „dass es schon gut gehen werde“ oder „sich morgen darum zu kümmern“ zu entwickeln, was letztlich dazu führt, sich bewusst über Sicherheitsvorgaben hinwegzusetzen. Gerade solche bewusst fahrlässigen Verhaltensweisen sind in der Praxis weit verbreitet – und werden fast immer durch organisatorische Rahmenbedingungen verursacht.

Ein Vorteil dieser Maßnahmen ist zudem, dass hier die Informationssicherheit in die Rolle des Unterstützers der Mitarbeiter rückt. Bislang ist es leider viel zu oft so, dass die Informationssicherheitsabteilung den Arbeitsalltag der Mitarbeiter lediglich durch weitere Anforderungen und Regelungen erschwert. Das muss aber nicht so sein, wenn sie entscheidend dabei mithilft, den Mitarbeiterinnen und Mitarbeitern ein Arbeitsumfeld zu schaffen, in dem sie gewissenhaft und fehlerarm arbeiten können. Dies kann auch helfen, Stressphasen oder Konfliktlinien zu entschärfen und Kommunikationsprozesse zu vereinfachen. Damit verbessert sich die Akzeptanz von Sicherheitsmaßnahmen zumeist deutlich.

Beispiele hierfür sind: Verlängerung von Projektlaufzeiten, um sicher entwickeln zu können; Maßnahmen zur Entschleunigung kritischer Arbeitsabläufe und zur Stressreduktion; Bereitstellung hinreichender Ressourcen; Einführung von Konfliktmanagementsystemen oder auch attraktiven, aber gesicherten Raucherbereichen, um ein Offenstehen von Außentüren zu vermeiden.

Individualmaßnahmen sind schließlich dann geboten, wenn das Fehlverhalten nur bei spezifischen Mitarbeitern festgestellt wurde. Sie können sowohl unterstützender als auch disziplinarischer Natur sein, wobei Letzteres nur im Fall eines bewussten Schädigungsvorsatzes angewendet werden sollte. Beispiele hierfür sind Coaching, Einzelschulungen und Sanktionen.

Maßnahmenumsetzung

Die Umsetzung der konkreten Maßnahmen kann je nach Typ stark variieren. So können etwa Awarenesskampagnen umfangreiche Planungen und Vorbereitungen erfordern, während sich andere Maßnahmen bereits durch die Veränderung einer Konfigurationseinstellung umsetzen lassen.

Man sollte im Rahmen der Maßnahmenumsetzung allerdings darauf achten, dass die neuen Maßnahmen keine ungewollten negativen Begleiterscheinungen verursachen. So ist beispielsweise bei der Durchführung einer Awarenesskampagne darauf zu achten, dass diese nicht ausgerechnet in eine Zeit gelegt wird, in der die Auslastung der Mitarbeiter besonders hoch ist (z. B. Endjahresgeschäft).

Zudem sollte man bei der Umsetzung von Maßnahmen frühzeitig die Kommunikation mit den Mitarbeitern suchen. Gerade bei umfangreicheren Initiativen ist es empfehlenswert, diese so flexibel zu gestalten, dass ein etwaiges Feedback auch noch bei der Umsetzung berücksichtigt werden kann. Darüber hinaus kann es sinnvoll sein, sich mit anderen Initiativen beispielsweise aus dem Bereich Qualität, Compliance oder Datenschutz abzustimmen und so Synergien zu heben.

Nicht zuletzt sollte man eine umfangreiche Dokumentation aller Maßnahmen erstellen und diese auch für die interne Kommunikation verwenden, um eine gute Sichtbarkeit der Informationssicherheitsabteilung und ihrer Aktivitäten zu gewährleisten.

Erfolgskontrolle

Zur Erfolgskontrolle von Maßnahmen müssen Kennzahlen erhoben und in das Überwachungssystem des ISMS integriert werden. Hierzu bieten sich beispielsweise an:

  • Anzahl identifizierter Schwachstellen im Hinblick auf den Sicherheitsfaktor Mensch
  • Anzahl sensibilisierter Mitarbeiter
  • durchschnittliche Bewertung des ISMS durch die Mitarbeiter
  • Anzahl der Anfragen an die Supporthotline
  • Teilnehmer an freiwilligen Sicherheitsveranstaltung

Neben der prozessualen Verankerung des Themas kann es zudem ratsam sein, im ISMS Auswirkungsanalysen für Informationssicherheitsmaßnahmen zu etablieren: Diese sollten die Auswirkungen auf die Mitarbeiter im Vorfeld der Maßnahmen betrachten. So lässt sich vermeiden, dass man Maßnahmen umsetzt, die Geschäftsabläufe negativ beeinträchtigen, ohne Abhilfe zu schaffen. Dies wird zwar im Hinblick auf generelle und strategische Maßnahmen in den meisten Organisationen bereits im Rahmen der Freigabeprozesse für Informationssicherheitsregelungen gewährleistet, bei Einzelmaßnahmen (z. B. der Einführung einer neuen Passwortvorgabe) aber oft nicht betrachtet.

Fazit

Ein Prozess zur Steuerung des Faktors Mensch sollte in das ISMS einer Organisation integriert werden. Dies verspricht eine deutlich nachhaltigere Verbesserung sicherheitsrelevanten Verhaltens der Mitarbeiter als die Beschränkung auf reine Awareness- und Schulungsprogramme.

Dabei ist die Durchführung einer umfassenden Ursachenanalyse von entscheidender Bedeutung: Nur so lässt sich sicherstellen, dass mögliche Maßnahmen auch tatsächlich die Ursachen für menschliches Fehlverhalten adressieren und zielgerichtet eingesteuert werden können.

Aus Sicht der für die Informationssicherheit verantwortlichen Unternehmenseinheiten bietet ein solches Vorgehen zudem den Vorteil, plötzlich nicht mehr als Verhinderer“, sondern als „Ermöglicher“ wahrgenommen zu werden: Ermöglicher einfacherer Tools, besserer Prozesse und treffenderer Kommunikation – und damit als eine Erleichterung für alle Beteiligten.

Auch andere Unternehmensbereiche können von dem beschriebenen Vorgehen profitieren, da es sich auf andere Managementsysteme wie Compliance- oder Datenschutzmanagementsysteme übertragen lässt – grob gesagt überall dorthin, wo das Thema Mitarbeiterverhalten einen entscheidenden Stellenwert einnimmt.

Derk Fischer ist Partner im Bereich Cyber Security & Privacy der Wirtschaftsprüfungs- und Beratungsgesellschaft PwC. Gerrit Aufderheide ist Spezialist für ISMS und Sicherheitskultur in seinem Team.

Diesen Beitrag teilen: