Security Awareness – CARMAO Kamingespräch am 23.Februar 2021
(Dr. Volker Scheidemann]
Menschliche Fehler sind in hohem Maße mitverantwortlich für Sicherheitsprobleme und bestimmte Merkmale einer Unternehmenskultur können einen positiven oder eben auch einen negativen Einfluss auf die Informationssicherheit in einem Unternehmen haben.
Im Rahmen der CARMAO Kamingespräche habe ich einen Vortrag zu diesem Thema gehalten. Die CARMAO GmbH, Spezialist für das Thema Unternehmensresilienz und Informationssicherheit, hatte den Abend unter das Thema „Awareness“ gestellt.
Pandemiebedingt fand die Veranstaltung diesmal am Online-Kamin statt und leider nicht im schönen historischen Gemäuer des Walderdorffer Hofes in Limburg. Dem Charme der Veranstaltung und dem Interesse der Teilnehmenden tat dies jedoch glücklicherweise keinen Abbruch.
Darum geht es
„It’s the culture, stupid!“
Unter diesem Titel ging es in meinem Vortrag um die weitgehend unsichtbaren, aber dafür umso stärkeren Einflüsse der Unternehmenskultur auf das Handeln der Mitarbeitenden und darum, welche Auswirkungen das konkret auf die Informationssicherheit eines Unternehmens hat.
Menschliche Fehler sind in hohem Maße mitverantwortlich für Sicherheitsprobleme, das weisen viele Statistiken seit Jahren aus. Daher sollte das Thema Informationssicherheit eben nicht nur durch die technische Brille betrachtet werden, wie es sonst häufig geschieht. Für das Verhalten von Menschen spielen motivationspsychologische Einflüsse eine große Rolle. Über anwendbares Wissen zu diesem Themenbereich verfügt das für die Informationssicherheit zuständige Personal naturgemäß eher wenig. Eine ad hoc durchgeführte interaktive Kurzbefragung unter den Teilnehmenden des Kamingesprächs bestätigte dies. Es ist wenig bekannt, welche Faktoren einer Unternehmenskultur, die Mitarbeitende permanent begleitet, ungünstiges Verhalten fördern und welche eher dagegenwirken.
Bei Awarenessschulungen die Unternehmenskultur mit berücksichtigen
Das Thema Informationssicherheit bekam in diesem Licht viele neue schillernde Facetten. Schnell wurde klar, dass Schulungen für Mitarbeitende zur Steigerung der Security Awareness zwar richtig und gut sind, aber sehr häufig eben nur den Aspekt des technischen Wissen adressieren, die Handlungsmotivationen von Mitarbeitenden aber ignorieren.
Als konkretes Beispiel für mangelnde Berücksichtigung der Unternehmenskultur habe ich anonymisiert eine reale Anti-Phishing-Kampagne vorgestellt. Die Mitarbeitenden haben dabei durch gezielt verschickte Mails gelernt, dass sie keine Links in Emails anklicken sollen. Das erscheint zunächst als sinnvolle Maßnahme.
Wenn es allerdings in demselben Unternehmen zur Unternehmenskultur gehört und gängige Praxis ist, in internen Informationsmails der Geschäftsleitung oder des Betriebsrates genau solche anklickbaren Links zu verschicken, ist das zumindest verwirrend. Entweder hält sich der Mitarbeitende nun an das, was in der Kampagne gelernt wurde – und ist nicht informiert. Oder er*sie ignoriert das Gelernte und damit ist wieder die Informationssicherheit gefährdet.
Security Awareness einmal durch diese eher menschenorientierte Brille zu betrachten, war für die Teilnehmenden ein interessanter neuer Aspekt.
„Das neue Lernen heisst Verstehen“
Den zweiten Vortrag des Abends hielt Ulrich Heun, geschäftsführender Gesellschafter der CARMAO GmbH zum Thema „Das neue Lernen heißt Verstehen“. Hierin verdeutlichte er, dass erlerntes Wissen nur dann einen Mehrwert schafft, wenn es mit Erfahrungen verknüpft und systemisch angewendet werden kann. Sehr schön wurde dies am Beispiel eines Sinfonieorchesters illustriert. Obwohl hier alle Musiker*innen nach den gleichen Noten spielen, also auf reiner Wissensebene alle das Gleiche tun, klingt eine Aufführung für jede*n Zuhörer*in anders, in jedem Konzertsaal anders, von unterschiedlichen Musiker*innen gespielt ebenfalls anders.
Dieses Einbeziehen von Erfahrungs- und Umgebungswerten wurde dann auf die Unternehmensresilienz angewendet, indem ein Unternehmen als lernender Organismus beschrieben wurde. Insofern passten die beiden Vortragsthemen wunderbar zusammen und die Teilnehmenden konnten mit interessanten neuen Ideen im Kopf in den Feierabend gehen.
Im Rahmen einer Kooperation mit CARMAO biete ich Security Awareness Schulungen an, die die angesprochenen Themen integrieren.
Weitere Informationen dazu finden Sie unter: https://www.carmao.de/awareness