Fachbeiträge

Ausgabe 10 / /2017
Fachbeitrag IT-Sicherheit

Ein Klick genügt: Sensible Daten in Gefahr!

von Uwe Rühl

Grün leuchtende Knöpfe verleiten zum Drücken. Bestes Beispiel sind Saunen, in denen kein manueller Aufguss des Saunameisterns stattfindet. Vielmehr können die Saunagäste selbst entscheiden, wann sie drücken und damit einen Aufguss genießen möchten. Eine Beobachtung: Fast jeder, der die Sauna betritt, drückt – meist ungefragt und sei die Saunatemperatur noch so heiß. Die Verweildauer der „Drücker“ pendelt sich nicht selten unter fünf Minuten ein. Der Dumme ist der, der einfach nur genießen wollte und es nun nicht mehr kann, weil zu heiß. Was lernen wir aus dieser Kurzgeschichte? Nein, nicht dass Menschen in Saunen immer grüne Knöpfe drücken. Es geht vielmehr um unbewusste Reize, denen wir täglich ausgesetzt sind und die sich auf unsere Entscheidungen auswirken. Auch – und gerade – im Unternehmensalltag.

Inhaltsübersicht:

Unbewusste Reize sind ein Thema, das im Bereich der Neurowissenschaften schon länger im Fokus der Forschungen steht. Ein wichtiger Faktor bilden in diesem Bereich Emotionen in der Entscheidungsfindung, die zu Fehlentscheidungen führen können. Vor allem im Beruf können sich unbewusste Entscheidungen unter emotionalem Einfluss fatal auswirken. Dahinter steckt auch der Hang zur „Kohärenz im Gehirn, der Zusammenhänge darstellt, die nicht vorhanden sind“, wie es Prof. Bernd Weber, Direktor des Center for Economics and Neuroscience an der Universität Bonn, in einem Interview mit dem Fachportal RiskNET formuliert.

Glückwunsch, Sie haben gewonnen …

… lautet der Betreff einer gefälschten E-Mail, auf die noch immer viele Anwender hereinfallen und sich der Gefahr eines Trojaners aussetzen. Gleiches zählt für E-Mails zu angeblichen Steuerrückzahlungen oder Phishing-Webseiten von fiktiven Onlinehändlern. Der Einfallsreichtum von Kriminellen ist groß, wollen sie an Unternehmensdaten gelangen. Das Verständnis vieler Mitarbeiter – von der Geschäftsführung bis zum Kollegen in der Abteilung – ist gering, wenn es um den sensiblen Umgang mit Informationen zur eigenen Organisation geht. Nicht nur hinter den Unternehmensmauern, sondern auch davor.

Nun lässt sich in unseren digitalen Zeiten privat und beruflich nicht mehr so einfach trennen. Sei es beim Thema des partiellen Büros zuhause oder der privaten Nutzung von mobilen Endgeräten in und außerhalb der Firma. Hektik, Stress und Unachtsamkeit in unseren digitalen Zeiten brechen sich zudem mehr und mehr Bahn. Ein falscher Klick und der Schadsoftware sowie dem Hacker sind meist die Türen zum Unternehmen aufgestoßen. Und damit werden Mitarbeiter zunächst unbewusst zu einem Innentäter.

Die Krux beim Thema Informationssicherheit ist: So vielfältig die Missbrauchsfälle im Umgang mit den Firmenwerten sind, so unterschiedlich ist die Motivation dahinter. Das verlangt nach flexiblen Lösungen und neuen Wegen. Leider zieht sich manche Führungsetage auf das IT-Feld mit Firewall und Virenschutz zurück und glaubt an das Allheilmittel der Prozesse.

Sensibilisieren heißt, die Mitarbeiter frühzeitig einbinden

Bei aller Software- und Prozessgläubigkeit, die Heerscharen an Beratern als Allheilmittel den überforderten Unternehmen verkaufen, wird in vielen Fällen vergessen: Ohne den Mitarbeiter werden die besten und teuersten Programme hin zu einem durchgängigen Informationssicherheitsmanagementsystem (ISMS) scheitern. Manche Experten sprechen von einem Verhältnis von 20 Prozent Technologie oder Software und 80 Prozent, die vom Mitwirken der Mitarbeiter und somit dem Erfolg im ISMS-Umfeld abhängen.

Lautet das Ziel, die Sensibilisierung im Umgang mit wichtigen Unternehmensdaten zu verbessern, ist zunächst ein Umdenken aller Mitarbeiter und Führungskräfte notwendig. Und dies wird nicht per Verordnung, Druck sowie Projektschnellschüssen erzielt. In diesem Zusammenhang muss sich das Top-Management in Unternehmen selbst an die eigene Nase fassen. Vielfach sind die schön gestalteten Geschäfts- und Risikoberichte, in denen viel von einer gelebten Unternehmenskultur und Werten die Rede ist, das Papier nicht wert, auf dem sie geschrieben sind. Der Hauptgrund? Die vermittelte Unternehmenswelt ist eine Blase und hat mit der harten Realität wenig zu tun. Und die heißt in Unternehmen nicht selten Hierarchiedenken, Diktieren und wenig offen Kommunizieren. Ein fataler Weg, der in einer sperrigen Zusammenarbeit sowie in einem Wagenburgdenken mit Insellösungen enden kann.

Wollen Unternehmen eine durchgängige Informationssicherheitskultur in der eigenen Organisation erreichen, so ist das frühzeitige Informieren und Einbinden der Kollegen zu geplanten ISMS-Maßnahmen ein Muss. Auch vor dem Hintergrund, dass zu einem sensiblen Umgang mit wichtigen Unternehmensdaten zunächst ein Umdenken aller Mitarbeiter notwendig ist. Und dies wird nicht per Verordnung, Druck sowie Projektschnellschüssen erzielt. Mitarbeiter möchten das ehrliche Gefühl haben, dass sie Teil des Ganzen sind. Sie zu fragen, ihre Sorgen, Nöte und Bedenken ernst nehmen, ist wichtig. Das Ganze hat auch einen positiven Rückkopplungseffekt für das Unternehmen, denn die Kollegen arbeiten täglich an den internen und externen Schnittstellen. Sie sind diejenigen, die wertvolle Informationen intern weitergeben sowie Produkte und Dienstleistungen nach außen verkaufen. Ihre Erfahrung ist wertvoll und wichtig – gerade bei geplanten Veränderungen. In der Realität wird dieser wichtige Faktor nicht selten übersehen. Fatal, möchten Unternehmen eine solide und praxistaugliche ISMS-Strategie auf- und ausbauen. Auch weil ein ISMS in erster Linie durch die Akzeptanz derjenigen lebt, die sie anwenden sollen.

Vom Wissen zum Tun

Wenn das erklärte Ziel des Unternehmens lautet, ein ISMS einzuführen, so ist dafür ein klarer Plan inklusive frühzeitiger Informationskampagnen und Schulungsmaßnahmen für die Mitarbeiter unerlässlich. Und das muss vom Topmanagement ausgehen, sprich initiiert und der Erfolg überwacht werden.

Ein zentraler Punkt ist der Wert des Unternehmens, seiner Informationen, Produkte und Dienstleistungen, allen Mitarbeitern zu vermitteln. Mehr noch gilt es ihnen aufzuzeigen, dass sie ein wichtiger Garant und entscheidender Teil des Gesamtunternehmens sind. Wer seine eigene Mitverantwortung erkennt, aber auch die Möglichkeiten sieht, mit seinem Handeln die Informationssicherheit zu beeinflussen, findet deutlich leichter den Weg vom Wissen zum Tun.

Gelingt Unternehmen das in ehrlicher und transparenter Weise, finden sie in den Mitarbeitern die besten Fürsprecher im Sinne der Organisation – nach innen und außen gerichtet. Und was kann einem Unternehmen Besseres passieren, als die Mitarbeiter für die eigene Sache als positiven Botschafter zu gewinnen – nicht nur in der Mund-zu-Mund-Propaganda.

In unserer digitalen und eng vernetzen Welt mit sozialen Medienkanälen kann ein solches Vorgehen Gold wert sein. Menschen tauschen sich in Sekundenschnelle über alles und jedes aus. Und hierzu zählt das berufliche Umfeld als wichtiger und identitätsstiftender Teil des Lebens. Im Klartext heißt das: Wer im Job zufrieden ist, teilt das mit, spricht positiv über die eigene Firma und deren Vorzüge.

Wer es nicht ist, umso mehr. Das sollten Entscheider und Personalverantwortliche in ihren Betrachtungen berücksichtigen. Hierzu zählt, den Mitarbeiter nicht als „Faktor“ sowie „Humankapital“ zu bezeichnen, sondern als wichtigen Menschen und Kollegen für die eigene Organisation.

Der Wert der guten Arbeitgebermarke

Über Gespräche sowie dem digitalen Austausch kann eine Organisation abseits der Firmentore Botschafter, Fürsprecher und Multiplikatoren für das eigene Unternehmen gewinnen. Ein wichtiges Pfund in der Außendarstellung für Firmen – gerade mit Blick auf die teils angespannten Situation neue Mitarbeiter zu finden. Hintergrund ist, dass sich in den vergangenen Jahren der Kampf um Fach- und Führungskräfte zuspitzte und sich Unternehmen um Mitarbeiter bewerben müssen. Während viele Konzerne enorme Geldmittel aufwenden, um an die begehrten „High Potentials“ zu kommen, müssen kleinere Firmen schauen, wie sie sich attraktiv darstellen.

Ein Weg ist sich als gute Arbeitgebermarke mithilfe eines Employer Branding zu positionieren. Hier können auch kleinere Firmen punkten und sich mithilfe eines ausgereiften internen Aus- und Weiterbildungsprogramms, mit einem guten Betriebsklima und der Wertschätzung der Kollegen punkten. Vor allem die junge Generation fordert mehr von Unternehmen – angefangen bei der Weiterbildung über das Wertesystem des Unternehmens per se bis zu Homeoffice, flexiblen Arbeitszeiten oder Sharing-Modellen, wie Leihfahrräder oder Elektroautos. Stimmen diese Faktoren, kann dies nicht nur den Zusammenhalt in der Organisation steigern, sondern fördert die Unternehmenskultur und die positive Verbundenheit mit der eigenen Firma. Mitarbeitern geht es heute um mehr als eine hohe Vergütung und den neuesten Firmenwagen. Firmenvertreter sollten diese positive „Strahlkraft“ nach innen und außen in ihren Überlegungen nicht vergessen und gezielt fördern.

Ist solch ein Konzept zur Arbeitgebermarke stimmig, steigt die Bereitschaft zur Mitarbeit, zum Mitdenken und Handeln, also dem vorsichtigen Umgang mit den Unternehmenswerten. Voraussetzung ist, dass die Menschen in der Organisation sich mit den (gelebten) Werten identifizieren und in ihrem Tun „abgeholt“ werden. Das macht ein gutes Employer Branding für beide Seiten attraktiv. Firmen haben die Chance mit einer positiv besetzten Arbeitgebermarke neue Fach- und Führungskräfte zu gewinnen und Mitarbeiter gehen sorgsamer mit dem Wert der Unternehmung um. Sprich: Sie werden sensibler gegenüber den Risiken durch Cybergefahren – vor allem mithilfe umfassender Awareness-Kampagnen und Schulungsmaßnahmen. Ein nicht zu unterschätzender Mehrwert für jeden ISMS-Beauftragten, Entscheider und die gesamte Organisation. Und damit gewinnen beide Seiten: Die Informationssicherheit und das Unternehmen als solches, das seine Widerstands- und Innovationsfähigkeit steigert (Stichwort: Organisationale Resilienz). Spätestens dann drücken Führungskräfte und Mitarbeiter nicht mehr so schnell auf jeden grünen Knopf, der da leuchtet.

 

 

Diese Artikel könnten Sie auch interessieren

Online Fachbeiträge Ausgabe 11 / 2020
Fachbeitrag       IT-Sicherheit

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Artikel lesen


Online Fachbeiträge Ausgabe 9 / 2020
Fachbeitrag       IT-Sicherheit

IT-Sicherheit - auch im Homeoffice

Artikel lesen


62010
Titelthema       Gesetzgebung

Datensicherheit als Grundlage für Wissensmanagement

von Peter Böhret

Artikel lesen


62010
Titelthema       Gesetzgebung

Wissenstransfer als Schlüssel zur Datensicherheit

von Kurt-Jürgen Jacobs, Bernhard Schieß

Artikel lesen


62010
Titelthema       Gesetzgebung

Transparenz und Wissensdatenbank: Der Marktplatz IT-Sicherheit

von Dustin Pawlitzek, Sebastian Spooren

Artikel lesen


Unsere Empfehlungen