Sechs Tipps, wie Sie IT-Security intern besser verkaufen

Versehentliches und vorsätzliches Fehlverhalten der User kann vermieden werden

Keyfacts

  • Fehlverhalten der User ist vermeidbar
  • Digitale Identität optimal schützen
  • Lösungen müssen nachvollziehbar sein
Dr. Michael Falk
  • Partner, Consulting, Cyber Security
Mehr über meine Themen Nachricht schreiben

Als beste Maßnahme im Kampf gegen IT-Sicherheitsrisiken wird die Sensibilisierung der Nutzer angesehen. Auf der Agenda von CIOs, Information Security Officern und IT-Experten steht daher die Vermeidung von versehentlichem und vorsätzlichem Fehlverhalten der User.

Kaum ein Benutzer interessiert sich für Manuals oder die Inhalte eines Regelwerks. Stattdessen möchten sie oder er einfach wissen: Was bringt mir das Ganze eigentlich? Warum soll ich mir die Mühe machen, mein bewährtes Verhalten sicherheitskonform zu ändern?

Sechs Hinweise sollen helfen, die Perspektive der User besser zu verstehen und Argumentationsgrundlagen zu entwickeln, um Sicherheit intern besser zu „verkaufen“.

1) Sie haben nur eine digitale Identität – schützen Sie sie!

Auf die technischen Vorgaben zur Passwortkomplexität, -änderungsintervallen etc. im Unternehmen hat der Benutzer keinen Einfluss. Aber wechselnde und komplexe Passwörter sind nicht nur für Hacker ein Graus, auch für User sind sie unkomfortabel. Warum lohnt sich der Aufwand trotzdem?

Es geht um den Schutz der – sehr persönlichen – digitalen Identität! Bei der Nutzung schwacher oder identischer Passwörter auf Facebook, Xing, Amazon oder anderen Webdiensten droht ein massiver Kontrollverlust bei mehr Dingen, als „nur“ einem Onlinedienst: Was passiert mit meinem persönlichen Informationen? Werden Nachrichten in meinem Namen verschickt? Nutzt ein Dritter meine Kreditkartendaten?

2) Sicherheit entsteht durch Vertrauen

Die wichtigste Handlung eines Benutzers ist, sich sofort zu melden, wenn etwas Verdächtiges passiert. Nur dann kann entsprechend reagiert und der Schaden minimiert werden.

Deshalb ist ein Vertrauensverhältnis zwischen Mitarbeitern und den Ansprechpartner für IT-Security so wichtig. Geben Sie Ihrer Security ein Gesicht. Investieren Sie die in die Ausbildung der Mitarbeiter am Service Desk. Ein Mitarbeiter sollte nie „schuld sein“ an einem Security Incident – es ist immer besser, überhaupt davon zu wissen und schnell reagieren zu können!

3) Respektiere die Rechte anderer!

Transparenz und Kontrolle über die Rechte an geistigem Eigentum Dritter (Intellectual Property Rights) ist eine Herausforderung für die Information Security und ihre Schnittstellen (Kommunikation, Software Asset Management etc.). Automatische Scans nach installierter Software und die darauf basierende Prüfung der Lizenzsituation sind dabei die einfachen Übungen. Aber welche der gespeicherten Multimediadateien unterliegen eigentlich welchem Copyright? Hier stößt die Technik an Grenzen und es müssen moralische Aspekte in den Vordergrund rücken: Nicht nur der Erfolg des Unternehmens hängt von (schützbarem) Know-how und Innovation ab – auch im Kollegenkreis gibt es vielleicht den einen oder anderen, der mit Musik, privater Fotografie oder als Autor Interesse an der Wahrung seiner Rechte hat.

4) Bitte, gebt mir Lösungen!

Fehlverhalten der User hängt oft direkt mit unzureichend erklärten, schlecht implementierten oder schlicht nicht vorhandenen Lösungen zusammen. Deshalb ist auch hier ein kritischer Blick gefragt: Wie gut ist die Usability der eingesetzten Technologien, wie praxisnah sind die Richtlinien und vor allem: Wie ist Feedback der Benutzer?

5) Bei der Sache bleiben!

Bei der Einhaltung von Regeln ähnelt unser Verhalten dem 6-Jähriger mehr, als uns gemeinhin bewusst ist. Abstrakte Regeln sind nur schwer nachvollziehbar (Beim Essen sitzt man still!). Sind Regeln aber konkret auf eine Situation bezogen (Wenn Du nicht stillsitzt, bist Du nicht zum Nachtisch fertig.) ergeben Sie plötzlich Sinn. Im Unternehmen können dies konkrete, in Handlungsabläufe eingebettete Hinweise auf Risiken leisten. Beispielsweise beim Versand unverschlüsselter E-Mails an Externe können sie helfen, die Nutzung implementierter Verschlüsselungsfunktionen verständlich zu machen und so zu steigern.

6) Gut, dass wir wissen, was Du tust!

Wenn der “gute” Benutzer Vertrauen entwickeln soll müssen Sie ehrlich sein: Kommunizieren Sie offen, in welchem Maß Benutzeraktivitäten überwacht werden und welche Auswirkungen bei Verstößen gegen Recht und Gesetz strafrechtlich relevant sein können. Mit einer klaren und ehrlichen Kommunikation wird ein klarer Handlungsrahmen für alle geschaffen und zusätzlich vorsätzliche Innentäter abgeschreckt.

Was in der Werbung gilt, ist auch für die Vermittlung von IT-Security-Themen gültig. Wer seine Zielgruppe versteht, hat die besten Chancen, Verständnis zu erzeugen und Handlungen für mehr Sicherheit nachhaltig zu ändern.

Dr. Michael Falk
  • Partner, Consulting, Cyber Security
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.