Usability oder wie man die IT-Sicherheit aus der ” Buhmann”-Rolle Ecke holt

Publiziert am 20. Juli 2011 von admin

Ein weit verbreitetes Vorurteil ist, dass die Sicherheitsbeauftragten den Arbeitsalltag verkomplizieren und leider entspricht dies auch viel zu oft der Wahrheit. Vor diesem Hintergrund wundert es nicht, dass die Informationssicherheit als Showstopper erlebt wird und man versucht sie erst so spät wie möglich in Projekte einzubeziehen.

Diese Rolle wird des öfteren viel zu bereitwillig von den entsprechenden Mitarbeitern angenommen und schlussendlich auch gepflegt. Vom Gesichtspunkt der Sicherheitskultur aus betrachtet ist dies jedoch genau der falsche Ansatz.

Zum einen lebt die Sicherheitsabteilung von der Kommunikation. Sie ist wie kaum ein anderer Unternehmensbereich darauf angewiesen sie auch nur entfernt betreffende Gegebenheiten so früh wie möglich zu erfahren, um so früh wie möglich zu reagieren. Dabei muss es sich nicht um Angriffe oder kritische Situationen handeln, sondern auch um beispielsweise Entwicklungsprozesse, die sich am kostengünstigsten in ihren frühen Phasen beeinflussen lassen. Zum anderen ist die Verkomplizierung von Arbeitsabläufen durch Sicherheitsmaßnahmen der beste Garant dafür, dass diese nicht oder nur widerwillig umgesetzt werden. Um sich dies zu verdeutlichen lohnt sich ein Blick auf das Luftbild einer Parkanlage, wobei völlig gleichgültig ist, ob es sich bei dem abgebildeten Park, um den Londoner Hydepark, den Berliner Tiergarten oder den Central Park in New York handelt.  Man wird erkennen, dass Wege überall dort entstehen, wo ein Bedarf für sie existiert egal, ob das verlassen der angelegten Wege gestattet ist oder nicht.  Ziel der Sicherheitsabteilung muss es von daher sein, den Bedarf dieser Trampelpfade im Unternehmen zu erkennen und die entsprechenden Wege zur Verfügung zu stellen, damit das Wachstum unkontrollierbarer Trampelpfade vermieden wird.  Konkret heißt, dass eine geschickte Sicherheitsabteilung wird sich den Hut der Usability aufsetzen und die Mitarbeiter dabei unterstützen Arbeitsprozesse zu vereinfachen, wo immer es geht. Zum einen stellen die Mitarbeiter so fest, dass das Einbeziehen der Sicherheitsabteilung positive Auswirkungen auf ihre Arbeit hat und zum anderen erkennen sie deren Veto und Grundsätze besser an. Außerdem werden Sicherheitsmaßnahmen schlussendlich auch deutlich besser umgesetzt, wenn sie sich natürlich in das Arbeitsumfeld der Mitarbeiter integrieren und nicht als störender Extraschritt erlebt werden.

 

 

Veröffentlicht unter Sicherheitskultur | Verschlagwortet mit | Hinterlasse einen Kommentar

Indikatorenliste für die Ermittlung der beobachtbaren Phänomene einer Informationssicherheitskultur

Publiziert am 17. Juli 2011 von admin

Zur Ermittlung einer bestehenden Informationssicherheitskultur schlage ich folgende Schlüsselbeobachtungen vor:

  1. Dienstausweise
  2. Gästeausweise
  3. Begleitung von Gästen
  4. Büros
  5. Beweglichkeit der Mitarbeiter
  6. Putzkolonne
  7. Clear Screen
  8. Clear Desk
  9. Vertrautes Umfeld
  10. Umgang der Mitarbeiter miteinander
  11. Formalität
  12. Dresscodes
  13. Hierarchien
  14. Verschlüssselung
  15. Dokumentationsstrukturen
  16. Dokumentationssprache
  17. Organisationale Informationssicherheit
  18. Identifikation

Derzeit arbeite ich gerade an einem Softwaretool, dass bei der Auswertung dieser Faktoren unterstützt, welches ich in Kürze hier in einer Beta-Version veröffentlichen werde.

 

Veröffentlicht unter Informationssicherheit, Sicherheitskultur | Verschlagwortet mit | Hinterlasse einen Kommentar

Maskottchen

Publiziert am 17. Juli 2011 von admin

sicherheitskultur.net hat ab jetzt ein Maskottchen und zwar:

*Trommelwirbel*

eine Schildkröte

Schildkröten sind langsam, wie es nachhaltige Veränderungen sind. Sie haben im Lauf der Jahre ein ausgeklügeltes Schutzsystem entwickelt, wie es das Ziel jeder Organisation sein sollte. Das Schutzsystem wächst mit und Schildkröten sind ein wenig behäbig wie große Organisationen. Sie repräsentieren Weisheit, die Grundlage jeder Führung sein sollte.

Was lag also näher als Schildkröten zum Maskottchen des Blogs zu erklären. Das Bild ist zwar vorerst nur provisorisch, da wird aber nächste Woche etwas neues anderes folgen…

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

Eskalationsstufen von Konflikten nach Glasl

Publiziert am 17. Juli 2011 von admin

Eskalationsstufen von Konflikten

Neben der Typisierung von Konflikten ist für deren Beurteilung auch der Eskalationsgrad von herausragender Bedeutung. Das von Glasl vorgeschlagene Stufenmodell die Eskalation beinhaltet neun Eskalationsstufen (Vgl. Glasl 233 ff.).

  1.  win-win Orientierung:
    • Stufe I: Verhärtung
      In dieser Phase sind Spannungen wenn überhaupt nur kaum wahrnehmbar. Meinungen verfestigen sich zu Standpunkten. Bei den PArteien herrscht die Meinung vor, den anderen mittels rationaler Argumente noch überzeugen zu können.
    • Stufe II:Debatte Polemik
      Die Parteien nehmen konfrontativere Positionen ein und scheuen harte verbale Auseinandersetzungen nicht. Die Sachpunkte werden mit den Positionspunkten der Partei verknüpft. Man versucht den Gegner in rhetorisch in die Enge zu treiben.
    • Stufe III: Taten statt Worte
      Der Konflikt verlagert sich zunehmend auf Positionsinteressen. Konkurrenzverhalten tritt verstärkt auf. Innerhalb der Parteien wächst der Gruppenzusammenhalt und es geht darum, der eigenen Dominanz Ausdruck zu verleihen. Man versucht Taten statt Worte sprechen zu lassen.
  2. win-lose Orientierung:
    • Stufe IV: Images und Koalitionen
      Einstellung der Parteien bekommt win-lose Charakter. Das Gefühlsleben polarisiert. Man versucht den Kontrahenten in Rollen zu drängen und dort zu fixieren. Erste Provokations- und Strafverhalten tritt auf. Es werden Bündnisse und Allianzen geschmiedet.
    • Stufe V: Gesichtsverlust
      Es wird versucht die Person des Gegners und sein Ansehen nachhaltig zu beschmutzen und sich selbst als Kämpfer des “Rechts” zu sehen. Die Parteien streben nach Parität im Zufügen des Schadens
    • Stufe VI: Drohstrategien und Erpressung
      Die Einstellungen der Parteien werden unnachgiebig und absolut. Irrationalität bestimmt das Handeln. Drohungen dominieren und werden durch Akte der Selbstbindung untermauert. Man versucht die Gegenpartei unter Kontrolle zu bekommen.
  3. lose-lose Orientierung:
    • Stufe VII: Begrenzte Vernichtungsschläge
      Es geht nicht mehr darum den Konflikt zu “gewinnen” sondern darum weniger Schaden aus ihm herauszutragen als der Gegner.
    • Stufe VIII: Zersplitterung
      Vitale Angriffe gegen den Gegner auch auf Gefährdung der eigenen Existenz hin.
    • Stife IX: Gemeinsam in den Abgrund
      Vernichtung des Gegners um jeden Preis. Es erscheint billig die eigene Existenz zu verlieren, sofern man den Gegner dadurch Vernichten kann.

Für die Informationssicherheit einer Organisation hat der Eskalationsgrad eines Konfliktes weitreichende Auswirkungen, da durch das hohe Schadenspotential, das einzelne Personen, die über die nötige Sachkenntnis verfügen,  entfalten können, hocheskalierte Konflikte schon mit einzelnen Individuen existenzbedrohliche Auswirkungen für die Organisation in ihrer Gesamtheit haben können.

Ein einzelner Systemadministrator, der nach seiner Kündigung nichts mehr zu verlieren hat, könnte Beispielsweise ganze Datenbanken binnen Sekunden nebst der zugehörigen Backups vernichten.

Wie auf den konventionellen Schlachtfeldern des Weltgeschehens wird daher auch hier in den nächsten Jahren eine “asymmetrische Kriegsführung” zu erwarten sein, bei der Kleingruppen in der Lage sind große Heere niederzuringen.

Langfristig wird folglich an einem veränderten Konfliktverhalten, dass Lose-Lose-Situationen ausschließt, kein Weg vorbeiführen.

Veröffentlicht unter Informationssicherheit, Konfliktkultur | Hinterlasse einen Kommentar

Typisierung von Konflikten

Publiziert am 17. Juli 2011 von admin

Aufgrund der Weite dieser Konfliktdefinition werde ich im folgenden den Versuch einer Typisierung von Konflikten unternehmen, um die Beziehungen zwischen Konflikten und Informationssicherheit systematischer darstellen zu können.

Unterteilung nach Parteien und ihrem Verhältnis zur Organisation

Grundsätzlich sind drei verschiedene Typen von Konflikten denkbar:

  1. Interpersonelle Konflikte
  2. Intrapersonelle Konflikte
  3. Drittkonflikte

Bei interpersonellen Konflikten handelt es sich um Konflikte, die zwischen der betrachteten Organisation und anderen Organisationen oder natürlichen Personen bestehen. Dabei ist es zunächst gleichgültig wieviele Parteien insgesamt an dem Konflikt beteiligt sind. Beispiele zwischen interorganisationale Konflikte sind zum Beispiel solche Konflikte, die sich aus dem Wettbewerb mit anderen Organisationen ergeben oder Konflikte, die mit Staatlichen Stellen oder NGOs bestehen, aber auch solche zwischen der Organisation und einem ehemaligen Mitarbeiter.

Intrapersonelle Konflikte hingegen spielen sich allein innerhalb der Organisation ab. So sind davon Konflikte zwischen einzelnen Mitarbeitern, solche zwischen Abteilungen oder auch Konflikte zwischen einem einzelnen Mitarbeiter und einer Gruppe oder einem Team von diesem Konflikttyp erfasst.

Drittkonflikte sind Konflikte, die mittelbar Auswirkungen auf die Organisation haben, ohne dass diese direkt als Konfliktpartei an diesem beteiligt ist. Beispiele für Drittkonflikte aus dem Bereich der Informationssicherheit sind Konflikte zwischen Staaten um wirtschaftliche Vormachtsstellung, bei denen einer der Staaten Industrie- und Wirtschaftsspionage betreibt, Konflikte zwischen Hackergruppen, die beim Kampf um die Vorherrschaft die Infrastruktur des Unternehmens schädigen oder Fälle in denen ein Krimineller den Rechner einer Bank hackt, um einen Kunden der Bank zu schädigen.

Unterteilung nach hierarchischem Verhältnis der Konfliktparteien

Eine weitere Möglichkeit zur Typisierung des Konfliktes besteht darin ein Blick auf das Verhältnis zwischen den Konfliktparteien zu werfen und herauszuarbeiten in welchem hierarchischen Verhältnis sie zueinander stehen.

Bei näherer Betrachtung ergeben sich so drei unterschiedliche Möglichkeiten, wie das Verhältnis geprägt sein kann:

  1. Hierarchisches Verhältnis aus Normen resultierend
  2. Hierarchisches Verhältnis aus Abhängigkeit resultierend
  3. Konflikt gleichrangiger Parteien

Konflikte bei denen ein hierarchisches Verhältnis zwischen den Konfliktparteien besteht, welches sich aus Normen oder gesetzlichen Vorschriften ergibt, sind Konflikte mit staatlichen Körperschaften und anderen Hoheitsträgern staatlicher Gewalt, Konflikte zwischen der Konzernmutter und einzelnen Konzernteilen oder Konflikte zwischen Vorgesetzten und Untergebenen.

Darüberhinaus sind Konflikte denkbar, bei denen sich ein hierarchisches Verhältnis zwischen den Parteien aus bestehenden Abhängigkeiten ergibt. Als Beispiel können hier Konflikte zwischen einem Unternehmen und seinen Zulieferern oder Großkunden eingeführt werden.

Konflikte zwischen gleichrangigen Parteien liegen zum Beispiel bei Wettbewerbsstreitigkeit zwischen verschiedenen Unternehmen vor oder bei Konflikten zwischen Mitarbeitern in einer Abteilung.

Unterteilung nach Konfliktgegenständen

Zudem können Konflikte nach dem Konfliktgegenstand und dessen Bezug zur Organisation typisiert werden.

  1. Konflikte mit direktem Organisationsbezug
  2. Konflikte mit indirektem Organisationsbezug
  3. Konflikte ohne Organisationsbezug

Konflikte mit direktem Organisationsbezug liegen dann vor, wenn der Streitgegenstand des Konflikts direkt in den Zielen und der Arbeit sowie der Einrichtung der Organisation selbst liegt.Beispielsweise kommen hier Konflikte zwischen Abteilungen über Zuständigkeiten, die Vergabe von Schichten oder Wettbewerbs- beziehungsweise Patentstreitigkeiten in Betracht.

Konflikte mit indirektem Organisationsbezug hingegen sind solche Konflikte bei denen der Streitgegenstand zwar nicht direkt entziehen und der Arbeiterorganisation selbst liegt, aber trotzdem einen Bezug zu Organisation aufweist. Als Beispiel können Streitigkeiten zwischen Mitarbeitern angeführt werden, hinsichtlich des Verhaltens im Büro oder Mobbing-Fälle.

Konflikte ohne Organisationsbezug liegen beispielsweise bei Streitigkeiten von Mitarbeitern hinsichtlich ihrer favorisierten Fußballvereine oder Beziehungskonflikten vor.

Typisierung nach Austragungsform

Neben den bislang genannten Möglichkeiten der Typisierung von Konflikten kann außerdem noch zwischen heißen und kalten Konflikten Unterschieden werden (Vgl. Glasl 77 ff.).Heiße Konflikte dadurch gekennzeichnet, dass sie von den beteiligten Parteien aktiv ausgetragen werden und die Parteien eine wie auch immer geartete Lösung noch für möglich halten. bei kalten Konflikten herrscht indes ein Klima der Resignation vor, bei dem die Parteien eine Lösung der Konflikte nicht mehr für möglich achten und die direkte Konfrontation vermeiden.

Weitere Typisierungsmodelle

Neben den von mir vorgeschlagenen Typisierungsmodell existierende Literatur zahlreiche weitere (Vgl. Glasl 53 ff.). Aufgrund des sehr spezifischen Bezugsrahmens dieses Blogs, werde ich jedoch lediglich die oben genannten verwenden.

Veröffentlicht unter Konfliktkultur | Verschlagwortet mit , | Hinterlasse einen Kommentar

Konflikt

Publiziert am 17. Juli 2011 von admin

Der Begriff der Informationssicherheit in der Literatur weitestgehend einheitlich definiert wird, hat sich für den Konfliktbegriff ein Vielzahl von Definition herausgebildet. Da es nicht Gegenstand dieses Blogs ist, einen weiteren Beitrag zu dieser überwiegend dogmatischen Diskussion zu leisten (Vgl. Glasl, S.12ff; Dahrendorf, S.31ff.; Thomas, S. 265ff.) werde ich mich im folgenden auf die Definition Krügers beschränken (Krüger S. 17), die auch Steinbrecher (Steinbrecher S. 28) in seinem Werk zum Systemdesign von Konfliktmanagementsystemen verwendet. Dieser Definition nach, ist ein Konflikt ein aus konkurrierenden Interessen resultierender, wahrgenommener Spannungsprozess zwischen interdependenten Akteuren.

Interessen sind dabei die Gesamtheit der Einstellungen und Erwartungen zu den Möglichkeiten und Zielen eines Akteurs, die sich im Denken, Fühlen oder Wollen äußern und auf Werten, Normen und Ansprüchen basieren (Steinbrecher S. 28).

Veröffentlicht unter Definitionen, Konfliktkultur | Hinterlasse einen Kommentar

Informationssicherheit

Publiziert am 17. Juli 2011 von admin

Im Rahmen dieses Blogs werde ich den Begriff der Informationssicherheit des öfteren verwenden, daher halte ich es für angebracht ihn zu definieren.

Der Begriff wird in diesem Blog für jene Eigenschaften von informationsverarbeitenden sowie -lagernden Systemen verwendet, die die Vertraulichkeit, die Verfügbarkeit und die Integrität gewährleisten. (Vgl. BSI IT-Grundschutzhandbuch). Die Informationssicherheit bezweckt den Schutz vor Gefahren beziehungsweise Bedrohungen sowie die Vermeidung von Schäden und die Minimierung von Risiken. Neben der Sicherheit von IT-Systemen wird von dem Begriff auch die Sicherheit nicht elektronisch verarbeiteter Informationen erfasst.

Als Vertraulichkeit im Sinne des Begriffs wird verstanden, dass nur befugte Person Kenntnis von den Dateninhalten erlangen. Neben den eigentlichen Dateninhalten wie sie beispielsweise in Datenbanken abgelegt sind, erfasst der Begriff zudem auch sensible Systeminformationen, wie beispielsweise Konfigurationsdateien oder die Quelletexte von Programmen.

Verfügbarkeit bedeutet im Sinne der Informationssicherheit, dass der Zugriff auf Daten immer dann gewährleistet ist, wenn diese benötigt werden, unabhängig davon ob die Daten an einem Ort vorhanden sein müssen oder von einem System angefordert werden.

Integrität ist dann gegeben wenn die Unversehrtheit von Daten und die korrekte Funktionsweise von Systemen sichergestellt ist.

Neben diesen drei Grundvoraussetzungen werden zunehmend auch die Eigenschaften Authentizität und Nachvollziehbarkeit gefordert. Unter Authentizität versteht man die Unbestreitbarkeit der Herkunft von Daten, während die Nachvollziehbarkeit den Umstand betrifft, dass zurückverfolgbar sein muss, wann, warum und von wem die Daten geändert gelöscht oder erstellt worden sind.

Veröffentlicht unter Definitionen, Informationssicherheit | Hinterlasse einen Kommentar

Interkulturalität und Informationssicherheit

Publiziert am 15. Juli 2011 von admin

Jeder der einmal in ein Projekt mit internationalen Partnern eingebunden war, wird die Erfahrung gemacht haben, wieviel Einfluss kulturell bedingte Gegebenheiten auf den Projektablauf haben. Das beginnt ganz simpel bei unterschiedlichen Feiertagen und endet bei missverständlich interpretierten Gesten und Metaphern.

Diese kulturellen Gegebenheiten sind für die Informationssicherheit von großer Bedeutung. Unterschiedliche Nationalkulturen spielen dabei allerdings nur eine untergeordnete Rolle. Natürlich ist man im Hinblick auf Kameras in England oder den USA viel entspannter als im kontinentaleuropäischen Raum oder man ist in Israel schwer bewaffnete Sicherheitskräfte gewohnt, doch handelt es sich dabei um offensichtliche kulturelle Unterschiede, die von den Organisationsmitgliedern und Projektbeteiligten im Zweifel ohne weiteres erkannt werden. Deutlich einflussreicher, sind aber gerade jene kulturellen Unterschiede, die nicht so offensichtlich sind.

Anders ausgedrückt: Wenn ich nach Korea in den Urlaub fliege, erwarte ich dort eine gänzlich andere Kultur vorzufinden, verhalte mich besonders rücksichtsvoll und versuche sogar die größten Frechheiten meiner Person gegenüber als kulturellen Unterschied auszulegen, fahre ich jedoch nur ins mitteleuropäische Ausland beispielsweise Österreich ist meine Erwartungshaltung, dass ich in etwa dasselbe wie hier in Berlin vorfinden werde. Es ist zwar in lustige Trachten gehüllt und die Leute sprechen ein bisschen anders, aber ansonsten erwarte ich eigentlich nichts, was sonderlich anders ist.

Dass es sich bei unseren Nachbarn um tatsächlich eigene Kulturen handelt und eben nicht um eine große Gesamtkultur wird erst dann wirklich erfahrbar, wenn man ein paar Jahre dort lebt und feststellt, dass der Alltag eben doch gehörig anders ausschaut. Gerade diese kleinen Unterschiede sind es daher, die im Zweifel zu tiefgreifenden Kommunikationsproblemen und Konflikten führen können, welche am Ende die Informationssicherheit einer Organisation bedrohen.

Noch komplizierter wird es, wenn es sich nicht nur um Nationalkulturen handelt, sondern um Organisations- oder Berufskulturen, wie sie in Projekten großer Unternehmen und Konzerne alltäglich vorkommen.

Im Mitglied einer Organisation vereinigen sich so jeweils vier kulturelle Dimensionen, die noch mal in diverse Subkulturen unterteilt sein können.

  1. Die Nationalkultur, der das Mitglied entstammt.
  2. Die Organisationskultur des Unternehmes, dem es angehört.
  3. Die Berufskultur
  4. Die Kulturen des Sozialen Gefüges, dem es entstammt und in dem es sich bewegt.

Die Nationalkultur beschreibt den klassischen Kulturraum, aus dem das Mitglied stammt und in dem es aufgewachsen ist. Die Subkulturen von Nationalkulturen stehen in der Regel in einem hierarchischen Verhältnis: Jemand ist so zum Beispiel: europäisch, deutsch, norddeutsch, hamburgisch, Wandsbeker. Die Nationalkultur(en) lassen sich in der Regel recht einfach bestimmen sind aber nicht zu beeinflussen.

Die Organisationskultur prägt den Menschen umso stärker, umso länger er Mitglied der Organisation ist. Im Laufe der Jahre nimmt er die Verhaltensweisen, Werte, Normen und Grundannahmen an und kennt die Artefakte der Organisation und ihre Bedeutung. Sie lässt sich in der Regel recht gut bestimmen und ist lenkbar.

Die Berufskultur, der ein Mitglied angehört, prägt nachhaltig sein Herangehen an Probleme und die Sprache, die er im beruflichen Umfeld verwendet. Man redet nicht umsonst von Juristendeutsch, einer Ärztehandschrift oder Informatikersprech.  Die Berufskultur, der eine Person angehört, ist sehr gut bestimmbar, aber schwer veränderbar. Allerdings gibt die Berufskultur von Mitarbeitern und Bereichen häufig Aufschluss darüber, an welchen Stellen Missverständnisse zu erwarten sind und bewusst “übersetzt” werden sollte. Zudem kommt dieser Kultur eine wichtige Rolle als “Dolmetscherkultur” bei Mitarbeitern aus unterschiedlichen sozialen Gefügen zu, so dass sich professionelle Kommunikation in der Regel immer auf der Basis dieser Kultur bewegt.

Die Kulturen des sozialen Gefüges setzen sich aus einer Vielzahl bestimmender Werte zusammen, so beispielsweise mit welcher Jugendbewegung sich das Mitglied identifiziert hat, welchen Sportarten es sich verschrieben hat, aber auch aus was für einer Familie es stammt und welche Werte dort gelebt wurden. Die Kulturen des sozialem Gefüges prägen in der Regel die Persönlichkeit des Mitglieds am stärksten, während sie nur schwer oder gar nicht beeinflusst werden können.

Die Herausforderung für eine funktionierende Sicherheitskultur ist es nun zu erfassen, welche unterschiedlichen Kulturkonstellationen in der jeweiligen Organisation oder auch dem jeweiligen Projekt bestehen insbesondere dann, wenn Mitarbeiter mehrerer Professionen und Organisationen einbezogen sind. Diese sind dann in die Entwicklung der Sicherheitskultur mit einzubeziehen.

Dabei kommt insbesondere den unterschiedlichen Berufskulturen als  “Dolmetscherkulturen” eine Herausragende Bedeutung zu. Konkret bedeutet dies zunächst einmal zu ermitteln, welche unterschiedlichen Berufskulturen, im Unternehmen vertreten sind. So findet man beispielsweise das Topmanagement, die Rechtsabteilung, die Personaler, die IT und die Fertigung.

Um eine gemeinsame Sicherheitskultur zu entwickeln, ist es so zunächst wichtig, abstrakte und allgemein verständliche Leitlinien und Sicherheitsziele zu formulieren und sicher zu stellen beispielsweise mittels Spiegelns, dass diese auch von allen vertretenen Berufsgruppen verstanden werden und in ihrer eigenen Sprache mit Leben gefüllt werden können.

Dann müssen die einzelnen Berufsgruppen beginnen die Anforderungen, die sich aus ihrem Fachgebiet an die Informationssicherheit ergeben, zu formulieren und diese Ergebnisse müssen dann wiederum den anderen Berufsgruppen verständlich gemacht werden. Anders ausgedrückt muss für Juristen klar werden, an welchen Punkten sie beim Aushandeln von Verträgen, die Technik zu Rate ziehen müssen, um dann auch akzeptieren zu können, wenn aus Sicherheitsbedenken diese “nein” sagt und umgekehrt muss für die Technik klar werden, welche rechtlichen Rahmenbedingungen warum in punkto Sicherheit zu erfüllen sind.

Insgesamt gilt es also eine Sicherheitskultur durch einen moderierten interkulturellen Dialog unterschiedlicher Berufskulturen entstehen zu lassen.

 

 

Veröffentlicht unter Allgemein | Hinterlasse einen Kommentar

Vorschlag eines Verfahrens zur Verbesserung der Informationssicherheit

Publiziert am 13. Juli 2011 von admin

Nach wie vor ist und bleibt der Faktor Mensch sowohl die größte Chance als auch das größte Risiko für Informationssicherheit einer Organisation. Kennzeichnend für die Diskussion über diesen Faktor ist die Betrachtung des Mitarbeiters als Risiko. Gerade im Bereich der Security Awareness wird gerne die Angst vor dem böswilligen oder unfähigen Mitarbeiter geschürt, ohne dabei auf die Chancen einzugehen, die die aktive intrinsisch motivierte Mitarbeit der Organisationsmitglieder im Hinblick auf die Informationssicherheit bedeutet.

Nicht zuletzt ist es gerade diese permanente Angst vor dem Fehlverhalten der Mitarbeiter, die die Sicherheitskultur derartiger Organisationen kennzeichnet. Sicherheitskultur wird nur über Weisungen gestaltet, die im besten Fall durch bunte Bilder und “freche” Gimmicks unterstrichen werden. Bei einem Projekt sagte mal der Kunde zu mir, dass er sich nicht in einem derartigen Weisungsjungle verlieren möchte, da er momentan eine Kultur des “Darf ich mich drum kümmerns” in seiner Abteilung habe. Dies trifft die Sache  im Kern. Der negative Effekt von solch weisungsgebundenen Unternehmenskulturen liegt darin, dass die Weisungen zwar je nach Unternehmen mehr oder weniger umgesetzt werden, die Motivation darüber hinaus aber noch tätig zu werden und die bestehenden Maßnahmen und Vorgaben zu verbessern, in der Regel sinkt.

Ziel muss es sein eine Kultur des bewussten, aktiven und kritischen Umgangs mit Problemstellungen zu entwickeln. Ein Ziel dem man mit bunten Bildern und lustigen Passwortständern für den Schreibtisch nicht gerecht werden wird. Es muss viel mehr Sicherheit zum permanenten Thema gemacht und den Mitarbeitern auch Raum eingeräumt werden, sich selbst mit der Fragestellung zu befassen.

Es bringt nichts Secure-Coding-Workshops abzuhalten, aber nicht gleichzeitig Entwicklungsprojekten mehr Zeit einzuräumen, die eine sichere Programmierung erfordert. Genauso wenig wie Mitarbeiter als austauschbares Gut zu betrachten und zu behandeln und im nächsten Atemzug zu erwarten, dass diese Mitarbeiter motiviert sind, mehr als das Minimum für die Sicherheit der Organisation zu leisten, etc.

Selbstverständlich können Menschen noch immer ein Risiko darstellen, dennoch sind Mitarbeiter, die positiv zu Umsetzung und Verbesserung von Sicherheitsmaßnahmen motiviert werden und sich mit ihrer Organisation identifizieren, deutlich geneigter auch daran mitzuwirken.

Leider investieren jedoch bislang nur wenige Organisationen in eine nachhaltige Sicherheitskultur, sondern greifen statt dessen lediglich auf vermeintlich schneller wirksame Security Awaresness Maßnahmen zurück. Diese Maßnahmen machen dann zwar die bestehenden Gefahren bewusst, aber sie erfassen weder die Ursachen für Fehlverhalten noch bieten sie bezüglich dieser weitergehenden Lösungen an.

Diese Entwicklung liegt wohl in erster Linie daran, dass der effektive Aufbau einer Sicherheitskultur mehr Zeit bedarf als reguläre Planungszyklen des Managements vorsehen. Ein weiterer kritischer Faktor ist, dass Sicherheit schon im allgemeinen die Sicherheitskultur jedoch im besonderen nur sehr schwer objektiv messbar ist und man bei Security Awareness Maßnahmen nach der Marketing Methode zumindest am Ende bunte Bilder erhält, mit denen den zuständigen Stellen gegenüberdie Tätigkeit belegt werden kann.

Verfahrensvorschlag

Mein Verfahrensansatz greift daher grundsätzlich auf vier verschiedene Modelle zurück. Die Analyse der bestehenden Sicherheitskultur erfolgt überwiegend auf Basis des Ebenenmodells von Schein, dessen Ergebnis schließlich mittels des Reifegradmodells von Hudson eingeordnet wird. In einem nächsten Schritt wird dann ein Sollzustand definiert, der sowohl den Schutzbedarf der Organisation, als auch deren Größe und Branchenumfeld berücksichtigt.

Auf Basis der sich aus Ist- und Sollzustand ergebenden Differenz werden nun Maßnahmen definiert, die nach dem Ebenenmodell  der Atomenergiebehörde (IAEA) den unterschiedlichen Ebenen zur Umsetzung zugewiesen werden.

Was die Steuerung des Prozesses betrifft, so orientiert sich mein Modell sowohl hinsichtlich des Modells im gesamten als auch hinsichtlich der konkreten Maßnehmen am klassischen Plan-Do-Check-Act-Circle für den Aufbau von Information Security Management Systemen (ISMS) der ISO 27.000er Standards.

Zur Verdeutlichung meines Ansatzes bediene ich mich eines praktischen Beispiels.

Ein großer Mittelständler will das Konzept der Sicherheitskultur einführen. Das Unternehmen verfügt über eine Unternehmenszentrale im ländlcihen Raum Baden-Württembergs und ist der einzige große Arbeitgeber in der Region.  Vorort sind 2500 Mitarbeiter tätig. Darüber hinaus unterhält es noch zwei größere Tochtergesellschaften mit jeweils 300 Mitarbeitern in Deutschland und Niederlassungen an vier weiteren Standorten  in den USA, Frankreich, Indien und China. Das Unternehmen stellt Maschinenbauprodukte im Hochtechnologie-Bereich her, die es vornehmlich an andere Maschinenbauunternehmen vertreibt.

Analysephase

Zunächst einmal werden die Rahmendaten des Unternehmens erfasst und eine Kategorisierung vorgenommen. So handelt es sich beim Unternehmen um einen größeren Mittelständler, ist im Hochtechnologiesektor aktiv, es hat internationale Standorte und es ist was die Hauptniederlassung betrifft, im ländlichen Raum angesiedelt. Diese Daten ergeben später Koeffizienten mittels derer erfasste Beobachtungen gewichtet werden.

Als erster Schritt werden nun die Merkmale der ersten Ebene des Modells von Schein durch eine Begehung überprüft. So achtet man beispielsweise darauf, ob die Mitarbeiter am Standortdienstausweise tragen, ob Kameras installiert sind oder ob die Bürotüren geschlossen sind. Diese Beobachtung werden aufgenommen und mit einer Indikatorenliste gerankt. In einem nächsten Schritt werden die Indikatorbeobachtungen mittels der Koeffizienten gewichtet.

Als nächstes erfolgt eine Dokumentenanalyse mittels derer die bestehenden Sicherheitsvorschriften bewertet werden. Zudem erfolgt ein Abgleich inwiefern sich die vorgefundenen Verhaltensweisen mit denen, die in den Dokumenten beschrieben wurden, decken. So kann es beispielsweise sein, dass in unserem Beispiel die Mitarbeiter zwar dazu verpflichtet sind Dienstausweise bei sich zu tragen, aber in der praktischen um die meisten die Karte nur in der Geldbörse mit sich führen.

Aus diesen Ergebnissen werden sodann Fragebögen generiert, die zum einen überprüfen inwieweit die Fremdwahrnehmung von den Mitarbeitern selbst ebenso erlebt wird und zum anderen die Gründe für das Verhalten erfragt werden. Diese Fragebögen werden anonymisierter Form von den Mitarbeitern bearbeitet und hinsichtlich bestehender Normen und Werte ausgewertet.

So würde vorliegend vielleicht herauskommen, dass die Ausweise deshalb nicht getragen würden weil es an guten Befestigungsmöglichkeiten für die Kleidung fehle, oder weil man sich ohnehin kenne und fremde schon deshalb sofort auffielen, weil sie eben fremd seien. Es ergäbe sich aus den Fragebögen beispielsweise, dass man zwar Vorgaben der Sicherheitpolitik nicht umsetzt, aber eine sehr hohe Identifikation mit dem Unternehmen aufweist.

Aus der Interpretation dieser Normen und Werte im Verhältnis zum sichtbaren Verhalten erfolgt schließlich die Aufstellung der der Organisationskultur zu Grunde liegenden Grundannahmen im Hinblick auf die Informationssicherheit. So könnte sich vorliegend beispielsweise die Grundannahme ergeben, dass sich das Unternehmen als Familie betrachtet und man Sicherheitsmaßnahmen gerade deshalb nicht umsetzt weil man in der Umgebung das Fahrrades auch sein Fahrrad nicht abschließt, da man ohnehin jeden kennt.

Dieses Abschlussbild wird schließlich innerhalb der Organisation zur Diskussion gestellt und abschließend abgestimmt. Aufgrund dieses abgestimmten Gesamtbildes wird dann der Reifegrad, der in dieser Organisation bestehenden Sicherheitskultur ermittelt und aufgezeigt, wo deren spezifische Stärken und Schwächen liegen.

Planungsphase

Im Rahmen der Planungsphase wird zunächst festgelegt, welche Ziele im Hinblick auf die Sicherheitskultur für die Organisation bestehen. Zum Teil kann es hier angezeigt sein einen gestaffelten Umsetzungshorizont zu verwenden, so dass die Ziele in kurzfristiger mittelfristiger und langfristige Umsetzung eingeteilt werden. Insbesondere für die langfristigen Ziele empfiehlt es sich dann Etappenziele festzulegen, die Fortschritte auch schon kurz- bis mittelfristig messbar machen. Diese so entstandene Soll-Kultur wird dann mit der bestehenden Ist-Kultur abgeglichen und der bestehende Handlungsbedarf ermittelt. Dieser Handlungsbedarf wird dann nach dem Ebenenmodellen der internationalen Atomenergiebehörde den entsprechenden Ebenen zugewiesen und für diese jeweils umzusetzende Maßnahmen definiert.

Für unser Beispiel könnte sich so zum Beispiel ergeben, dass die tatsächliche konkrete Bedrohungslage nicht bei den Mitarbeitern ankommt und anhand von konkreten Vorfällen kommuniziert werden muss. Außerdem kann es Sinn machen dann Ausschüsse zu bilden, um selbst aus der Mitarbeiterschaft heraus, nur unterstützt durch externe Berater, Maßnahmen zu entwickeln mit denen man das Problem angeht.

Überprüfungsphase

In der Überprüfungsphase wird der Erfolg der jeweiligen Maßnahmen überwacht und dokumentiert. Zudem wird ein vorher definierten kritischen Punkten eingegriffen um gegebenenfalls nachbessern zu können.

Verbesserungsphase

in der Verbesserungsphase werden die gemachten Erfahrungen ausgewertet, korrektive Maßnahmen ergriffen und die eingesetzten Verfahren angepasst beziehungsweise verbessert.

In regelmäßigen Abständen von beispielsweise ein bis zwei Jahren oder nach einschneidenden Veränderungen wie Fusionen erfolgt dann erneut der Durchlauf dieses Verfahrens.

Veröffentlicht unter Sicherheitskultur | Verschlagwortet mit , , , , , , | Hinterlasse einen Kommentar

Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung – Dietmar Pokoyski und Michael Helisch

Publiziert am 2. Juli 2011 von admin

Ein recht ärgerliches Buch meiner Auffassung nach. Die Autoren stellen Security Awareness als eine Frage des richtigen Verkaufs und somit als Marketing-Problem dar, dem man schon allein mit der Auswahl der richtigen Werbemittel beikommen könnte. Dem Leser wird versprochen, dass nur durch das richtige Posterdesign und die richtige
Kommunikationsmethode das Problem des Sicherheitsfaktors Mensch greifbar und beherrschbar wird. Ein paar “werbepsychologische” Allgemeinplätze, runden diesen Eindruck ab.
Das Buch ist nur insofern empfehlenswert wie man Beispiele für konkrete Kommunikationsmaßnahmen sucht, aber da tut es vermutlich auch jedes andere Werk zum Guerrilliamarketing.

Veröffentlicht unter Literatur | Hinterlasse einen Kommentar