Menschenbild der Informationssicherheit

Wenn man wie ich seit inzwischen fast einem Jahrzehnt verfolgt wie Faktor Mensch im Kontext der Informationssicherheit adressiert wird, macht sich Ernüchterung breit. Der Mensch wird fast ausschließlich als Risiko gesehen, als schwächstes Glied als ein Faktor, den es unter Kontrolle zu bringen gilt. Ich möchte – ehrlich gesagt- in einem so hoch reglementierten Arbeitsumfeld nicht arbeiten, nicht verstanden als Rädchen in einer Prozesskette verstanden werden, den früher oder später eine noch viel verlässlichere Maschine ersetzen wird. Ja, der Mensch spielt durchaus eine Rolle im Sicherheitsmix, aber gerade seine Unberechenbarkeit ist auch einer der größten Vorteile. Wenn sein Verhalten nämlich für uns vollkommen berechenbar ist, ist es das auch für unsere Gegner. Unzählige Sicherheitsvorfälle wurde gerade nur deshalb bemerkt, weil sich Menschen eben nicht verhalten haben, wie vorgesehen. Weil sie eben selbstständig gedacht haben, in einem Umfeld, in dem sie das Mitdenken nicht verlernen mussten, um ins System zu passen. Menschen haben gegenüber technischen Systemen den Vorteil, dass sie immer noch viel adaptiver sind und dass sie kreativ im finden von Lösungen sind aber das müssen in der alltäglichen Arbeit erlernen und regelmäßig üben sonst verkommen gerade ihre größten Potentiale. Als Sicherheitsbeauftragter muss ich lernen diese Potentiale zu nutzen. Mit dämlichen Awarenessplakaten, Live-Hackern und ähnlichem -verzeihen sie- Marketingschrott wird mir das nicht gelingen. Ich muss vielmehr ein Umfeld schaffen in dem eigenständiges Denken gewünscht und belohnt wird. Ich muss ein Umfeld schaffen, dass meinen Mitarbeitern Sicherheit gibt und ich muss Zeit und Ressourcen für sicheres Verhalten zur Verfügung stellen und es vor allem auch im Arbeitsalltag so ermöglichen, dass es den Mitarbeitern auch möglich ist, sich sicher zu Verhalten.
Das alles kostet Geld und ja es werden auch einige unangenehme Fragen dabei zu stellen sein. Mittelfristig wird aber kein Weg daran vorbeiführen, wenn wir endlich zu einer Sicherheitskultur gelangen wollen, die mehr als reine Marketingmaßnahme ist.

Ed. Schein Vortrag

Eine tolle Keynote von Ed. Schein bei der Bertelsmann-Stiftung zum Thema Organisationskultur. Zum Teil adressiert er zudem Safety-Culture. Unbedingt sehenswert!

Part 1:

https://www.youtube.com/watch?v=C4SVOn7EEUc

Part 2:

https://www.youtube.com/watch?v=03GcjrIKRrs

Part 3:

https://www.youtube.com/watch?v=43-QSMNb1zw

 

PRISM, Snowden und die Sicherheitskultur

Wohl selten fühlte man sich gegenüber den Herausforderungen der IT-Sicherheit so hilflos wie zur Zeit. Während Unternehmen Millionen von Euro für die Sicherheit ihrer Infrastrukturen und den Schutz ihres Know-Hows ausgeben, tritt nun Gewissheit hinter die Vermutung, dass die USA und andere Mächte bereits seit Jahrzehnten alles an Daten abfangen, dessen sie habhaft werden können.

Die Erkenntnis, dass all die düsteren Propheten, denen man ihre Warnungen gerne als Technikfeindlichkeit zieh, nun scheinbar doch Recht hatten, führte zu einer kollektiven Schockstarre in Politik, Wirtschaft und Gesellschaft.

Diese äußert sich jedoch nur in der intellektuellen Auseinandersetzung mit dem Thema in der Praxis der IT-Anwendung ist aus vertrauensseeliger Sorglosigkeit einfach ohnmächtige Apathie geworden. Der Phänotyp jedoch ist indessen derselbe:

Man verkauft weiter seine Daten an soziale Netzwerke, nutzt weiter Apps für jede Kleinigkeit und verschickt weiterhin unverschlüsselte Emails.

Dies beinhaltet jedoch auch eine gewaltige Chance. Politik und Experten sind gerade jetzt gefordert wie nie!

Die Landschaft der Gremien zur Verbesserung der IT-Sicherheit hat sich in den letzten Jahren dramatisch vergrößert. Wir haben eine Allianz für Cybersicherheit, eine Task-Force IT-Sicherheit, eine Initiative Deutschland Sicher im Netz, diverse Arbeitskreise und Arbeitsgruppen, Taskforces, Dialogkreise kaum eine Form des Austauschs, die es in diesem Bereich nicht gibt.

Dabei dominiert in fast allen dieser Kreise eine einfache Frage die Diskussion:

Wie schaffen wir Awareness?

Diese Awareness ist jetzt da! Jetzt kann die IT-Sicherheit endlich klar machen, warum Daten klassifiziert werden müssen, warum Cloud-Dienste und IPads aus dem Blick der IT-Sicherheit nicht unbedingt die beste Lösung sind und wieso die Verschlüsselung von Daten ein unumgänglicher Standard werden muss.

Diese Gelegenheit gerade nicht zu nutzen und sich stattdessen ebenfalls der allgemeinen Apathie anzuschließen wäre fatal. Vielmehr gilt es jetzt aufzuwachen und das Zeitfenster der medialen Aufmerksamkeit zu nutzen, um weitergehende Veränderungen der Sicherheitskultur herbeizuführen. Die Awareness wird nicht erhalten bleiben, aber sie ist eine großartige Starthilfe um zu einer gelebten Sicherheitskultur zu gelangen.

Industrie 4.0 – Eine sicherheitskulturelle Herausforderung

Kaum ein Begriff bewegt derzeit sowohl ITK-Branche als auch Anwenderbranchen so sehr, wie der der „Industrie 4.0“.  Das Thema wird von allen großen Industrieverbänden als „vierte industrielle Revolution“ vorangetrieben und somit spricht einiges dafür, dass es sich bei dem Konzept um einen Trend handelt, der auch die IT-Sicherheit noch länger beschäftigten wird.

Die dem Begriff zugrunde liegende Vision ist, dass Ressourcen, Systeme und Menschen so einfach wie in einem Social Netzwerk zusammenarbeiten sollen.

Dies soll durch den gesteigerten Einsatz von hochvernetzten Systemen im Produktionsprozess erreicht werden, sodass die Produktion flexibler wird und aufgrund einer verbesserten Sensorik selbstständig auf einflussreiche Umweltvariablen reagieren kann. Ziel ist es dabei, dass das Produkt die Produktion schließlich so sehr bestimmt, dass die Losgröße 1 zu Kosten der Massenproduktion möglich wird.

Wenngleich das Konzept noch am Anfang steht, lässt sich schon jetzt die kritische Bedeutung des Faktors Informationssicherheit für das Vorhaben erkennen und es steht ebenso zu erwarten, dass kulturelle Einflüsse entscheidend für den Erfolg des Vorhabens sein werden.

Während die letzten großen IT-Trends wie Cloud-Computing und Mobility überwiegend aus dem Bereich der kommerziellen IT kamen und somit von den IT-Abteilungen und der ITK-Branche getrieben waren, sind die treibenden Kräfte hinter Industrie 4.0  nun andere.

Im Wesentlichen ist das Vorhaben in der produzierenden Industrie und in den Produktionsabteilungen beheimatet. Die ITK-Branche wird dabei mehr als Zulieferer verstanden. Dies hat zur Folge, dass hinter Projekten, bei denen es vorwiegend um automatisierte Informationsverarbeitung mittels verteilter Systeme und somit klassische IT-Themen geht, auf einmal Maschinenbauer und Elektrotechniker mit  Ingenieurausbildung und somit einer ganz anderen Berufskultur stehen.

Für die kulturellen Unterschiede zwischen Ingenieuren und Informatikern gibt es zahlreiche Beispiele, so denken bei dem Begriff „Sicherheit“ Ingenieure bespielsweise eher an Betriebssicherheit (Safety), wohingegen Informatiker eher von Angriffssicherheit (Security) ausgehen. Investmentzyklen sind im Maschinenbau auf über zehn Jahre angelegt, wohingegen die Informatik sehr viel schnelllebiger ist. Auch die Perspektive hinsichtlich Bedrohungen ist eine gänzlich andere. Während der Informatiker dazu neigt ein System als Bedrohung für das Netzwerk aufzufassen, betrachtet der Ingenieur hingegen das Netzwerk als Bedrohung für seine Maschine.

Schon an diesen Beispielen wird deutlich, dass es sich bei Industrie 4.0 um ein Vorhaben handelt, das überwiegend kulturelle Herausforderungen beinhaltet, ohne deren Überwindung sich ein derartig komplexes Vorhaben nicht realisieren lässt, selbst wenn die erforderlichen Technologien vorhanden sind.

Hier kann jedoch die Entwicklung einer einheitlichen Sicherheitskultur als integrierender Faktor wirken. Da in beiden beteiligten Berufskulturen, die Kritikalität des Faktors Sicherheit für das Vorhaben anerkannt ist, kann hier das Ziel Sicherheit dazu verwendet werden, die anderen notwendigen Kommunikationsprozesse zu strukturieren und als vermittelnder Faktor zu wirken.

Unablässig ist jedoch, dass die kulturellen Einflussgrößen von den Entscheidern von Anfang an erkannt werden und ihnen bewusst ist, dass sie zu einem großen Teil interkulturelle Arbeit leisten müssen.

 

Security Nightmares des CCC

Seit inzwischen über zehn Jahren werden auf dem alljährlichen Chaos Computer Congress die Security Nightmares vorgestellt, die interessante Rückschlusse auf die Informationssicherheitskultur zulassen.

Die Vorträge der letzten Jahre sind wirklich Wert angesehen zu werden:

Konflikte und Informationssicherheit

Telekom, Sony, Mastercard und viele andere, die Liste der großen Unternehmen, welche in den letzten Jahren  Opfer von IT-Sicherheitsvorfällen geworden sind, ist lang. Unterzieht man die Vorfälle einer genaueren Betrachtung, stellt sich heraus, dass ihre Ursachen oft auch in einem mangelhaften Konfliktmanagement zu finden sind.

A.    Motivation hinter IT-Angriffen

Das Motiv hinter dem Sony-Hack 2011 ist vermutlich Rache gewesen. Online-Aktivisten hatten wegen der Einleitung juristischer Schritte gegen den Playstation3-Hacker George Hotz damals das Konzernnetzwerk mittels einer technischen Schwachstelle angegriffen. Dabei hatten sie die Daten von Millionen von Nutzern erbeutet und der Fall war einige Monate durch die Presse gegangen[1].

Zum großen Datenschutzskandal bei der Telekom kam es aufgrund der Überwachung von mit Mitarbeitern und Kritikern durch das Unternehmen[2], und Mastercard wurde angegriffen, weil es keine Spenden mehr an Wikileaks weiterleiten wollte[3].

Diese wahllos herausgegriffenen Beispiele für IT-Sicherheitsvorfälle in den letzten Jahren zeigen das Versagen von Konfliktmanagementsystemen, die sich nur auf gerichtliche Auseinandersetzungen konzentrieren. Eine Verbindung zwischen Konfliktmanagement und IT-Sicherheit liegt auf der Hand. Was liegt daher näher als die Zusammenhänge zu untersuchen?

B.    Der Begriff IT-Sicherheit birgt Konfliktpotential

Zunächst gibt es dabei jedoch ein grundlegendes Problem: Sicherheit ist keine Naturkonstante. Sprich, man kann sie nicht objektiv messen, sondern es handelt sich bei dem Begriff „Sicherheit“ um ein Konstrukt, dem sich nur über Indikatoren versuchsweise genähert werden kann.

IT-Sicherheit wird daher in Regel mittels der Faktoren Vertraulichkeit, Integrität und Verfügbarkeit zu fassen versucht[4]. Manchmal kommen im deutschen Sprachraum zusätzlich noch die Faktoren Nichtabstreitbarkeit und Authentizität hinzu.

Da auch Vertraulichkeit, Integrität und Verfügbarkeit nur Konstrukte darstellen und ebenso wenig objektiv messbar sind, werden hier in der Regel weitere Indikatoren für Aussagen über die Sicherheit von Daten und IT-Systemen herangezogen.

Erschwert wird dies auch noch dadurch, dass diese unterschiedlichen Kriterien in Konkurrenz zueinander stehen können.

Werden Daten beispielsweise verschlüsselt, verbessert dies zwar ihre Sicherheit im Hinblick auf Integrität und Vertraulichkeit, führt aber umgekehrt auch dazu, dass sie schwerer verfügbar sind.

Schon die Komplexität der Herleitung des Begriffes lässt erkennen, welches erhebliche Konfliktpotential das Thema durch die mannigfaltigen Interpretations- und Wertungsmöglichkeiten birgt, sofern – wie im Rahmen der Untersuchung angenommen – unter Konflikt ein aus konkurrierenden Interessen resultierenden, wahrgenommenen Spannungsprozess zwischen interdependenten Akteuren verstanden wird[5].

C.    Auswirkungen unternehmensinterner Konflikte

Unternehmensinterne Konflikte sind solche, die nur oder zumindest überwiegend innerhalb eines Unternehmens ausgetragen werden. Sicherheitsprobleme können sich aus einem unternehmensinternen Konflikt beispielsweise wie folgt ergeben:

I.                   Kommunikationsstörungen

Zwischen den Akteuren A und B besteht ein Konflikt. Daher vermeiden sie direkt miteinander zu kommunizieren. So ergibt es sich, dass anstatt, dass ein Anliegen von A direkt an B gerichtet wird, sich dieser damit zunächst an C wendet, der davon wiederum D, E und F erzählt, bevor F es schließlich auch an B weiterträgt.

Abgesehen davon dass diese Situation einen geradezu idealen Nährboden für Missverständnisse aller Art darstellt, man denke nur an das „Stille Post“-Prinzip, ergeben sich daraus auch spezifische Sicherheitsprobleme.

Zunächst einmal ist es eine der Kernaufgaben der IT-Sicherheit Kommunikationswege abzusichern. Dies kann allerdings nur dann geschehen, wenn diese klar definiert und bekannt sind. Vorliegend verläuft die Kommunikation jedoch chaotisch und die Wege sind selbst den Beteiligten nur eingeschränkt bekannt. Dies hat zur Folge, dass die Kommunikation gegebenenfalls unverschlüsselt stattfindet oder an Orten, die nicht für sichere Kommunikation vorgesehen sind.

Außerdem verlaufen die Kommunikationsprozesse so langsamer, was gerade im Bereich der IT-Sicherheit, wo Zeit oft einen sehr kritischen Faktor darstellt, desaströse Folgen haben kann.

Ein weiteres Problem ist, dass mit der Anzahl der Personen, die an einem Kommunikationsprozess teilhaben, die Gefahr steigt, dass noch weitere eingebunden werden und die Kommunikationsinhalte somit auch Personen erreichen, für deren Ohren die Informationen nicht bestimmt sind.

II.                 Demotivation

Darüber hinaus können kalte, unterschwellig schwelende Konflikte langfristig die Motivation der Mitarbeiter untergraben.

IT-Sicherheit lebt vom „Mitdenken“ der Mitarbeiter. Angriffe durch Hacker fallen oft nur deshalb auf, weil von einzelnen Personen Absonderlichkeiten im Rechnerverhalten oder Betriebsablauf bemerkt und gemeldet werden. Dies setzt aber voraus, dass der Mitarbeiter motiviert ist, sich aktiv der Sicherheitsthematik anzunehmen, auf Auffälligkeiten zu achten und diese auch zu melden.

III.              Loyalitätsverluste

Interne Konflikte haben langfristig oft Loyalitätsverluste dem Unternehmen gegenüber zur Folge, so dass Mitarbeiter anfälliger für so genannte „Social Engineering Angriffe“ werden, bei denen vom Angreifer versucht wird, Personen mittels, mehr oder minder, psychologischer Methoden sensible Informationen zu entlocken. Derartige Techniken sind erheblich leichter durchzuführen, sofern der vom Angreifer kontaktierte Mitarbeiter ohnehin schon innerlich gekündigt hat oder gar das Bedürfnis verspürt, sich endlich mal über das Unternehmen aussprechen zu können.

Zudem darf in diesem Zusammenhang nicht verkannt werden, dass ein erheblicher Anteil der Sicherheitsvorfälle in Unternehmen auf Innentäter zurückgeht[6], was in zahlreichen Fällen ebenfalls auf aus Konflikten resultierende Loyalitätsverluste zurückgeht.

IV.              Veränderungen der Berichtskultur

In stark von internen Konflikten gekennzeichneten Unternehmen lässt sich in der Regel auch eine Kultur des sogenannten „Positive Reportings“ ausmachen. Dies bedeutet, dass aus Gründen der Konfliktvermeidung bestehende Probleme heruntergespielt oder ganz unter den Teppich gekehrt werden. Die Folge ist, dass sich der Möglichkeiten der Geschäftsleitung aufgrund einer unzureichenden Informationslage dramatisch verschlechtern und sicherheitskritische Entscheidungen nicht oder unzureichend getroffen werden.

Neben diesen beiden Beispielen gibt es noch eine Reihe anderer Phänomene, bei denen sich unternehmensinterne Konflikte mittelbar auf die Informationssicherheit eines Unternehmens auswirken, wie beispielsweise Reputationsverluste, die dazu führen, dass es erschwert wird, entsprechendes Fachpersonal anzuwerben.

D.   Auswirkungen von Konflikten mit Externen

Unternehmensexterne Konflikte wirken sich häufig sehr direkt auf die IT-Sicherheit eines Unternehmens aus. Dabei wird unter unternehmensexternen Konflikten verstanden, dass eine der Konfliktparteien nicht direkt dem Unternehmen angehört. Dabei kann es sich um Einzelpersonen, staatliche Stellen, Non-Governmental-Organisations (NGOs) oder auch andere Unternehmen wie Partner oder Konkurrenten handeln.

Als prominentes Beispiel können hier die Angriffe auf Amazon und Mastercard im Zuge der Wikileaks-Debatte herangezogen werden. Beide Unternehmen waren nachdem sie keine Spenden mehr an Wikileaks weiterleiteten in das Visier von Online-Aktivisten geraten, die daraufhin zahlreiche Internet-Angriffe gegen sie ausführten.

Doch es müssen nicht immer Konflikte mit NGOs sein, die derartige Auswirkungen auf die IT-Sicherheit eines Unternehmens haben, oft genügen schon eine angespannte Konkurrenzsituation oder ein ungelöster Konflikt mit einem ehemaligen Partner oder Mitarbeiter. Derartige Angriffe finden täglich statt, allerdings besteht hier in der Regel kein Interesse, sie bekannt werden zu lassen.

Trotzdem haben alle diese Angriffe eines gemein: Die Auswirkungen von Konflikten zwischen Unternehmen und Externen auf die IT-Sicherheit bestehen in der Regel darin, dass Angriffe auf IT-Infrastrukturen als Mittel der Auseinandersetzung gewählt werden. Dabei ist zu beachten, dass Folgen derartiger Angriffe oft verheerend sind und die Einsatzschwelle aufgrund der vermeintlichen Anonymität des Angreifers normalerweise viel niedriger liegt, als bei vergleichbaren physischen Attacken.

E.     Auswirkungen von IT-Sicherheitsmaßnahmen auf Konflikte

Neben Auswirkungen die Konflikte auf die IT-Sicherheit haben, ist auch die spiegelverkehrte Situation zu beobachten: IT-Sicherheitsmaßnahmen lösen Konflikte aus.

Die Umsetzung von Sicherheitsmaßnahmen wird, selbst wenn sie nur gesetzliche Vorgaben erfüllt, schnell als Misstrauensbeweis gegenüber der eigenen Belegschaft oder Partnern und Kunden aufgefasst. Zudem greifen derartige Maßnahmen meist erheblich in die bestehende Unternehmenskultur und die Gewohnheiten der Mitarbeiter ein, sodass auch hier ein erhebliches Konfliktpotential besteht.

Werden beispielsweise Kameras installiert oder Richtlinien erlassen, die die private Nutzung des Internets beschränken, wird dies leicht von den Mitarbeitern als Angriff empfunden. Noch dramatischer gestaltet sich die Situation, wenn Türen verschlossen werden, oder Bereiche mit den Zutrittsbeschränkungen versehen werden, die vorher offen waren.

Die Kommunikation der Notwendigkeit derartiger Maßnahmen und die Frage, wie mit aus ihnen resultierenden Konflikten von Seiten des Unternehmens umgegangen wird, ist daher einer der erfolgskritischen Faktoren der IT-Sicherheit.

F.     Fazit und Ausblick

Zusammenfassend lässt sich also feststellen, dass weitreichende Verbindungen zwischen der IT-Sicherheit und dem Konfliktmanagement eines Unternehmens bestehen.

Es lässt sich erkennen, dass die Auswirkungen von Konflikten auf die IT-Sicherheit sowohl in direkter als auch indirekter Form vorliegen. Diesen Auswirkungen kann mit klassischen gerichtlichen Konfliktlösungsverfahren oft nur bedingt abgeholfen werden.

Zum einen besteht häufig ein Interesse von Seiten der Unternehmen daran Sicherheitsvorfälle nicht offen zu legen, was bei Beschreitung des Rechtsweges nur sehr eingeschränkt möglich ist. Zum anderen werden vor den ordentlichen Gerichten Konflikte normalerweise in ihrer konkreten Ausprägung zwar entschieden nicht aber gelöst, sodass sie im Untergrund weiterschwelen und zu einem späteren Zeitpunkt wieder aufbrechen.

Im Hinblick auf die IT-Sicherheit sind es aber gerade diese Konflikte „im Untergrund“, die ein Unternehmen verwundbar machen.

Außerdem wird das Unterliegen vor Gericht als Niederlage aufgefasst, insbesondere wenn es sich um Einzelpersonen handelt. Dies kann dazu führen, dass die entsprechende Partei zu anderen vermeintlich anonymen Mitteln der Auseinandersetzung greift. Im Informationszeitalter ist der Zerstörungskraft, die bereits eine einzelne Person mit den nötigen IT-Kenntnissen entfalten kann, nahezu keine Grenze mehr gesetzt, was Konfliktlösungsverfahren die auf eine Konsenslösung abzielen sehr viel attraktiver als Gerichtsverhandlungen macht.

Abschließend ist im Hinblick auf den gerichtlichen Weg noch zu bemerken, dass das Recht der IT-Sicherheit derzeit noch einen unübersichtlicher Flickenteppich darstellt und Beweise oft nur sehr schwer geführt werden können, was zu erheblicher Rechtsunsicherheit führt.

All diese Punkte bergen erhebliche Chancen für alternative Streitbeilegungsverfahren, da bei diesen danach gestrebt wird, Konflikte tatsächlich zu lösen und somit ihrer Zerstörungskraft entgegenzuwirken. So wird durch den Einsatz alternativer Streitbeilegungsverfahren die Wahrung der Parteiinteressen besser berücksichtigt und der Einsatz fördert mithin auch die IT-Sicherheit.

Zudem ist in vielen sicherheitskritischen Situationen ein schnelles Handeln zur Behebung der Probleme und somit auch eine schnelle und effiziente Konfliktlösungsform gefordert, die der Rechtsweg, in den meisten Fällen, nicht leisten kann.

Mediation und ähnliche streitbeilegende Verfahren können an dieser Stelle die Lücke optimal ausfüllen, da sich nur so schnelle, pragmatische aber dennoch nachhaltige Lösungen finden lassen und sichergestellt ist, dass alle Beteiligten ihr Gesicht wahren können.



[1] http://www.zeit.de/digital/datenschutz/2011-04/sony-playstation-kundendaten-hack

[2] http://www.zeit.de/online/2008/23/telekom-ueberwachung-dueckers/seite-1

[3] http://www.golem.de/1012/79994.html

[4] Breithaupt in: Reinhard/Pohl/Capellaro (Hrsg.),  IT-Sicherheit und Recht, Berlin, 2007, S. 206

[5] Krüger, Wilfried, Grundlagen, Problem und Instrumente der Konfliktbehandlung in der Unternehmung, Berlin, 1972, S. 17

[6] http://idc.de/press/presse_mc_security2011.jsp

Sicherheitskultur, Whistleblowing und Positive Reporting

Ich erinnere mich noch gut daran, mal einem größeren deutschen Provider vorgeschlagen zu haben, im Rahmen einer Security Awareness Kampagne auch über die Einführung eines Whistleblowing-Systems nachzudenken.

Mein Ansprechpartner blickte mich daraufhin irritiert an und meinte bloß: „Nein, wir wollen hier kein Denunziantentum!“

In der Tat sind regelmäßig beim Thema Whistleblowing sofort Begriffe wie „Petze“, „Streber“, „Denunziant“ und „Blockwart“ im Spiel.

Trotzdem kann man meines Erachtens nach nicht auf ein funktionierendes Meldesystem verzichten. Das Problem ist aber, dass die meisten Unternehmen eine Sanktionskultur leben und keine Verbesserungskultur. Anders ausgedrückt: Bei der Fehleranalyse macht man halt, wenn man einen Sündenbock hat und geht den meist systemischen Ursachen gar nicht erst auf den Grund.

Die Folge ist in der Regel nicht nur, dass Fehler eben nicht gemeldet werden, sondern auch das sogenannte „Positive Reporting„.  Letzteres ist ein Phänomen, das zur Folge hat, dass gravierende Fehler umso harmloser dargestellt werden, umso höhere Ebenen die Meldung erreicht.

Ein sehr interessanter Beitrag ist von daher auch im Hinblick auf die Entwicklung von Sicherheitskulturen der folgende:

27C3 – Whistleblowing

Der Vortrag von Johannes Ludwig wurde auf dem 27. Chaos Communication Congress in Berlin gehalten.

Security Awareness vs. Sicherheitskultur

Während in den meisten sicherheitsrelevanten Branchen von Sicherheitskultur gesprochen wird, etwa in der Flugsicherheit, der Reaktorsicherheit oder der Intensivmedizin, spricht man in der Informationssicherheit von Security Awareness. Dies ist zwar dem Versuch geschuldet der begrifflichen Unschärfe des Kulturbegriffs auszuweichen, stellt sich in der Praxis jedoch nicht als wesentlich trennschärfer heraus.

Security Awareness lässt sich wohl am besten mit Sicherheitsbewusstsein übersetzen und in der Tat ist das auch der Punkt, an dem die meisten, den Faktor Mensch betreffenden, Sicherheitsmaßnahmen ansetzen. Üblicherweise wird sich bei Awarenessmaßnahmen darauf konzentriert, Mitarbeitern Wissen im Hinblick auf Bedrohungen und sicherheitsgerechtes Verhalten zu vermitteln, sowie darauf dieses mittels klassischer Werbemaßnahmen im Bewusstsein der Organisationsmitglieder zu verankern.

Der Ansatz ist überwiegend der Tatsache geschuldet, dass so gestrickte Awarenesskampagnen sehr schnell umsetzbar sind, da das gesamte Spektrum an Werbe- und PR-Maßnahmen zur Verfügung steht. Außerdem  lässt sich so für die Steuerung der Kampagnen auf die im  Werbebereich entwickelten Controlling-Methoden zurückgreifen.

Trotzdem verkennen derartige Ansätze, dass das Bewusstsein allein bei weitem nicht ausreicht, um die Sicherheit einer Organisation signifikant zu erhöhen. Ziel muss es vielmehr sein Anreize zu sicherheitsgerechtem Verhalten zu schaffen und dieses auch in den Arbeitsalltag der Betroffenen zu integrieren.

Dies wird jedoch nur dann gelingen, wenn das Sicherheitsbewusstsein als Teil der Sicherheitskultur anerkannt wird und diese wiederum als Teil einer übergeordneten Unternehmenskultur, sodass sich der Sicherheitsfaktor Mensch in ein schlüssiges Gesamtsicherheitsbild der Organisation einfügt.

Nichts ist schädlicher für die Sicherheitskultur, als wenn versucht wird, die Sicherheit durch Security Awareness Maßnahmen zu fördern, die nicht die über Jahre herausgebildete Unternehmenskultur berücksichtigen oder den spezifischen im Unternehmen bestehenden organisatorischen Rahmenbedingungen Rechnung tragen.

Maßnahmen müssen daher immer einen Bezug zum Arbeitsalltag der Mitarbeiter bieten und berücksichtigen, dass das vorgeschlagene Verhalten sich auch der bestehenden Organisationstruktur und vor allem der bestehenden Organisationskultur umsetzen lässt.

Security Awareness kann folglich nur dann in Organisationen aufgebaut werden, wenn bei der Entwicklung und Umsetzung fördernder Maßnahmen die spezifische Unternehmens- und Sicherheitskultur auch berücksichtigt wird.