Motivation des schwächsten Glieds Der Faktor Mensch wird im IT Risk Management (wieder)entdeckt!

Transkript

1

2 Motivation des schwächsten Glieds Der Faktor Mensch wird im IT Risk Management (wieder)entdeckt! Das Fundament jedes Risk-Management-Prozesses und die Grundlage jeder Risiko-Steuerung ist ein angemessenes Risiko-Bewusstsein. Dieses Risiko- Bewusstsein ist wiederum stark von der Risiko-Wahrnehmung abhängig. Was für den Einen ein Risiko ist, braucht für den Anderen noch lange keines zu sein. Denn Risiko ist ein Konstrukt. Risiko ist das subjektive Resultat der Eindrücke, die wir über unsere Augen, Ohren, unsere Nase, unseren Tastsinn und unsere Geschmacksorgane aufnehmen. Unsere fünf Sinne gaukeln uns möglicherweise Risiken vor, die sich später nur als Illusion erweisen. Oder unser Gehirn nimmt bestimmte Risiken gar nicht mehr wahr, weil es glaubt, vor ihnen sicher zu sein etwa, wenn wir im IT-Bereich bereits alle möglichen technischen Maßnahmen wie Firewalls, Intrusion Detection Systeme etc. eingeführt haben. Manchmal sehen wir eben vor lauter Bäumen den Wald nicht mehr. Obwohl eigentlich jeder die Gefahr kennen sollte, öffnen Anwender immer noch s mit ausführbaren Attachments, benutzen ihre Login- Kennung gleichzeitig als Passwort und installieren Software von dubiosen Internetseiten ( Dieser tolle Download-Manager ist ja umsonst ). Laptop- Nutzer wählen sich zuhause über einen ungesicherten WLAN-Zugang ins Internet ein, docken am nächsten Tag wieder am Firmennetz an und umgehen damit auch die perfekteste Firewall. Andere lassen ihren Rechner auf dem Rücksitz des Autos liegen und wundern sich, wenn sie nach der Rückkehr anstatt des Laptops nur noch feinste Glaskrümelchen finden. Die Liste der Sicherheitslücken an der Schnittstelle zwischen Mensch und IT ließe sich fast beliebig fortsetzen. RISKNEWS 03/04 35

3 Wir kleben immer noch an unsicheren Türschlössern, angreifbaren Finanzsystemen und einem nicht perfekten Rechtssystem. Nichts davon hat die Zivilisation bisher zum Absturz gebracht und es ist unwahrscheinlich, dass es passieren wird. Nichts davon wird unsere digitalen Sicherheitssysteme zum Absturz bringen, wenn wir umdenken und uns auf Prozesse statt Technologien konzentrieren. Bruce Schneier 36 RISKNEWS 03/04 Der Mensch in der Welt der Bits und Bytes Zahlreiche Untersuchungen bestätigen, dass Sicherheitsverletzungen der IT-Infrastruktur nicht nur von externer Seite erfolgen, sondern vor allem von den eigenen Mitarbeitern. Das Sicherheitsrisiko sitzt also zumeist hinter der Firewall. Doch selbst bei externen Angriffen landet man am Ende der Kausalkette fast immer bei eigenen Mitarbeitern, die beispielsweise sensible Daten unverschlüsselt auf ihren Laptops gespeichert haben oder diese Daten (bewusst oder unbewusst) in die große weite Welt des Internets verschicken. Auch nach einer aktuellen KES/KPMG-Sicherheitsstudie ist mangelndes Bewusstsein für die vielfältigen Gefahren das größte Hindernis für mehr Sicherheit in der Informationsverarbeitung: dies gilt sowohl für die Mitarbeiter (in 65 Prozent der Unternehmen), aber auch für das mittlere (61 Prozent) und Top- Management (50 Prozent). Zu geringe Budgets sehen dagegen nur 46 Prozent der Befragten als Problem an. Ein wesentlicher Grund für die ungenügende Sensibilität der Mitarbeiter für die Bedeutung der Informationssicherheit am Arbeitsplatz (und auch im heimischen Wohnzimmer) dürfte nicht zuletzt in einem mangelnden Verständnis der Komplexität der Informationstechnologie zu finden sein. Nicht selten hört man Sätze wie Wir haben doch eine Anti-Virus-Software auf unseren Rechnern installiert und außerdem schützt uns eine Firewall. Diese Technikgläubigkeit und das subjektive Sicherheitsempfinden werden nicht einmal dadurch untergraben, dass Firewalls häufig falsch konfiguriert sind oder die Anti- Virus-Software zwar installiert ist, aber noch nie aktualisiert wurde. Häufig wird missachtet, dass die Einführung einer noch so effizienten technischen Lösung (Intrusion Detection System, Firewall etc.) die Kooperation und Mitwirkung der Mitarbeiter erfordert. Risiken können schließlich nur wahrgenommen und adäquat gesteuert werden, wenn wir wissen, dass es sie überhaupt gibt. Wie in so vielen Bereichen des Risikomanagements gilt aber auch bzw. vor allem in der IT: Der Mensch ist das schwächste Glied in der Kette. Umso schlimmer ist es, wenn sich das schwächste Glied seiner Schwäche gar nicht bewusst ist. Glücklicherweise erkennen immer mehr Unternehmen, dass sie nicht nur in die Technik investieren müssen, wenn sie ihre Risiken besser in den Griff bekommen wollen, sondern vor allem in ihre Mitarbeiter. Dementsprechend wurden in den vergangenen Jahren umfangreiche Programme aufgesetzt, deren primäres Ziel es ist, die Belegschaft zu risikobewusstem Verhalten zu erziehen. Dass diese Initiativen nicht in jedem Fall von Erfolg gekrönt waren, kann einen kaum überraschen, wenn man die Vorgehensweise vieler Unternehmen betrachtet. Allzu oft wurden kiloschwere Policies & Procedures oder vergleichbare Organisationsrichtlinien eingeführt. Danach stellten die Manager verwundert fest, dass ihre wohlgemeinten Bemühungen im Hinblick auf die Sensibilisierung der Mitarbeiter eher kontraproduktiv wirkten. Nicht selten wurden die organisatorischen Maßnahmen als arbeitsbehindernd betrachtet, da die Abläufe komplizierter wurden und dem ganzen Aufwand kein erkennbarer Nutzen gegenüberstand. So konnten Mitarbeiter beispielsweise nicht mehr ohne zusätzliches Passwort auf ihre Daten zugreifen, bestimmte Websites wurden gesperrt und -Attachments automatisch gelöscht. Nicht selten hörte man in den Unternehmen den Satz Bisher ist doch noch nie etwas passiert. Aus dem Blick in den Rückspiegel wurde abgeleitet, dass bei der Fahrt um die nächste Kurve nicht doch ein (Trojanisches) Pferd auf der Straße steht. Awareness-Kampagnen können helfen Die Aufgabe, eine langfristig wirksame Sensibilisierung der IT-Nutzer zu erreichen, ist keineswegs trivial. Zunächst müssen die Aufmerksamkeit und das Interesse der Mitarbeiter gewonnen werden, um anschließend das erforderliche Grund- und Praxiswissen zu vermitteln. Eine probates Mittel, um Mitarbeiter langfristig zu sensibilisieren, sind so genannte Awareness- Kampagnen, die in den vergangenen Jahren auch von vielen Unternehmen durchgeführt wurden. Das Ziel solcher Initiativen ist ehrgeizig: schließlich soll eine langfristige Verhaltensänderung erreicht werden und nicht nur ein kurzfristiger Strohfeuereffekt. Insbesondere die Finanzdienstleister arbeiten derzeit mit Hochdruck an Kampagnen zur Förderung der Risk Awareness. Ein Grund für die Aktivität dieser Branche liegt zunächst darin, dass in Banken und Versicherungen mit hochsensiblen Kundendaten gearbeitet wird, die natürlich entsprechend geschützt werden müssen. Zum anderen sind Finanzdienstleister wie kaum ein anderer Wirtschaftszweig auf die Unterstützung ihrer Geschäftsprozesse durch die IT angewiesen. Betriebsunterbrechungen aufgrund des Ausfalls der IT-Infrastruktur, Fehlbuchungen aufgrund von Programmfehlern oder man-

4 gelhafte Leistungen eines Outsourcing-Partners verursachen hier leicht Schäden in Millionenhöhe. Schließlich steigen auch die Anforderungen von Gesetzgeber und Aufsichtsbehörden an das Risikomanagement in Banken und Versicherungen (Stichwort: Basel II bzw. Solvency II). So empfiehlt beispielsweise die neue Baseler Eigenmittelvereinbarung für Banken, beim Management von operationellen Risiken die weichen Faktoren nicht zu vernachlässigen. Auch eine Studie der Management- und IT-Beratung Cap Gemini Ernst & Young in Zusammenarbeit mit dem Institut für Kapitalmarktforschung und Finanzierung der Ludwig-Maximilian-Universität München bestätigte kürzlich, dass weiche Faktoren die höchste Bedeutung für ein erfolgreiches Management operationeller Risiken bei Kreditinstituten haben. Mehr als 80 Prozent der Befragten nannten die Etablierung einer offenen Risiko-Kultur als den wichtigsten Erfolgsfaktor für eine wirkungsvolle Risiko-Steuerung. Als weitaus weniger bedeutend werden die Ausstattung mit Mitarbeitern und Budget eingeschätzt. Dabei muss das Vorleben einer offenen Risikokultur seitens Vorstand und Geschäftsführung und der Aufbau einer solchen Kultur im gesamten Unternehmen bei der Implementierung eines OR-Managementprozesses im Mittelpunkt stehen. Auch in anderen regulatorischen und gesetzlichen Standards finden sich dezidierte Aussagen zur Risk Awareness. So fordert etwa der britische Standard BS 7799 (vgl. hierzu auch den Beitrag auf S. 18 ff.), der eine umfassende Sammlung von Best-Practice-Ansätzen in der Informationssicherheit enthält, ausdrücklich eine Förderung des Risiko-Bewusstseins im Unternehmen. Security-Awareness-Programm der Um diesen Anforderungen gerecht zu werden, hat beispielsweise die versicherung im Sommer 2002 ein umfassendes Security-Awareness-Programm initiiert, nachdem bereits vorher Schulungen und selektive Sensibilisierungsmaßnahmen durchgeführt waren. Michael Lardschneider (Corporate Information Security Officer bei der ): Mit dem Security-Awareness-Programm verfolgen wir primär die folgenden Ziele: Erstens Sensibilisierung aller Mitarbeiter und Vorgesetzen zum Thema Informationssicherheit. Zweitens Befähigung der Mitarbeiter, im Rahmen der erforderlichen Kenntnisse mit Daten und Systemen der sicher umzugehen. Drittens Schaffen einer Plattform zur Publikation aktueller Aktivitäten, Projekte und sonstiger Maßnahmen sowie Risiken. Viertens Verdeutlichung der Verantwortung und Haftung des Managements und jedes Einzelnen. Diese Ziele erfordern vielfältige Aktivitäten, die gegebenenfalls aufeinander aufsetzen und sich gegenseitig ergänzen. Eine Awareness-Kampagne führt nicht durch die Einführung einer Software oder einer Veränderung der Organisation zum Ziel. Vielmehr wird primär das Verhalten der Mitarbeiter adressiert, so die Awareness-Profis des weltweit führenden Rückversicherers. Daher müssen die angebotenen Informationen allgemein verständlich sein und der Zugang darf beispielsweise nicht durch Anglizismen und Fachbegriffe erschwert werden. Darüber hinaus sollten die Inhalte interessant sein, d. h. auch eine gewisse Neugier befriedigen und möglicherweise auch einen Nutzen für das Privatleben vermitteln. Eine Awareness-Kampagne sollte außerdem skalierbar sein, damit auf einfache Weise neue Module hinzugefügt bzw. überholte Themen entfernt werden können. Das bei der gestartet Awareness-Programm ist über einen Zeitraum von drei Jahren in die folgenden Phasen gegliedert: 1. Startphase: Auffordern Was kann und was soll ich tun? 2. Umsetzungsphase: Auffordern Ich muss tun! 3. Verankerungsphase: Umsetzen Ich lebe es! Für die war es hierbei wichtig, dass keine Überforderung der Zielgruppe eintritt. Wir wollten einen Spannungsbogen aufbauen, der eine gewisse Neugier bei den Mitarbeitern weckt. beschreibt Lardschneider eine der Zielsetzungen. Neben einer Intranet-basierten Security & Privacy Website organisierte sein Team Vorträge zu aktuellen Themen, gestaltete eine Security Broschüre, führte persönliche Gespräche und Round-Table-Diskussionen und veranstaltete Security Seminare sowie E-Learning- Aktivitäten und stellte das Awareness-Programm auch im Rahmen einer Hausmesse vor. In diesem Rahmen gab es dann unter anderem einen Vortrag von Andy Müller-Maguhn (Sprecher des Chaos Computer Club) zum Thema Hacker, Cracker und deren Motivation. Auf diese Weise konnten die Mitarbeiter über den eigenen Tellerrand hinausschauen und lernten auch etwas über der Subkultur der Hacker, Cracker und Datenräuber. Das Resümee der fällt dann auch eindeutig positiv aus: Security Awareness ist das Fundament, auf dem jedes Sicherheitskonzept aufbaut. Die drei Säulen Sicherheitsorganisation, Sicherheitstechnologie und Sicherheitsmanagement stehen nur dann gerade, wenn das Fundament nicht auf Sand Security Awareness ist das Fundament, auf dem jedes Sicherheitskonzept aufbaut. Die drei Säulen Sicherheitsorganisation, Sicherheitstechnologie und Sicherheitsmanagement stehen nur dann gerade, wenn das Fundament nicht auf Sand gebaut ist. Michael Lardschneider, gebaut ist. RISKNEWS 03/04 37

5 Security Awareness ist das Fundament, auf dem jedes Sicherheitskonzept aufbaut. Die drei Säulen Sicherheitsorganisation, Sicherheitstechnologie und Sicherheitsmanagement stehen nur dann gerade, wenn das Fundament nicht auf Sand gebaut ist. Michael Lardschneider, Es geht nicht darum, mit erhobenem Zeigefinger durch die Abteilungen zu laufen. Viel wichtiger ist es, das Interesse der Mitarbeiter für das Thema Risikomanagement zu gewinnen und ihnen das erforderliche Know-how zu vermitteln. Christa Menke-Suedbeck, Deutsche Bank Eine Sensibilisierung für die Risiken der Informationstechnologie wird man nicht über Nacht erreichen. Daher ist es wichtig, strukturiert vorzugehen und einen langen Atem zu haben. Dr. Christian Stolorz, InSynCo AG Weitergehende Informationen zum Thema finden sich auch auf der Website des Security Awareness Symposiums unter Ziel dieser Initiative ist es, eine Plattform für den Erfahrungsaustausch mit und zwischen Unternehmen zu schaffen, die Security-Awareness- Kampagnen planen, derzeit umsetzen oder bereits durchgeführt haben. Security-Awareness-Programm der Deutschen Bank Die positiven Erfahrungen der größten deutschen Rückversicherung kann auch das größte deutsche Geldinstitut nur bestätigen. Nicht erst seit dem Siegeszug des Electronic Banking stehen Banken bezüglich der IT-Sicherheit im Rampenlicht. IT-Sicherheit ist ein Thema, das Auswirkungen auf praktisch alle Geschäftsprozesse hat. Und da IT-Sicherheit definitiv mehr ist als nur Technik, kommt insbesondere einer aktiven Einbeziehung von Management und Fachabteilungen, den Entscheidern und Anwendern, eine besondere Bedeutung zu. bestätigt Christa Menke- Suedbeck, Leiterin Information Risk Management bei der Deutschen Bank. Gerade das Management übernimmt hier eine wichtige Vorbildfunktion. Oft wird davon gesprochen, dass der eigene Mitarbeiter das größte Risiko für die IT-Sicherheit des Unternehmens ist. Fast immer ist es jedoch so, dass sich die Mitarbeiter der Gefahren schlichtweg nicht bewusst sind. Und genau da sind wir beim Thema Risk Awareness. ergänzt Dr. Christian Stolorz, Vorstand der In- SynCo AG. Sein Unternehmen hat sich auf die strategische Beratung zum Thema Risikomanagement spezialisiert. Eine wesentliche Zielsetzung der Deutschen Bank besteht darin, das Thema IT-Sicherheit immer mehr in die täglichen Arbeitsabläufe zu integrieren. Hierbei geht es nicht darum, mit erhobenem Zeigefinger durch die Abteilungen zu laufen. Viel wichtiger ist es, das Interesse der Mitarbeiter für das Thema Risikomanagement zu gewinnen und ihnen das erforderliche Knowhow zu vermitteln. Zu diesem Zweck nutzen wir sowohl unser Intranet, Web-based Trainings, unsere Mitarbeiterzeitschrift sowie Vorträge zum Thema Risikomanagement und Informationssicherheit. so Menke-Suedbeck. Eine weitere wichtige Rolle bei der Etablierung einer adäquaten Risiko-Kultur im IT-Bereich spielen bei der Deutschen Bank auch die so genannten Information Risk Manager (IRMs). Diese fungieren quasi als Inhouse-Consultants und unterstützen die einzelnen Geschäftsbereiche des Instituts in allen Fragen des IT Risk Managements. Neben den vielfältigen technischen Aspekten kommt hierbei auch den weichen Faktoren eine große Bedeutung zu. Unser wichtigstes Ziel ist es, das Thema IT Risk Management möglichst ganzheitlich anzugehen. Der Aufbau eines entsprechenden Risiko-Bewusstseins und der Transfer des hierzu erforderlichen Wissens durch unsere IRMs stellen hierbei zentrale Elemente dar, beschreibt Menke-Suedbeck den integrierten Ansatz ihres Unternehmens. Für eine erfolgreiche Sensibilisierung kommt es nicht darauf an, den Fachbereichen das IT- Wissen bis ins kleinste technische Detail zu vermitteln, zeigt sich auch Stolorz von der Vorgehensweise der Deutschen Bank überzeugt, vielmehr stellt eine Awareness-Kampagne vor allem auch hohe Anforderungen an die didaktische und pädagogische Kompetenz. Eine Sensibilisierung für die Risiken der Informationstechnologie wird man dabei nicht über Nacht erreichen. Daher ist es wichtig, strukturiert vorzugehen und einen langen Atem zu haben. Derart langfristige Strategien sind zugegebenermaßen auch sehr kostenintensiv. Immer wieder wird deshalb die Frage gestellt, wie hoch die Investitionen in IT-Sicherheit, Risk Management und Risk-Awareness-Initiativen eigentlich sein müssen bzw. sollen und welcher Nutzen ihnen gegenübersteht. Die Antwort so hoch wie nötig, so gering wie möglich ist in diesem Zusammenhang zwar richtig, stellt aber für eine konkrete Entscheidung nicht unbedingt die geeignete Grundlage dar. Allerdings ist es schon aus prinzipiellen methodischen Gründen praktisch unmöglich, den Nutzen eines Risk-Awareness- Programms im Sinne eines genauen Return on Investment (ROI) zu berechnen. Hier hilft vielleicht eine Analogie zur Automobilindustrie: haben Sie schon einmal die Investitionen für Sicherheitsgurte, ABS, ESP und Airbags von betriebswirtschaftlichen Berechnungen geringerer Arbeitsausfallzeiten abhängig gemacht? Was beim Straßenverkehr selbstverständlich ist, sollte auch für die Informations- und Telekommunikationstechnik gelten. <fr/re> Quellenverzeichnis und weiterführende Literaturangaben: Fox, D.: Security Awareness, oder: Die Wiederentdeckung des Menschen in der IT-Sicherheit, in: DUD (Datenschutz und Datensicherheit), 11/2003, S / Schneier, B.: Secrets & Lies, John Wiley and Sons Inc / Hirschmann, S; Romeike, F.: IT-Sicherheit als Ratingfaktor, in: RATING aktuell, Februar/März 2004, Heft 1, S / Geuhs, S.: (Hrsg.): IT Risk Management 2003 Business Continuity, Risikoanalyse und Notfallplanung; Dokumentation zur Computas Fachkonferenz 19. und 20. Mai RISKNEWS 03/04