Sicherheitskultur im Unternehmen

Größe: px
Ab Seite anzeigen:

Download "Sicherheitskultur im Unternehmen"

Transkript

1 Securitymanager.de Handbuch Sicherheitskultur im Unternehmen

2 Vorwort 2 Liebe Leserinnen und Leser, Informationen im Unternehmen stellen nicht zu verachtende Werte dar, Werte, die intensiv und aktiv geschützt werden müssen. Oftmals sind hier Kundenbeziehungen verknüpft, welche bei einem Unsachgemäßen Umgang leicht weg brechen können. Unternehmen wird dadurch häufig die wirtschaftliche Grundlage mit einem Ruck unter den Füßen entzogen. Daher investieren Unternehmen viel Zeit und Geld in Sicherheitslösungen rein auf technischer Ebene. Doch durch falschen und unachtsamen Umgang verlieren zahlreiche Schutzmassnahmen einfach ihre Wirkung. Unkenntnis der Mitarbeiter oder auch die Missachtung bestehender Sicherheitsbestimmungen sind oftmals der Auslöser. Aber eben auch, weil etablierte Maßnahmen zu wenig eingeübt wurden, die Bequemlichkeit mit der daraus resultierender Nachlässigkeit beim Mitarbeiter siegt oder Informationssicherheit von Führungskräften nicht oder nur ungenügend selbst gelebt wird. Oftmals kommt die Integration der Mitarbeiter in (IT-)Sicherheitsprozesse einfach zu kurz oder beschränkt sich auf einmalige bzw. sporadische Schulungsmaßnahmen. Isolierte Einzelmaßnahmen bringen allerdings das Unternehmen im Bezug auf eine sogenannte Security Awareness nicht weiter, der Mitteleinsatz verpufft und ist nicht mehr kontrollierbar. Der Return-of-Security-Investment (ROSI) bleibt meist aus. Aus meiner Sicht ist also der entscheidende Faktor letztlich nicht ein hochtechnisches und ausgefeiltes IT-Sicherheitssystem, sondern die Schulung der Mitarbeiter, die tagtäglich mit Unternehmensdaten und Schutzsystemen jeglicher Art umgehen müssen. Wer tut das im Unternehmen nicht? Genau hier setzt der Aspekt einer Sicherheitskultur im Unternehmen an. Die Sensibilisierung ohne Holzhammer-Methode ist die Grundlage des Verstehens. Das sich Informationssicherheit stärker in der Unternehmenskultur verankern muss, sollen Ihnen die Artikel unserer Fachautoren aufzeigen. Dieses setzt als Dossier eine Grundlage zum Thema Sicherheitskultur im Unternehmen und soll Hilfestellung sowie interessanten Lesestoff zum Thema geben. Ich wünsche Ihnen viel Spaß beim Lesen und beim Umsetzen Ihrer geplanten Maßnahmen, um eine Sicherheitskultur in Ihrem Unternehmen oder bei Ihrem Kunden zu etablieren. Marcus Beyer, Chefredakteur Securitymanager.de

3 Inhalt 3 Know how Informationssicherheit mit Kultur von Thomas Schlienger... 4 Security-Policies von Anna Focks Lebbare und gelebte Informationssicherheit von Marco Marchesi Informationssicherheitskultur umgesetzt von Marco Marchesi Awareness ist Psychologie von Dietmar Pokoyski Teil I: Securitygames von Dietmar Pokoyski Teil II: Securitygames von Dietmar Pokoyski Security Awareness im Unternehmen von Dirk Fox Rückblick 3. Security Awareness Symposium Security Awareness Interview mit Dirk Fox Sicherheitskultur nachhaltig fördern von Dr. Markus Herren Personelle IT-Sicherheit von Matthias Temme Datenschutz für Alle von Monika Egle Datenklau für Dummies von Frank Kölmel Nachvollziehen können, wer wann was gemacht hat von Marc van Zadelhoff Compliance von Norbert Olbrich IT-Schutz muss im Kopf stattfinden von Rolf Strehle Marktübersicht Dienstleisterverzeichnis Impressum... 73

4 4 Informationssicherheit mit Kultur Das Thema Informationssicherheitskultur ist allgegenwärtig. War man noch vor der Jahrtausendwende der Meinung, dass Informationssicherheit allein durch fortschreitende technische und organisatorische Lösungen vorangetrieben werden könne, wächst heute zunehmend das Bewusstsein um den beachtlichen Einfluss menschlichen Verhaltens. Trotz dieses zunehmenden Bewusstseins ist die Sensibilisiertheit auf sicheres Verhalten im Alltag jedoch ungenügend. Studien belegen, dass das Verhalten von Mitarbeitern das grösste Hindernis für eine effektive Informationssicherheit ist [1]. Dennoch investieren immer noch die wenigsten Organisationen in die Sensibilisierung und Ausbildung ihrer Arbeitskräfte. Soll Informationssicherheit gelingen, muss der Mensch als Benutzer der Informations- und Kommunikationstechnologie berücksichtigt werden. Nur mit einer gesamtheitlichen Betrachtung der technischen, organisatorischen und menschlichen Aspekte kann Information effektiv und effizient gesichert werden (s. Abbildung 1). Hierfür ist eine tiefgehende Beschäftigung mit den sozialen, kulturellen und ethischen Aspekten notwendig, die im weiteren unter dem Konzept der Informationssicherheitskultur zusammengefasst werden. (Abbildung 1: Gleichstellung der drei Dimensionen des Informationssicherheitsmanagements) Was ist Sicherheitskultur? Berücksichtigen wir die Regel, die besagt, dass in 80% aller Sicherheitsvorfälle der Mensch und nur in 20% die Technik versagt hat, stellen wir ein ungenutztes Sicherheits-Potenzial beim Menschen fest [2]. Menschen und Technik haben unterschiedliche Fähigkeiten, die sich teilweise komplementär ergänzen und somit zusammen Probleme lösen können, die von den Einzelnen alleine nicht zu lösen wären. So sind die Menschen fähig, selbst-organisierend Ordnung zu schaffen, während die Technik die Ordnung nur anhand von definierten Regeln erhalten kann. Ein Firewall oder Virenscanner kann nur bekannte Angriffe abwehren, ein gut ausgebildeter und sensibilisierter Mensch könnte aber anhand von kleinen Ungereimtheiten eine solche Attacke erkennen und die nötigen Gegenmassnahmen einleiten. Der Mensch ist also ein kreativer Problemlöser, während Technologie deterministisch ist. Bei der Entwicklung von Sicherheitsprozessen und Sicherheitsanwendungen sollte deshalb beim Geschäftsprozess und den damit arbeitenden Mitarbeitern gestartet werden und nicht bei der Technologie. Die Kombination von Technologie und

5 5 menschlicher Sensibilisierung und Qualifikation hat Potenzial, das Sicherheitsniveau einer Organisation stark zu erhöhen. Deshalb wird seit Ende der neunziger Jahre die Institutionalisierung der Informationssicherheit vorangetrieben [3]. Diese berücksichtigt u.a. auch sozio-kulturelle Aspekte der Informationssicherheit, die sogenannte Sicherheitskultur. Die Informationssicherheitskultur ist ein Bestandteil der Unternehmenskultur und bestimmt die Wahrnehmung, das Denken, Fühlen und Handeln in Bezug auf Informationssicherheit. Sie gehört damit zu den informellen Strukturen einer Organisation und wird hauptsächlich durch das Management der Organisation beeinflusst und im besten Fall sogar entwickelt. täglichen Aktivitäten auf eine Art und Weise, dass Informationssicherheit ein natürlicher Aspekt in den täglichen Aktivitäten eines jeden Organisationsmitgliedes wird. Zudem hilft eine geeignete Sicherheitskultur, das nötige Vertrauen zwischen den verschiedenen Partnern innerhalb einer Organisation aufzubauen und zielt somit auf das Mein Benutzer ist mein grösster Feind Syndrom ab. Abbildung 2 zeigt die drei Schichten der Unternehmenskultur exemplarisch auf. Der Kern einer jeden Unternehmenskultur sind grundlegende Annahmen über die Natur der Menschen, ihr Verhalten und ihre Beziehungen. Diese Annahmen manifestieren sich in den kollektiven Normen, Werten und Wissensbeständen einer Organisation, welche dann letztlich in Form von Artefakten und Kreation wie Handbücher, Anekdoten oder Vorgehensweisen ausgedrückt werden und dabei einen Einfluss auf den Unternehmenserfolg haben. Die Unternehmenskultur ist ein wachsendes und sich änderndes kollektives Phänomen, welches verschiedene organisatorische und inhaltliche Subkulturen hat. Eine davon ist die Sicherheitskultur, sie unterstützt die (Abbildung 2: Die drei Schichten der Sicherheitskultur und ihre Interaktionen [4]) Studien haben ergeben, dass die meisten Organisationen heute informationssicherheitskulturfördernde Massnahmen einsetzen (s. Abbildung 3) [5]. Am meisten kommen dabei jedoch noch Weisungen zur Informationssicherheit zum Einsatz und

6 6 (Abbildung 3: Sicherheitskulturfördernde Massnahmen heute und in Zukunft [5]) zielen damit auf den rein organisatorischen Aspekt der Informationssicherheit ab. Bei der Frage, welche Massnahmen in Zukunft geplant sind, zeigt sich jedoch ein Wechsel weg von Weisungen hin zu Verständnis- und Sensibilisierungsmassnahmen. Vermehrt eingesetzt werden sollen kleine Geschenkartikel zur Sensibilisierung, wie z. B. Mausmatten mit Sicherheitssprüchen, Workshops zur Ausbildung, Wissenstests und Rundgänge zur Überprüfung des Wissens und des Verhaltens. Es zeigt sich also eine Bewegung weg von organisatorischen hin zu soziokulturellen Massnahmen. Die Problematik einer organisatorischen Überreglementierung in der Informationssicherheit, ohne für deren Verständnis bei den Mitarbeitenden zu sorgen, wird also heute von der Wirtschaft erkannt. Stattdessen soll in Zukunft mehr auf Eigenverantwortung und Eigeninitiative gesetzt werden. Der positive Effekt einer Informationssicherheitskultur auf die Informationssicherheit wird heute von den Sicherheitsverantwortlichen nicht bestritten. Die Massnahmen werden heute jedoch noch ad hoc und in Einzelprojekten umgesetzt. Erst ein systematisches Management der Informationssicherheitskultur kann aber die gewünschten Effekte erzielen und damit die Investitionen rechtfertigen.

7 7 Management der Sicherheitskultur Informationssicherheitskultur ist kein einmaliges Projekt, sondern muss ständig analysiert, gefördert und angepasst werden. Man kann daher diese Aufgabe als einen Zyklus, wie er in Abbildung 4 dargestellt ist, betrachten. Das Modell orientiert sich am Information Security Management System (ISMS) des ISO 27001:2005 Standards [6]. In unseren Projekten wird der Prozess dabei grösstenteils durch ein internetbasiertes Managementsystem unterstützt, welches im Laufe des Forschungsprojektes am iimt der Universität Fribourg entwickelt wurde. Anfang eines gezielten Informationssicherheitskultur-Managements steht die Diagnose der Ausgangslage durch Aufzeigen der aktuellen Stärken und Schwächen. Die Untersuchung von Organisationskultur wurde und wird immer noch in der Fachliteratur kontrovers diskutiert. Die Methoden aus diesem Forschungsgebiet können auch für die Sicherheitskultur verwendet werden, wobei wir von den gemachten Erfahrungen profitieren können. Zwei Hauptströmungen lassen sich identifizieren. Auf der einen Seite befinden sich die sogenannten Funktionalisten, die Kultur als objektiv messbares Konzept ansehen ( die Organisation hat eine Kultur ). Zur Analyse bieten sich daher z.b. standardisierte Fragebogen an. Die Antworten können so zwischen verschiedenen Organisationen verglichen werden. Auf der anderen Seite sind die sogenannten Interpretativisten, die Kultur als allumfassendes Konzept auffassen ( die Organisation ist eine Kultur ). (Abbildung 4: Managementprozess der Informationssicherheitskultur)

8 8 Kultur kann daher nicht anhand verschiedener Messpunkte objektiv gemessen werden, sondern nur anhand einer vollständigen Beobachtung aller Verhaltensweisen interpretiert werden. Als Methoden werden daher Beobachtung und Interviews angewendet. In der Praxis bietet sich an, von den Erkenntnissen beider Strömungen zu profitieren und verschiedene Untersuchungsmethoden in Form eines Methoden-Mix zu verwenden: Analyse der Sicherheitspolitik Fragebogen an die Mitarbeiter Interview mit dem Sicherheitsverantwortlichen Objektive Messung von Verhaltensmustern Die Analyse der Informationssicherheitspolitik gibt Aufschluss über die offiziellen Werte der Organisation und über geforderte Verhaltensnormen. Der Internet-Fragebogen zielt hauptsächlich auf das Wertesystem, das Wissen und die Wahrnehmung der Mitarbeitenden ab. Die Diagnose der Antworten wird dabei vollautomatisch über das Internet abgewickelt und kann daher in sehr kurzer Zeit durchgeführt werden. Abbildung 5 zeigt eine beispielhafte Sicht auf die Hauptdimensionen des Fragebogens, die auf einen ersten Blick die aktuellen Stärken und Schwächen aufzeigen. In den meisten Fällen hat sich gezeigt, dass die offizielle Politik die Einstellung der Mitarbeitenden massgebend prägt. Die Mitarbeitenden fühlen sich selbst für die Informationssicherheit verantwortlicher, wenn die Politik (Abbildung 5: Diagnose der Informationssicherheitskultur)

9 9 ihnen diese Rolle auch zuschreibt. Zwängt jedoch die Politik die Mitarbeitenden in ein komplexes Regelwerk, stehlen sich die Mitarbeitenden oft aus der Verantwortung und schieben diese auf die Organisation, den Vorgesetzten oder die Arbeitskollegen ab. Jedes Diagnoseinstrument bietet an und für sich schon viele Informationen über die Informationssicherheitskultur, eine Verknüpfung der verschiedenen Bilder ermöglicht jedoch erst das tiefgreifende Verständnis der vorherrschenden Kultur. Nach der Diagnose kommt die Planung der Massnahmen, die die Informationssicherheitskultur verbessern sollen. Zuerst muss entschieden werden, wie die SOLL- Informationssicherheitskultur aussehen soll und davon abgeleitet, welche Punkte der IST-Informationssicherheitskultur belassen, verbessert oder umfassend verändert werden müssen (Gap-Analyse). Je nach Entwicklungsstufe der Informationssicherheitskultur genügen Anpassungen oder muss die Kultur radikal verändert werden. Ein Benchmarking mit dem Klassenbesten kann den Handlungsbedarf auch losgelöst eigener Vorgaben aufzeigen. Danach werden die Zielgruppen definiert und entsprechende Instrumente und Massnahmen ausgesucht und priorisiert. Auch die Massnahmenplanung wird durch die Internetapplikation unterstützt. Detektiert das Tool eine Schwäche in der Informationssicherheitskultur, schlägt es Maßnahmen vor, die diesen Punkt verbessern können. In der Durchführung werden die geplanten Massnahmen in Projekten umgesetzt. Wichtig ist dabei v. a. eine durchgehende Unterstützung durch das Management und das Hinzuziehen von Fachspezialisten wie z. B. Kommunikationsexperten aus der eigenen Kommunikationsabteilung oder von extern. Wiederkehrende Massnahmen, wie beispielsweise die Einführung neuer Mitarbeitender, werden in den operationellen Betrieb überführt. In der Kontrolle wird die Durchführung der einzelnen Massnahmen überwacht und die erreichten Ziele durch Vergleichen des Zustandes vor und nach dem Informationssicherheitskultur-Programm evaluiert. Der Evaluationsprozess wird ebenfalls vollständig durch die Internetanwendung unterstützt und zeigt automatisiert die Veränderungen in der Informationssicherheitskultur auf. Die letzte Phase, die Verbesserung, dient dazu, aus den gemachten Erfahrungen zu lernen, kurzfristig korrektive Massnahmen zu ergreifen und die eingesetzten Methoden und Instrumente zu verbessern. Ebenso sollten die erreichten Ziele und die Erfahrungen kommuniziert werden. Die Erkenntnisse aus dieser Phase fliessen dann in den nächsten Zyklus ein. Das Managementmodell stellt also an sich ein Lernprozess dar, der eine ständige und kontinuierliche Verbesserung der Informationssicherheitskultur ermöglicht.

10 10 Vom Sicherheitsrisiko zum Sicherheitsgaranten? Informationssicherheit sollte zum Bestandteil unseres täglichen Lebens werden, sie sollte so natürlich wie Verkehrssicherheit oder Gebäudesicherheit werden. Um dieses Ziel zu erreichen, braucht es eine Informationssicherheitskultur, welche auch die sozio-kulturellen Aspekte abdeckt. Die Mitarbeiter sollten zu Partnern in Fragen der Informationssicherheit werden und nicht nur als Sicherheitsrisiko betrachtet werden. Trotz Sicherheitskultur muss man jedoch realistisch bleiben, nicht allen Menschen kann und soll in allen Belangen vollumfänglich getraut werden, ein gewisses Risiko bleibt immer bestehen, welches mit technischen und organisatorischen Mitteln weiter eingeschränkt werden muss. Der Mitarbeiter wird immer beide Aspekte in sich vereinen: das Risiko und den Garanten. Tacitus hat aber noch immer recht, als er schon vor zwei Jahrtausenden gesagt hat: Der Wille zu schützen ist wichtiger als die Dicke des Schutzwalls. Mit einem gezielten und systematischen Management Ihrer Informationssicherheitskultur stärken Sie neben dem Willen auch die Fähigkeit zu schützen und legen damit einen unabdingbaren Grundstein für den Schutzwall Ihres Unternehmens. Als praxisgerechte Vertiefung in die Thematik empfiehlt sich der von der Arbeitsgruppe Informationssicherheitskultur der FGSec the information security society of switzerland ausgearbeitete Leitfaden[7]. Literatur 1. Deloitte, Global Security Survey. 2005, Deloitte Touche Tohmatsu: London. 2. Schlienger, T. und S. Teufel. Information Security Culture - The Socio-Cultural Dimension in Information Security Management. in Security in the information society: visions and perspectives. IFIP TC11 International Conference on Information Security (Sec2002) Cairo, Egypt: Kluwer Academic Publishers. 3. von Solms, B., Information Security - The Third Wave. Computers & Security, (7): p Schein, E.H., Organizational Culture and Leadership: A Dynamic View. 1985, San Francisco: Jossey-Bass. 5. Schlienger, T. und R. Rues Rizza, Befragung zur Informationssicherheitskultur in CH Organisationen. 2004, Arbeitsgruppe Informationssicherheitskultur der FGSec (information security society switzerland). Marktbefragung2p.pdf ISO/IEC, ISO/IEC 27001:2005: Information technology - Security techniques - Information security management systems - Requirements. 2005, International Organization for Standardization: Switzerland. 7. Schlienger, T., C. Baur, et al., Leitfaden zur Förderung und Analyse der Informationssicherheitskultur. FGSec Series, Hrsg. FGSec (information security society switzerland). 2004, Fribourg: iimt University Press. Autor: Dipl.-Inform. Thomas Schlienger ist Doktorand am international institute of management in technology (iimt) der Universität Fribourg und Geschäftsführer der TreeSolution Consulting GmbH. Er ist im Vorstand der FGSec Schweiz.

11 11 Um mit dem Mitarbeiter anzufangen - Security-Policies sind ein erster Schritt, um IT-Sicherheit in der Unternehmenskultur zu verankern Einer der Gründe, warum die IT-Sicherheit bei kleineren Betrieben nicht ganz oben auf der Tagesordnung steht, ist die weit verbreitete Annahme, dass Sicherheitslösungen unerschwinglich, schwierig zu handhaben oder gänzlich unnötig sind. Die meisten Unternehmen investieren nur ungern in Sicherheitslösungen, besonders dann, wenn kein konkreter Return on Investment (ROI) in Sicht ist. Aber Unternehmen müssen nicht vom ersten Tag an in eine moderne Sicherheitslösung investieren. Der kostengünstigste Weg zu einem sicheren Netzwerk und damit auch zu einem gesicherten Unternehmen führt über die Einrichtung einer Netzwerksicherheitsrichtlinie, der so genannten Sicherheits-Policy. Sie bringt den Mitarbeitern die Bedeutung eines ausgeprägten Sicherheitsbewusstseins näher und hilft, das Risiko von Attacken über oder Websites zu reduzieren. Und das Beste: Sicherheitsrichtlinien kosten keinen Cent. Aber was genau versteht man unter Sicherheits-Policies? Die meisten Unternehmen habe nur eine vage Vorstellung von Security-Policies und wenn es um die praktische Umsetzung geht, dann sieht es gleich noch schlechter aus. Laut einer aktuellen Umfrage von WatchGuard unter 296 Geschäftsführern und IT-Managern haben 50 Prozent der Befragten keine Sicherheitspolicies schriftlich dokumentiert. Neun Prozent der befragten Unternehmen haben sogar noch nie davon gehört. Themenspezifische Sicherheitsrichtlinien haben Unternehmen hauptsächlich für die Internet-Nutzung und den Umgang mit s ausformuliert. Allgemeine Policies, wie beispielsweise zum Verhalten im Notfall oder zur Datenvernichtung, sind kaum schriftlich fixiert. Ein Grund für die laxe Handhabung mit Sicherheitspolicies ist wohl, dass nicht klar ist, wer für die Festlegung der Richtlinien verantwortlich ist. 23 Prozent sehen die Verantwortung für Sicherheitsrichtlinien beim Chef der IT-Abteilung, 22 Prozent bei den IT-Administratoren und 18 Prozent bei der Geschäftsleitung. Sicherheitsbewusstsein entwickeln Mit einer Sicherheitslösung auf höchstem technischem Niveau ist das Netzwerk noch lange nicht vor den eigenen Mitarbeitern geschützt. Um das eigene Netzwerk wirksam schützen zu können, sollte zuerst das Sicherheitsbewusstsein der Belegschaft geschult werden.

12 12 Mitarbeiter müssen ein Verständnis dafür bekommen, welche Risiken nicht autorisierte Software, verdächtige s von unbekannten Absendern oder s mit verdächtigen Anhängen und Websites mit rechtswidrigen Daten bergen. Wer den Sinn und Zweck von Passwortschutz nicht kennt, bringt das Netzwerk potentiell in Gefahr. Die Belegschaft muss lernen, dass es wichtig ist, diese Informationen sorgfältig zu behandeln, denn nicht selten wird ein Passwort arglos weitergegeben und so das ganze Netzwerk schutzlos Attacken ausgesetzt. Eine Netzwerksicherheitsrichtlinie, an die sich alle zu halten haben, ist schon der erste Schritt zu einem sicheren Unternehmen und kann helfen, Schäden von vornherein zu vermeiden. Netzwerksicherheitsrichtlinien erstellen Experten sind sich einig, dass die Voraussetzung für ein gut geführtes Unternehmen eine schriftliche Sicherheitsrichtlinie ist, in der Anweisungen zum korrekten Umgang mit IT-Assets des Unternehmens, festgeschrieben sind. Zwar hat jedes Unternehmen seine eigene Policy, es empfiehlt sich aber, die Informationen unter den folgenden Überschriften zu kategorisieren: Akzeptable PC-Verwendung Passwörter Internet PDA-Verwendung Remote-Zugriff Wireless-Konnektivität Server Notfallpläne Durch die systematische Abdeckung all dieser Bereiche erhalten Unternehmen ein erweiterbares Dokument, das die Sicherheit und den Schutz von Netzwerk und Unternehmen garantiert. Der Prozess der Erstellung und Verwaltung einer Richtlinie ist immer ein kontinuierlicher. Da sich die Bedrohungen ständig ändern, sollten auch die Sicherheitsrichtlinien entsprechend verwaltet und aktualisiert werden. Dabei sollte das gesamte Personal eines Unternehmens für die Sicherheit der Firma in die Pflicht genommen und über die Details der Richtlinie informiert werden. Das gilt auch für die Management-Etage, die stets als Vorbildfunktion fungiert. Wichtig zu erwähnen ist auch, dass Firmen, die nicht über ein sicheres Netzwerk verfügen, womöglich die bestehenden gesetzlichen Sicherheits- und Datenschutzvorschriften verletzen. Und das kann wiederum empfindliche Geldbußen oder hohe Gerichtskosten bedeuten.

13 13 Fazit Netzwerkbedrohungen werden mit der zunehmenden Digitalisierung der Geschäftswelt noch schneller und gefährlicher. Da sich Unternehmen jeglicher Größe mehr und mehr auf das Internet und die Netzwerk-Konnektivität verlassen, wird die Netzwerksicherheit zu einer Grundvoraussetzung für das geschäftliche Überleben. Kleinere Firmen sind besonders verwundbar, aber es gibt einfache und kostengünstige Lösungen, mit denen sich das Netzwerk präventiv schützen lässt. Kontinuierliche und konsequente Sicherheits-Policies sind nur eine davon. WatchGuard bietet auf der Homepage ein White Paper, das Unternehmen bei der Erstellung von Security Policies unterstützt. Das Paper Producing your Network Security Policy fragt alle relevanten Punkte der unternehmenseigenen IT-Sicherheit ab. Die Antworten können Unternehmen als einen ersten Entwurf für einen Maßnahmenkatalog zum Thema Sicherheit sehen. Somit leitet das Werk Frage für Frage durch die wichtigsten Bereiche und hilft beim Erstellen einer umfangreichen Sicherheitspolicy. Autor: Anna Focks ist Senior Director EMEA bei WatchGuard, einem führenden Anbieter von Internet-Sicherheitslösungen für Unternehmen.

14 14 Lebbare und gelebte Informationssicherheit Die Informationssicherheit wird von Menschen getragen, vom Management gemessen und über die Organisation der Prozesse gesteuert. Wie kann dies nachhaltig lebbar umgesetzt werden? Sicherheit kann man betreiben, bis kein Budget mehr da ist und Mitarbeiter nicht mehr arbeiten können. Kann es das Ziel sein, ein goldenes Schloss zu bauen? Oder ist es sinnvoller, Informationssicherheit lebbar zu gestalten? Ziel: lebbare Informationssicherheit woran scheitert diese? Informationssicherheit will Informationen in allen Varianten angemessen schützen. Bereits hier ist erkennbar, dass es nicht das Ziel ist, Informationen grundsätzlich maximal zu schützen. Hier greift die Thematik des Schutzbedarfs von Informationen bzw einer Risikoanalyse. Schutzbedarf das erste Hindernis? Beispiel: Wenn für jeden der Bereiche Vertraulichkeit, Integrität, Non-Repudiation und Verfügbarkeit je vier Schutzstufen kreiert werden, so ergeben sich 16 mögliche Schutzeinstufungen. Der normale Mitarbeiter ist mit dieser Auswahl überfordert - Informationssicherheit ist nicht lebbar. Die Erfahrung lehrt uns, dass maximal drei Schutzstufen lebbar sind. Eine Kombination der drei Ausprägungen in den Schutzstufen muss verankert und davon die Massnahmen abgeleitet werden. Hauptziel der prozessorientierten Informationssicherheit ist, un- und mittelbar wertschöpfenden Prozesse eines Unternehmens gemäss ihrem Schutzbedarf zu schützen. Massgeblich sind dabei die Faktoren Infrastruktur, Architektur & Betriebsorganisation. Basierend auf der Ergreifung von Schutzmassnahmen betrachtet, ist Sicherheit das Ergebnis und/oder Sollzustand eines Unternehmens. Das Grundschutzhandbuch des BSI Deutschland oder die ISV des Kantons Zürich gehen von einem mittleren Grundschutz als Ausgangslage für jedes Unternehmen aus. Ausschliesslich spezielle Schutz-Anforderungen werden detailliert mit einer Risikoanalyse ermittelt. Informationssicherheit mehr als Technik Das Wort IT-Security meint nur den technischen Teil der Informationssicherheit. Sofern das richtig verstanden wird, ist das keine Gefahr. Wird darunter jedoch die gesamte Informationssicherheit eines Unternehmens verstanden und nur der technische Teil behandelt, sind wir Nahe an scheinbarer Sicherheit von lebbar keine Rede.

15 15 Abgestützt auf dem de Facto Standard in Informationssicherheit BS7799 bzw. ISO17799 gehören folgende Themen im Unternehmen zur Informationssicherheit: Sicherheitspolitik Organisation der Informationssicherheit Klassifizierung und Kontrolle Personelle Sicherheit Physische und Umgebungsbezogene Sicherheit Kommunikations- und operationelle Sicherheit Zugriffs-Sicherheit und -Kontrolle Systementwicklung und Unterhalt Business Continuity Management Einhaltung rechtlicher Anforderungen Diese zehn Kapitel entsprechen einer realistischen Grundlage für die Umsetzung der Informationssicherheit. Sie zeigen gleichzeitig, wie stark dieses Thema quer durch das Unternehmen läuft und nicht bei der Technik Halt macht. Einzelne wichtige Themen sind in der neusten Überarbeitung des Standards mit einem eigenen Kapitel stärker gewichtet: Risk Assessment und Threatment Human Resource Security (Rollen und Verantwortungen) Incident Management ISMS (Information Security Management System) die Basis Ein Prozessorientiertes ISMS bildet die Grundlage zur Feststellung, wo ein Unternehmen bezüglich Informationssicherheit steht. Mit der Angleichung des BS7799 an die ISO Norm wurde der Prozessorientierte Ansatz mehr gewichtet. Ein Prozessorientierter Ansatz ermutigt die Benutzer, die Wichtigkeit der folgenden Punkte zu betonen: Verständnis der geschäftlichen Anforderungen an die Informationssicherheit sowie des Bedarfs, Politiken und Ziele für die Informationssicherheit zu etablieren, Implementierung und Betrieb von Kontrollen im Kontext des übergeordneten geschäftlichen Risikomanagements einer Organisation Überwachung und Prüfung der Leistung und Effektivität des ISMS, fortlaufende Verbesserung auf der Basis objektiver Messungen. Eine Organisation muss zahlreiche Aktivitäten identifizieren und verwalten, um effektiv zu funktionieren. Jegliche Aktivität, die Ressourcen verwendet und verwaltet, um Inputs in Outputs zu transformieren, kann als Prozess betrachtet werden. Oft formt der Output eines Prozesses direkt den Input des folgenden Prozesses.

16 16 Die Anwendung eines Systems von Prozessen innerhalb einer Organisation kann zusammen mit der Identifikation und Interaktion dieser Prozesse sowie ihrer Verwaltung als Prozessorientierter Ansatz bezeichnet werden. Einzelne auf Informationssicherheit spezialisierte Firmen tragen in ihren Lösungsansätzen diesem Umstand Rechnung. Die Norm selber formuliert die einzelnen Prozesse nicht aus, sondern beschränkt sich auf die Formulierung was zu tun ist. Um Mitarbeiter tatsächlich in ihrer täglichen Arbeit zu unterstützen, müssen die einzelnen Prozesse ausformuliert werden. Vorsicht beim Detaillierungsgrad! Mitarbeiter sollen trotz Prozesse noch wissen, was sie tun sollen. Bei der Entwicklung der Prozesse ist davon auszugehen, dass Mitarbeiter gut ausgebildet sind, ihre Arbeit kennen, in einzelnen Punkten Unterstützung brauchen. Diese wird ihnen mit dem Prozessorientierten Ansatz gegeben. Die überarbeitete Version des BS7799 zeigt etwas mehr prozessorientierung, keinesfalls jedoch soviel, dass Prozessansätze in den einzelnen Detailbereichen sichtbar wären. Die Aufnahme eines ISMS in die Organisation sollte eine strategische Entscheidung sein. Das Design und die Implementierung eines ISMS innerhalb der Organisation werden durch geschäftliche Anforderungen und Ziele bestimmt. Ebenso daraus resultierende Sicherheitsanforderungen, die eingesetzten Prozesse und die Struktur der Organisation. Es ist zu erwarten, dass sich diese sowie deren unterstützenden Systeme im Verlauf der Zeit verändern. Einfache Situationen erfordern einfache ISMS-Lösungen. Die Komplexität des Unternehmens soll im ISMS gespiegelt werden. Die Norm unterstützt die Verwendung eines Prozessorientierten Ansatzes für Einführung, Implementierung, Betrieb, Überwachung, Wartung und Verbesserung der Effektivität des ISMS in einer Organisation. Einfluss von Regulatorien In folgenden zwei Beispielen wird deutlich, dass ein Reporting, welches einem Regulatorium genügen soll, messen sollte, was effektiv an Informationssicherheit umgesetzt ist und wo Lücken und Schwachstellen bestehen. Herausfordernd wird diese Aufgabe, wenn das Unternehmen europaweit oder weltweit verteilte Standorte zu betreuen hat. Das Audit Framework muss entsprechend aufgebaut sein, um ein Aggregieren der einzelnen Standorte auf der Basis von Divisionen, Geschäftsbereichen oder Kontinenten zu ermöglichen. Verschiedene Regulatorien, die in den letzten Jahren erlassen wurden, haben Einfluss auf das Informationssicherheitsmanagement. Von Basel II bis zu aktuellsten Sarbanes-Oxley Act (SOX).

17 17 Section 404 aus dem SOX fordert vom Management, ein anerkanntes und etabliertes Framework für interne Kontrollen einzusetzen. Das Ziel - mehr Transparenz. Das Reporting muss zeigen, was effektiv vorhanden ist und was gelebt wird. So zumindest die Theorie. Die Praxis zeigt ungemessene Bilder mit Reportings, die keine Auskunft geben über die tatsächliche Einhaltung von Sicherheitsvorgaben. Basel II fokussiert auf der Erhöhung der Risiko Sensibilisierung und der Verbesserung des Risk Managements für die Informationssicherheit wesentlich der Teil Operational Risk Management. Auch hier die Forderung, dass der Verwaltungsrat im Bild sein soll über die wichtigen operationellen Risiken des Unternehmens. Der Verwaltungsrat soll zudem sicherstellen, dass ein effektives und umfassendes Framework für interne Audits vorhanden ist und dass diese von kompetenten Personen ausgeführt werden. Messen von Informationssicherheit Wie wird sichergestellt, dass mit der Messung tatsächlich das gemessen wird, was umgesetzt und gelebt wird? Messen nach BS7799 Controls z.b. ist möglich, ohne auf gelebte IS zu achten. Es wird gemessen, welche Weisungen vorhanden, welche Richtlinien und Checklisten in Kraft gesetzt wurden. Ein neueres Messmodell, das OSSTMM, trägt diesem Ansatz zumindest auf der technischen Seite mehr Rechnung. Hier wird sehr detailliert gemessen, was vorhanden ist. Das Managements stellt mit Staunen fest, dass die Realität nicht dem BS7799-Reifegrad-Radar entspricht. Auch gängige Vulnerability Lösungen von verschiedenen Herstellern versuchen die Vorgaben mit dem effektiv Vorhandenen in Verbindung zu bringen. Leider begrenzt sich das Werkzeug auf den technischen Ausschnitt. Ganzheitliche Messungen verlangen ISMS, die gelebt werden. Um die Menschliche Seite zu messen, hat die Arbeitsgruppe Informationssicherheitskultur eine Messmethode beschrieben, die den Grad der gelebten Sicherheit in verschiedenen Bereichen zeigt. Ursache Mensch! Wer führt die Prozesse aus? Wer administriert die Firewall und wer ist Träger von Unternehmensinformationen. Informationssicherheit findet beim Menschen statt! Menschen setzen die IS in ihrer täglichen Arbeit um. Das heisst für die Informationssicherheit, dass sie in die tägliche Arbeit gebracht werden muss. Mitarbeiter müssen bei der täglichen Arbeit in den täglichen Arbeitsprozessen die geforderte Informationssicherheit umsetzen können. Fazit: die Verknüpfung von Kontrollen und täglich umgesetzten Prozessen muss sichergestellt sein.

18 18 Blickwechsel: was heisst IS aus Sicht Mensch? Eine Unternehmenskultur baut auf Mitarbeitern und deren Wertvorstellungen. Folglich setzen Kulturveränderungen da an beim Menschen. Was braucht der Mitarbeiter, um seine Einstellung, seine Werthaltung und somit seine Kulturäusserung zu Gunsten der Unternehmenssicherheit zu verändern resp. zu verbessern? Im Sport finden wir Spielregeln. Diese verhindern, dass jede Handlung subjektiv anderst verstanden wird. Was heisst fair? Was verstehen Mitarbeiter unter Vertrauen? Sollen Kulturmassnahmen greifen, so braucht ein Unternehmen Spielregeln. Zudem muss es wissen, was Menschen brauchen, um diese umzusetzen. Z.B. sind Kenntnisse über Wertvorstellungen und Kulturen entscheidend, ansonsten ein Unternehmen keine Chance hat, Foul-Spiele zu erahnen. Sensibilisierungsmassnahmen auf dem Weg zur sicheren Unternehmung sind wie PR Massnahmen auf dem Weg zum starken Image. Sie sind unumgänglich! Solange der PR-Verantwortlicher jedoch nicht versteht, weshalb gute PR für die Unternehmung wichtig ist, werden PR-Massnahmen nie gut ankommen. Kultur ist nett und strategisch? Die Ziele sind klar: Risikominderung und Schadenseingrenzung! Sicherheitskultur soll als Attribut der Unternehmenskultur gesehen werden. Sicherheitskultur ist ebenfalls Attribut des Security Managements und wird von diesem angetrieben. Kulturelle Aspekte sind in der ganzen Unternehmung anzutreffen diese zu verändern ist Verantwortung des Managements. Diese Kulturveränderung durchzuführen ist Aufgabe der Führungskräfte, forciert und unterstützt durch das Informationssicherheitsmanagement. Schritte zur Kulturveränderung Sensibilisierungsmassnahmen sind unabdingbar sind. Heute bekannt sind Sicherheitsmarketing, Sensibilisierungs-Trainings und interne PR-Massnahen. Der umgekehrte Ansatz geht vom Menschen aus und nicht von den Massnahmen. Jeder Mensch hat eine andere Wahrnehmung. Dies erschwert die Erreichung eines gemeinsamen Nenners erheblich. Wahrnehmung der Mitarbeiter basiert auf Werten, Weltbildern, Erfahrungen und Gefühlen. Schritt 1: Ist-Analyse auf sozialer Ebene. Definition der Mitarbeiter-Konstellation im Unternehmen. Umfrage, wie Mitarbeiter die bestehende Kultur wahrnehmen. Schritt 2: Zieldefinition. Wie muss die Unternehmenskultur sein, damit sie dem strategischen Ziel Risikominderung und Schadenseingrenzung entspricht? Wie sollen sich Mitarbeiter verhalten, welche Werte sollten gemäss Sicherheitskultur wichtig sein. Wohin können sich emotional bewegte Mitarbeiter wenden? Schritt 3: Strategie Erarbeitung. Erforderliche Kompetenzen erarbeiten, um die Werte und Verhaltensweisen von

19 19 Mitarbeitern zu verstehen. Mitarbeiter im Veränderungsprozess begleiten, Basis bildet das eigene Verständnis des Veränderungsprozesses. Themen wie Konfliktmanagement, Emotionale Intelligenz, Kommunikationsverhalten, Kommunikations-Fähigkeit und Kommunikations-Entwicklungsfähigkeit, Teamverhalten, Team-Fähigkeit und Team- Entwicklunsfähigkeit gehören hier ebenfalls dazu.. Der Veränderungsprozess Jeder Mensch reagiert anders auf eine Veränderung. Und trotzdem: Veränderungen lassen sich im Grundsatz erfassen, zentral organisieren und kontrollieren. Was passiert emotional: eine Veränderung greift Gewohntes an, wird als persönlicher Angriff wahrgenommen. Gewohntes ist meist bequem und komfortabel. Ein Mitarbeiter kann verärgert reagieren, wenn diese Komfortzone verschwindet. Als vorgebende Instanz sollte man auf Widerstand gefasst sein. Planen Sie sorgfältig, wie Sie Ihre Mannschaft ans Ziel bringen. Kultur lässt sich messen. Die Wirtschaft verlangt den TCO (Total Cost of Ownership). Ausgangslage, Ziele, Massnahmen, Pflege des Erreichten alles soll belegt werden. Um aufzuzeigen, dass sich etwas ändert, muss die Ausgangslage klar sein. Interviews mit Mitarbeiter, Fragebogen zur Kulturwahrnehmung, zu Wertvorstellungen, zu Erfahrungen und zu Verhaltensmuster. Standardisierte Fragebogen ermöglichen die Vergleichung mit anderen Organisationen. So werden Verhaltensmuster objektiv gemessen. Mit einer klaren Ausgangslage sind Kulturveränderungen und Entwicklungen messbar. Fazit Man kann Informationssicherheit so umsetzen, dass sie niemand leben kann. Und man kann Informationssicherheit messen, auch wenn sie nicht gelebt wird. Das Ziel, Informationen angemessen zu schützen, verlangt ein lebbares Information Security Management System, welches den Mitarbeitern in der täglichen Arbeit ermöglicht, Vorgaben umzusetzen. Die Prozesse für die Informationssicherheit müssen zu diesem Zweck ausformuliert werden. Schwierigste Aufgabe ist danach, Mitarbeiter dazu zu bringen, diese Vorgaben zu leben. Letzteres sollte dringend eine höhere Priorität erhalten. Für das Reporting von Informationssicherheit ist entscheidend, das die Wirklichkeit gemessen wird, das gelebte. Dazu bedienen wir uns entsprechenden Messmethoden wie OSSTMM oder dem Informationssicherheits-Kultur- Radar. Nur wer diese Ansätze konsequent verfolgt, kommt der gelebten Informationssicherheit einen Schritt näher.

20 20 Informationssicherheitskultur umgesetzt Warum ein Blickwechsel? Massnahmen definieren und mit diesen die Mitarbeiter zur besseren Sicherheit bewegen, ist ein guter Ansatz. Umgekehrt fragen wir uns: was braucht der Mitarbeiter, um seine Einstellung und somit seine Kulturäusserung zu Gunsten der Unternehmenssicherheit zu verändern? Sensibilisierungsmassnahmen auf dem Weg zur sicheren Unternehmung sind wie gute PR Massnahmen auf dem Weg zum starken Image. Sie sind unumgänglich! Doch PR-Massnahmen werden nie gut ankommen, wenn Ihr PR-Verantwortlicher nicht versteht, weshalb gute PR für die Unternehmung wichtig ist. In Ihrer Unternehmung arbeiten Menschen. Diese funktionieren leider - komplizierter als programmierbare Computer. Ihre Unternehmenskultur baut auf diesen Menschen und deren Wertvorstellungen. Folglich setzen Kulturveränderungen da an beim Menschen. Worum geht es eigentlich? - Risikominderung und Schadenseingrenzung! Vorab unser Verständnis von Informationssicherheits-Kultur: Wir sehen diese als Attribut der Unternehmenskultur. Und Sicherheitskultur ist Attribut des Security Managements, wird von diesem angetrieben. Kulturelle Aspekte sind in der ganzen Unternehmung anzutreffen diese zu verändern ist Verantwortung des Managements. Diese Kulturveränderung durchzuführen ist Aufgabe der Führungskräfte, forciert und unterstützt durch das Security Management. Aufzeigen von Veränderungen Kultur lässt sich messen. Die Wirtschaft verlangt den TCO (Total Cost of Ownership). Ausgangslage, Ziele, Massnahmen, Pflege des Erreichten alles soll belegt werden. Um aufzuzeigen, dass sich etwas ändert, muss die Ausgangslage klar sein. Interviewen Sie Ihre Mitarbeiter, erstellen Sie Fragebogen zur Kulturwahrnehmung, zu Wertvorstellungen, zu Erfahrungen und zu Verhaltensmuster. Standardisierte Fragebogen ermöglichen die Vergleichung mit anderen Organisationen. Messen Sie Verhaltensmuster objektiv. Mit einer klaren Ausgangslage sind Kulturveränderungen und Entwicklungen messbar. Schritte zur Kulturveränderung Ich betone deutlich, dass Sensibilisierungsmassnahmen unabdingbar sind. Sicherheitsmarketing, Sensibilisierungs- Trainings und interne PR-Maßnahem sind wichtige Vorgaben und machen immer wieder auf Sicherheit aufmerksam. Unser Ansatz geht vom Menschen aus und nicht von den Maßnahmen.

21 21 Jeder Mensch hat eine andere Wahrnehmung. Dies erschwert die Erreichung eines gemeinsamen Nenners bereits extrem. Die Wahrnehmung Ihrer Mitarbeiter basiert auf Werten, Weltbildern, Erfahrungen und Gefühlen. Als Erstes gilt es deshalb herauszufinden, wie sich Menschen in Ihrem Unternehmen zusammensetzen, wie sie die Kultur wahrnehmen. Sie erheben eine Ist-Analyse auf sozialer Ebene. Als Zweites definieren wir die Ziele. Wie soll Ihre Unternehmenskultur sein, damit sie dem strategischen Ziel Risikominderung und Schadenseingrenzung entspricht? Wie sollen sich Ihre Mitarbeiter verhalten, welche Werte mögen Ihnen gemäß Sicherheitskultur wichtig sein, wie sollen sie mit Gefühlen umgehen. Dies ist vor allem in Bezug auf negative Gefühle wichtig. Ich betone, dass es unmöglich ist, Mitarbeiter zu drillen und zu Reaktionen zu erziehen. Es bedarf Ihrer sozialen Kompetenz, herauszufinden, was Ihre Mitarbeiter brauchen, um richtig zu reagieren, um Ihre Sicherheitsmassnahmen umzusetzen. Ausnahmen und Sonderfälle ausgenommen die lassen sich kulturell nicht verändern. Als Drittes erarbeiten wir die Strategie. Gemeinsam arbeiten wir an den erforderlichen Kompetenzen, um die Werte und Verhaltensweisen Ihrer Mitarbeiter zu verstehen.basis ist, dass Sie selbst den Umgang mit dem Veränderungsprozess beherrschen denn in diesen begeben Sie sich mit dem Projekt Informationssicherheits-Kultur unweigerlich. Themen wie Konfliktmanagement, Emotionale Intelligenz, Kommunikationsverhalten, Kommunikations-Fähigkeit und Kommunikations- Entwicklungsfähigkeit, Teamverhalten, Team-Fähigkeit und Team-Entwicklunsfähigkeit gehören ebenfalls dazu.. Der Veränderungsprozess Wichtigste Voraussetzung, um eine Kulturveränderung zu erreichen, ist den Veränderungsprozess zu kennen. Es ist richtig, wenn wir feststellen, dass jeder Mensch anders umgeht mit Veränderungen. Und trotzdem lässt sich eine Veränderung im Grundsatz erfassen, zentral organisieren und kontrollieren. Was passiert: eine Veränderung greift Gewohntes an und wird als persönlicher Angriff wahrgenommen. Gewohntes kann sehr bequem und komfortabel sein - sagen wir Komfortzonen dazu. Diese können so bequem sein, dass wir richtig verärgert sind, wenn sie jemand verändert.

22 22 WJK Widerstand Jammertal Kompromiss. Stellen Sie sich vor, Ihre Allerliebste würde Ihnen morgens um 6:30 Uhr den Kaffee verstecken - wir nehmen hier an, Sie seien kaffeesüchtig! -. Sie reagieren verärgert, leisten Widerstand (W). Nicht lange und nicht heftig respektive so lange und so heftig, wie Ihnen der erste Kaffee in der Früh wichtig ist! Ihre Allerliebste hat einen kleinen Angriff auf Ihre Komfortzone Kaffee vorgenommen. Grundsätzlich möchte ich hier erwähnen, dass jeder Mensch auf eine Veränderung zuerst mit Widerstand reagiert. Das ist absolut normal. Wie lange der Widerstand dauert, hängt stark von der Komfortzone ab, welche gerade attackiert wird. Währenddem Sie verärgert den Kaffee suchen, befinden Sie sich im Jammertal. Vielleicht erlöst Sie Ihre Allerliebste rasch und Sie sind so rasch aus dem Jammertal heraus, wie Sie hineingeraten sind. Vielleicht aber sind Sie derart verärgert, dass Sie noch eine ganze Weile im Jammertal bleiben. Kaffee trinken Zeitung lesen Anziehen kurz vor dem Losfahren sind Sie kompromissbereit und akzeptieren das Pardon Ihrer Allerliebsten. Dann befinden Sie sich im K, Sie sind kompromissbereit, offen für Neues und sind bereit, mit sich verhandeln zu lassen. Hier findet die Veränderung statt. Hier können Sie lachen über den kleinen Scherz morgens in der Früh. Fazit Bei jeder Veränderung durchlaufen Ihre Mitarbeiter das WJK. Und jeder Mitarbeiter reagiert anders. Die einen weilen ewig im Widerstand, jammern kaum und sind sogleich kompromissbereit. Andere leisten kaum Widerstand, jammern jedoch ewig und sind erst nach langer Zeit kompromissbereit. Wichtig ist, dass während der W- und J-Phase keine Versuche gestartet werden, den Mitarbeiter zu bewegen. Es ist schlichtweg aussichtslos. Notfalls dienen Gespräche über die Gründe seines Verhaltens und forcieren die schnellere Durchlaufung der Phasen. Mit diesem kleinen Ausflug ins Veränderungsverhalten wird klar, dass eine Kulturveränderung die Firma aufrütteln wird. Entscheidend ist, dass Sie das Veränderungsverhalten Ihrer Führungsleute resp. Ihrer Mannschaft kennen. Seien Sie gefasst auf Widerstand, Sie greifen mit einer Änderung Komfortzonen Ihrer Mitarbeiter an. Planen Sie sorgfältig, wie Sie Ihre Mannschaft ans Ziel bringen. Autor: Marco Marchesi ist CEO der ISPIN AG aus Bassersdorf (Schweiz), Präsident des ISSA Switzerland Chapter und in den Vorständen der Infosurance und des Datenschutzforum Schweiz.

23 23 Awareness ist Psychologie Warum sich Mitarbeiter oft selbst ENTsichern - Qualitative Studie deckt die geheime Logik der Information Security in Unternehmen auf Erfahrungsgemäß ist die Wirksamkeit der bisher üblichen didaktischen Methoden bzw. Awareness-Maßnahmen im Bereich der IT/Information Security begrenzt. Irgendetwas hält viele Mitarbeiter davon ab, die ihnen weitgehend bekannten Sicherheitsmaßnahmen auch in die Tat umzusetzen. Die Tatsache, dass z.b. Schulungen u.a. Trainingsveranstaltungen an Grenzen stoßen, ohne dass diese Grenzen offensichtlich werden, lässt darauf schließen, dass die Probleme, die durch unachtsame Mitarbeiter entstehen, entweder unbewusst sind oder im Rahmen von didaktischen Settings nicht offen bzw. ungenau oder nicht in ihrer umfänglichen Drastik angesprochen werden. Auf diese und ähnliche Störstellen und Barrieren werden wir bei known_sense sehr häufig angesprochen. Als Security- Dienstleister, dessen Tools und Services im Bereich Awareness bewusst auf das know-how einer erfahrenen Kommunikationsagentur setzen, erwarten unsere Kunden Antworten auf diese und weitere Fragen zum Thema Awareness, die weder mithilfe herkömmlichen BWL-Lateins noch mit der üblicher Management-Methoden genügend beantwortet werden können. Zahlreiche Unternehmer und Security-Officer, denen wir unsere Konzepte vorstellen, gehen inzwischen soweit, zu fragen, warum sich Mitarbeiter oder Kollegen - in der Regel überdurchschnittlich begabte und besonnene Menschen - quasi selbst aktiv ENTsichern, auch dann, wenn umfangreiches Security-Wissen bzw. regelmäßig intensive Schulungsmaßnahmen diese ENTsicherungen eigentlich verhindern sollten. Vergesslichkeit, sagen die einen. Faulheit die anderen. Wir bei known_sense vermuten: Hinter dem, was der Einfachheit halber unter derlei Schlagwörtern und weiteren (austauschbaren) wie etwa Unkonzentriertheit oder gar Sabotage subsummiert wird, stecken in Wahrheit Verhaltensprinzipien, die nach einer bestimmten geheimen Logik funktionieren. Wenn diese offensichtlich verdeckten Prinzipien untersucht und verstanden werden würden, könnte jedes Unternehmen auch seine Mitarbeiter und deren Verhalten in punkto Sicherheit besser verstehen und sein Personal effizienter einstellen. Um aber diese Mitarbeiter-Verfassungen und die damit verbundenen Wirkprinzipien zu enkodieren, mithin tatsächlich sichtbar werden zu lassen, müssten im Rahmen von Awareness kulturelle Rahmenbedingungen ausgelotet und der Fokus stärker auf Kommunikation und Psychologie gesetzt werden als auf Richtlinien, Kontrolle oder technologische Details, die in der Regel die eigentlichen Motive verdecken sollen.

24 24 Wie stark Unternehmenskultur mit Information Security verknüpft ist und welche Rolle die Psychologie dabei spielt, lässt sich anhand von Beispielen beschreiben, die hypothetisch mögliche Wirkprinzipien verdeutlichen sollen. 1. Security ad absurdum Stellen Sie sich vor, ihr ganzes Leben lang wäre Ihnen gesagt worden - und zwar von Ihren Eltern, Tanten und Onkels, von ihren Lehrern, ihren Freunden und sogar von Ihrem Chef und Ihrem Bundestagsabgeordneten -, Sie müssten nur gut in der Schule sein, einen ordentlichen Beruf lernen und Ihren Vorgesetzten folgen um dann nach einem (1!) Job und knapp 40 Jahren Arbeit auf dem Buckel mit 65 eine hübsche Rente zu erhalten. Pustekuchen, wie wir alle wissen. Ähnlich - nur mit umgekehrten Vorzeichen - ergeht es denjenigen, die (noch) über Arbeit verfügen dürfen. Diese sehen sich aktuell über Medien, Unternehmen, deren Interessensverbände und einer zunehmend in wirtschaftlichem Pragmatismus verstrickten Politik mit dem Leitsatz konfrontiert: Du musst MEHR Risiko eingehen! Ein Unternehmen, das Mitarbeiter entlässt, sie mithin ENTsichert und von den Verbliebenen die Aufweichung ihrer Arbeitsplatz-Versicherung fordert, gleichzeitig aber Ihre Information Security in einem hohen Maße kultiviert, kann das Geld für Security Awareness im Grunde direkt aus dem Fenster werfen, wenn es diesen, von den Mitarbeitern zumindest unbewusst wahrgenommenen Widerspruch Risiko versus Security-Kultur nicht offensiv durch geeignete begleitende kommunikative Maßnahmen auflöst. 2. Digitaler Nippes Mehr Risiko bedeutet aber auch mehr Selbstverantwortung und ergibt eine engere Verzahnung von Privatleben und Arbeit. Der Lebensraum wird Arbeitsraum und umgekehrt, die Arbeitsstätte (wenn sie es nicht schon war) zum Lebensmittelpunkt, eine Situation, die u.u. auch mit einer zunehmenden Anonymisierung einhergeht. Was für alle Freiberufler seit jeher Realität darstellt, steht den meisten Angestellten, etwa in Form der sehr trefflich bezeichneten Ich-AG noch bevor. So deuten unsere psychologisch ausgebildeten Berater und Coaches z.b. Passwörter als Brühwürfel für Wünsche. Denn laut einschlägiger Studien, wählen Mitarbeiter an IT-Arbeitsplätzen als Login überwiegend sinnvolle Begriffe und damit schlechte, sprich triviale Passwörter, die noch dazu in der Regel positive Assoziationen vermitteln, z.b. Namen von Partnern, Kindern oder Freunden oder Begriffe, die mit den Begriffsfeldern Urlaub/Reise/Freizeit und Co. verknüpft sind. Wenn nun Passwörter quasi als Medium genutzt werden, um Beziehungen zu stärken oder Emotionen eine Basis zu verleihen, so sagt das sehr viel über die Unternehmenskultur der hiesigen Companies und die (mögliche) Bindungslosigkeit Ihrer Mitarbeiter.

25 25 Man beachte in diesem Zusammenhang auch einmal die Nähe der Bezeichnung Passwort zu Passport (Ausweis)! Nun haben wir aus der Kulturpsychologie über Lebensräume (resp. Arbeitsräume) gelernt, dass der Mensch das Bedürfnis verspürt, seinen Mittelpunkt mehr oder weniger individuell auszugestalten. Kaum ein Büro, in dem nicht auch Fotos der Liebsten Schreibtische zieren oder Aufkleber, Poster, persönliche Kaffeetassen mit eigenem Namenszug ein Besetzt proklamieren. Dies ist der Platz von Hans Schmidt. Hier arbeite ich, habe Erfolge, freue mich und leide. Ich bin Fan von Schalke 04. Und das auf dem Foto ist meine Familie. So oder so ähnlich lauten in der Regel die Botschaften personalisierter Arbeitsplätze. Was das alles mit Information Security zu tun hat? Ein wie oben beschriebenen Gestaltungsdrang hat bereits seit langem auch den digitalen Raum vollständig erfasst: Statt PE oder Baryt in Rahmen sind es nun Bitmaps auf dem Desktop. Gadgets oder private Favoriten im Browser und Mails von und an Freunden. Störstellen, die Security-Verantwortlichen die Haare zu Berge stehen lassen, weil sie für Infrastruktur der IT im Unternehmen ein erhebliches Risiko darstellen. Digitaler Nippes, behaupten die meisten Administratoren (und sind dabei meist selber die schlimmsten Dekorateure ). Unternehmen, die allerdings eine private Ausgestaltung und Nutzung von IT-Arbeitsplätzen untersagen, fördern bei Ihren Mitarbeitern, durch das bloße Verbot der Arbeitsplatzgestaltung ein seelisches Vakuum, das dann durch Verlagerung auf andere Szenarien wieder belebt und bewegt werden will, z.b. durch sinnige und somit triviale Passwörter (s.o.) oder eine Verlebendigung, die sich Sicherheitslücken zunutze macht. 3. Security-Lecks als Verlebendigung Denn gerade dort, wo der mechanische, IT-gestützte Umgang dem zu Routine erstarrten (Arbeits-)Leben auch den letzten Funken an Thrill nimmt, sind z.b. Malware und Cybercrime eine willkommene Abwechslung, die Mitarbeitern zu (Ersatz-)Spannung verhilft, wenn eine solche durch Arbeit bzw. individualisiertem Arbeitsumfeld nicht gewährleistet ist. Unterm Strich ist z.b. die Einladung an einen Hacker, etwa über eine aktive ENTsicherung eines Mitarbeiters, eine äußerst erfolgsversprechende Strategie, Beziehungen zu schaffen. Grundsätzlich ist anzunehmen: Je mehr Security-Policies die Individualität am Arbeitsplatz einschränken, je restriktiver diese gehandhabt werden, umso größer der Wunsch des Einzelnen nach weiterem Spielraum und umso spannender die Wahrnehmung von Sicherheitslücken und das Austesten ihrer Folgen eine Dynamik, die bestimmten Persönlichkeiten offensichtlich einen regelrechten Kick versetzen kann.

26 26 ENTsicherung am Arbeitsplatz - Die geheime Logik der IT/Information Security in Unternehmen Fazit: Unternehmen, die im Falle von Stellenabbau selber ENTsicherung betreiben, die individuelle Ausgestaltung und private Nutzung von IT-Arbeitsplätzen restriktiv behandeln oder über Unternehmenskultur oder den falschen Einsatz von Technologie Anonymisierung fördern, sollten geplante Awareness-Massnahmen zum Thema Security als integrierte Kommunikationskampagne ausrichten, mögliche Widersprüche in ihrer Unternehmenskultur offensiv und transparent anpacken und täten darüber hinaus gut daran, bindungslosen Mitarbeitern Alternativen zur Entfaltung ihrer Persönlichkeit anzubieten - im Idealfall über die maximale Beschleunigung von Selbstverantwortung des Einzelnen. Um die hier beschriebenen und andere Beobachtungen zu verifizieren und weitere psychologische Faktoren auszuloten, die der Optimierung von Awarenessmaßnahmen dienen, wird known_sense im Sommer 2006 und in Kooperation mit psychologischen Marktforschern eine Studie unter dem Arbeitstitel ENTsicherung am Arbeitsplatz - Die geheime Logik der IT/Information Security in Unternehmen produzieren. Die Untersuchung hat zum Ziel, die eigentlichen, wahrscheinlich z. T. unaussprechbaren Aspekte zu ergründen, die im Umgang mit dem Thema IT/Information Security eine Rolle spielen.

27 27 Teil I: Von Außen nach Innen und umgekehrt - Zwei Einsatzszenarien für Securitygames Zwei Beispiele unterschiedlicher Ansätze für die Verwendung des Virusquartetts als Kommunikationstool demonstrieren die Vielfalt der securitygames. Im ersten Teil geht es um die Optimierung externer Kommunikation (hier vor allem Promotion), die aber auch zunehmend nach Innen zu wirken begann. Die GiT Gesellschaft für innovative DV- Technik aus Gelsenkirchen besticht durch eine Gratwanderung bei der Positionierung Ihrer beiden Geschäftsfelder: Einerseits klassisches Systemhaus für das Ruhrgebiet und das immerhin seit einem viertel Jahrhundert. Andererseits als Entwickler und Anbieter von INTEGRA Immobilienmanagement, einer international bekannten Premium-Software für das Immobilien-Management. an derartige Riesen. Ein solches Image bedurfte der Korrektur, da das klassische Systemhausgeschäft zunehmend auch von kleineren und mittleren Unternehmen profitiert, die mit hoch spezialisierter Positionierung als sehr IT-affin eingestuft werden müssen. In diesem Zusammenhang haben sich neben klassischen auch Below-the-Line-Aktivitäten angeboten. Giveaway mit Sinn und Herz Aufgrund der langen Tradition der GiT am Standort Gelsenkirchen ist zwar die Bekanntheit hoch. Jedoch ist das exakte Produktportfolio vielen jüngeren Unternehmen kaum bekannt, da die GiT vor dem Hintergrund ihrer Erfolge mit INTEGRA nicht selten als etwas unnahbare Hightech-Schmiede gesehen wird. Auch bei der Auswertung der Kundenakquise im Bereich der IT-Systeme zeigte sich regelmäßig, dass die GiT eher als IT- Dienstleister für größere Unternehmen mit Markenpotenzial galt. Kein Wunder, dass bei einem Kundenportfolio, zu dem u.a. Aral, BP, E.ON, Lueg, Ruhr Oel, Veba oder die WAZ-Gruppe gehören, vor allem kleine Unternehmen annahmen, das Angebot der GiT richte sich in erster Linie Für einen GiT-Messeauftritt, einem Heimspiel in der VeltinsArena (damals Arena AufSchalke) entwickelten wir als Kommunikationsagentur der GiT 2004 schließlich die erste Auflage des Virusquartetts Computer-Luder, ein durch den Kölner Künstler und Musiker Jo Zimmermann enigmatisch illustriertes Quartett-Kartenspiel, mit dem man - anstatt traditionell über Autos oder Tier - hier nun mit den 32 bekanntesten Viren der letzten beiden Dekaden trumpfen kann (siehe Die GIT wollte dort in erster Linie ihre Kompetenz im Netzwerk-Bereich demonstrieren und hatte als Door Opener und Key Visual hinsichtlich der Messekommunikation das Thema Security gewählt.

28 28 Zu dieser Zeit war Sasser der erste Virus, über den sogar die Tagesschau an der Pole-Position berichtete. So war es dann auch ein leichtes, die bereits sensibilisierten Besucher durch das Promotionteam, das das Kartenspiel samt Broschüre verteilte, in einen Dialog über das Thema zu führen oder gar an den Stand der GiT, an dem ihre Berater die einmal begonnene Kommunikation zum Thema fortsetzen und so den Kontakt zu zahlreichen potenziellen Neukunden intensivieren konnten. Während der dreitägigen Messe und eines kurz darauf folgenden regionalen Business-Events wurden ca Kartenspiele verteilt. Allerdings nicht als reine Streuartikel, etwa losgelöst von kommunikativer Begleitung, sondern immer im Kontext weiterer Medien und der Ansprache von Profis. Auffallend, dass nahezu jeder Besucher voll des Lobes für das Werbegeschenk war, und zwar unabhängig von dem jeweiligen Wissenstand: IT-Profis sahen in dem Spiel die positive Bestätigung ihrer Arbeit und der ihrer Kollegen und stellten vor allem den Edutainment-Charakter heraus, über den Sie Kunden wie Kollegen, Familienmitglieder und Freunde über das Thema IT-Security besser aufgeklärt sehen. Laien freuten sich über die didaktisch-systematische Herangehensweise und stellten überwiegend fest, über das Virusquartett einen gelungenen Einstieg in das Thema erhalten zu haben, der nach einer Fundierung schreit. Interessierte Vorgebildete, die goldene Mitte, sprich: die überwiegende Anzahl der Besucher, entdeckten zahlreiche Information, die sie noch nicht kannten (bzw. aufbereitet in dieser Form noch nicht kannten), und speisten vor allem die von den GiT gewünschte Zielgruppe potenzieller Neukunden. Unerwartet großes Medieninteresse Über diese Event-Promotion hinaus kam es zu weiteren Aktionen mit Medienpartnern, bei denen das Virusquartett als Preis ausgelobt wurde. Außerdem zu einer Mailingaktion an GiT Bestandskunden aus Gründen der Kundenbindung sowie zu einem großflächigen PR-Aussand mit dem Ergebnis von mehr als 50 Clippings aus Tageszeitungen (z.b. WAZ, Süddeutsche Zeitung), Fachzeitschriften (z.b. Brand eins), TV- und Hörfunkanstalten (z.b. RTL, BR) und Publikumstiteln (z.b. Der Spiegel, Manager-Magazin, menshealth). Hans-Jürgen Wolff, Geschäftsführer der GiT sagt: Wir haben durch das Spiel unsere Bekanntheit eindeutig gesteigert und sind nun wieder bei größeren wie kleineren Unternehmen als Anbieter von Security-Lösungen jeglicher Skalierung im Gespräch. Aber auch unsere Mitarbeiter sind um Schuhbreite gewachsen, weil Sie einerseits über ein Giveaway verfügen, das einen direkten Bezug zu Ihrem Job und den Angeboten ihres Arbeitgebers aufweist, sich aber auch andererseits über die PR freuen, die sehr stark bei der Identifikation mit dem Unternehmen hilft.

29 29 Futter für die Seele Ein weiterer Benefit der Securitygames als Promotion und Awareness-Tool liegt in dem Ansatz der seelischen Behandlung. Die meisten Lösungsanbieter setzen in ihrer Kommunikation auf technologische, juristische und betriebswirtschaftliche Aspekte und vernachlässigen die sozialen bzw. psychologischen. Die ursprünglich rationale Argumentation wird dort, wo sie nicht weiterhilft, durch moralisierende flankiert, so dass der Kunde in ein Vakuum zu fallen droht zwischen den Polen der reinen technokratischen Information, die er oft nicht oder nur unvollständig versteht, und zunehmend unangenehmen Bedrohungsszenarien. Aus dieser Zwickmühle führt ein Mix, der auch die seelischen Bedürfnisse der Kunden in den Mittelpunkt stellt mit all der Technologie-Faszination, aber auch mit den möglichen Gefahren und Abgründen. Die Lösung liegt hier also nicht in einer Zuspitzung von Angst durch Druck, sondern in einer Auflösung des Schreckens durch Benennung, Visualisierung und Systematisierung möglicher Risiken, bzgl. Malware, z.b. durch Transformation der abstrakten Virenwelt in bekannte Alltagsstrukturen, etwa durch Personifizierung, oder indem man den Feinden ein Gesicht verleiht - so wie durch die assoziativen Illustrationen in unserem Quartett Ein solcher Ansatz schafft Aufmerksamkeit und entlastet das Thema von der Übermacht des Potenziellen, die ein Bremsklotz für jede kommunikative Dynamik darstellt. Im zweiten Teil, der ab Februar 2006 zur Verfügung steht, geht es um einen Finanzdienstleister und um seine Mitarbeiter-Sensibilisierung, die durch ein Securitygame begleitet wurde.

30 30 Teil II: Von Außen nach Innen und umgekehrt - Zwei Einsatzszenarien für Securitygames Nachdem im ersten Teil der Nutzen des Kartenspiels für die externe Kommunikation in Form von Messe Promotion unseres Agenturkunden GiT beschrieben wurde, geht es im folgenden um die Optimierung der internen Kommunikation eines Finanzdienstleisters und eben um das Schlagwort Security-Awareness. Unser Kunde, der ungenannt bleiben möchte, wurde Anfang 2005 aufgrund der zahlreichen positiven Medienberichte über das Virusquartett auf uns aufmerksam. Er stand kurz vor der Einführung einer sehr umfangreichen Security-Policie. Die Implementierung sollte, um Aufmerksamkeit und Akzeptanz bei den Mitarbeiten (Anzahl im unteren vierstelligen Bereich) zu erzielen, durch eine Plakatkampagne begleitet werden. Die Realisation dieser Kampagne wurde über die Köpfe der für die Security- Policie verantwortlichen IT-Abteilung hinweg durch das unternehmensinterne Marketing an die Hausagentur delegiert. Kurz vor dem geplanten Launch konnten die IT-Verantwortlichen die Unternehmensführung von der mangelnden Kompatibilität der Kampagnen mit ihren ursprünglichen Zielen überzeugen. Diese würde in ihrer Intention ganz offen mit allzu moralischen Bildern arbeiten, die zu sehr auf Droh- bzw. Bestrafungsszenarien (im Falle der Nichteinhaltung der Policie) setzen.so wurden die 8 Entwürfe, an denen mehr als ein halbes Jahr gearbeitet wurde, eingestampft. Die Aufgabe: Erste Hilfe auf Low-Budget- Basis Als Ersatz wurde known_sense ins kalte Kampagnen-Wasser geworfen. Nach dem Briefing ging es uns in etwa so, wie man es z.z. von der gesamten deutschen Ärzteschaft vernehmen kann: Man kommt mit einer Tasche voller neuer, schöner und scharfer Skalpelle in eine Ambulanz mit nahezu unheilbaren Patienten, die dazu über keinerlei Kassenbonität verfügen. Denn die ziemlich schnörkellos gestellte Aufgabe lautete in etwa: Entweder ihr gestaltet uns innerhalb von nicht ganz vier Wochen eine kommunikative Begleitung der Policie-Implementierung, z.b. auf Basis des bereits vorhanden Kartenspiels, oder wir geben die Unterlagen ganz ohne Rahmenkampagne aus. Oder anders: Wie erzeugt man angesichts der knappen Zeitressourcen eine sinnvolle Belebung der Mitarbeiter-Kommunikation? Eine Belebung, die zu einem konstruktiven Feedback an die Policie-Produzenten führt? Eine, die auch speziell diesen hilft, das Security-Management dynamisch weiter zu entwickeln?

31 31 Das alles zu einem Etat, der aufgrund der bereits verworfenen Kampagne auf knapp 20% der ursprünglichen Summe eingedampft war. Step 1: Basis erspüren und Propaganda- Felder aussäen Was war also zu tun? Wir konnten und mussten nicht lange über Konzepte nachdenken und mischten uns nach und zwischen den Briefings zunächst 2 halbe Tage lang unter die Mitarbeiterschaft, loteten deren Arbeitsräume aus, beobachteten die Menschen en passant bei ihren Jobs und ihrer Kommunikation und unterhielten uns auf einer zunächst ganz unverbindlichen Ebene mit Ihnen, z.b. in der Mensa oder während der Kaffee- und Zigarettenpausen. Anschließend luden wir sie kurzfristig und ganz offiziell zu Workshops ein und erarbeiten nach einem Warm-up, bei dem u.a. auch das Virusquartett erstmals vorgestellt wurde, gemeinsam mit ihnen auf Basis der Policie erste Entwürfe für Leitsätze zur Security-Kultur des Unternehmens. Denn die Policie beschrieb sehr ausführlich, wer was wie und wann zu tun oder zu lassen hat - man hatte allerdings vergessen, die essentiellen Inhalte auf Kernsätze zu fokussieren, die auch außerhalb der IT-Abteilung verstanden und umgesetzt werden konnten, die memorierbar sind und sich darüber hinaus auch innerhalb verschiedener Medien einer begleitenden Kampagne als Claims bzw. Slogans eigneten. Step 2: Visuelle Brücken schaffen Aufmerksamkeit Die durch die IT-verantwortlichen und Unternehmensführung bearbeiteten Leitsätze publizierten wir gemeinsam mit Verweise auf die ausführlichere Darstellung in der Policie im Rahmen eines kleinformatigen, aber auffällig gestalteten Leporellos, der in der Verpackung des Virusquartetts an jeden Mitarbeiter ausgegeben wurde. Hierbei kam uns der enge Zeitrahmen sehr entgegen, denn die jeweiligen Abnahmen durch die Entscheider wurden ungewohnt kurzfristig erledigt. Während synchron hierzu die Policie über das Intranet publiziert wurde, suchten wir als Vertriebsort für das Spiel mit Leporello eine Location aus, die jeder Mitarbeiter wenigstens einmal pro Woche aufsucht: Die unternehmenseigene Mensa, in der unser Tool gemeinsam mit Essensmarken ausgegeben wurde. Hier erhielten Spiel und Leitsätze eine wesentlich höhere Aufmerksamkeit als bei einem Vertrieb über Auslage an den jeweiligen Arbeitsplätzen. Denn dort hätte sich das Produkt der Konkurrenz aktueller Jobprojekte oder stets verfügbarer Medien wie Inter- und Intranet erwehren müssen.

32 32 Als visuelle Reminder wurden darüber hinaus Auszüge aus den Leitsätzen als so genannte Security-Tags auf den gebrandeten Kartenrückseiten des Virusquartetts und in der Woche des Launchs auch auf Essensmarken und Mensa-Tischsets gedruckt. Die typographisch markanten und visuell durchaus attraktiven Tags waren unverwechselbar mit den Leitsätzen und der Implementierung der Policie verknüpft und erhielten so einen gewissen Logo-Charakter. Wir druckten die Tags auch auf einem Laserdrucker auf A-4-Seiten aus, die wir innerhalb des Unternehmens verteilten, indem wir sie an schwarze Bretter hefteten oder an belebten Locations kommentarlos mit Tesafilm an Wände und Türen klebten. So wurde eine Brücke zwischen den Arbeitsräumen, dem Spiel und der damit verknüpften Policie geschaffen, die auf die (wenn auch unbewusste Wahrnehmung) der neuen Sicherheitsstandards abzielte - eine Maßnahme, die angesichts des geringen Etats eine kostengünstige, aber durchaus effiziente Alternative zu einer neuen, wahrscheinlich auch weitaus aufwendigeren Plakatkampagne darstellte. Nachdem das Spiel von nahezu allen Mitarbeitern äußerst positiv aufgenommen worden war, implementierten wir eine Online-Variante innerhalb des Intranets. Die Sieger der Online-Trumpfspiele wurden geranked. Die Motivation, zu spielen und (in möglichst kurzer Zeit) zu gewinnen wurde durch die Unternehmensleitung noch forciert, indem für Wochen- und Monatsbeste spontan attraktive Incentives ausgelobt wurden. Und auch im Intranet fungierten die bereits eingeführten Security-Tags als Reminder, quasi in Form assoziativer Illustration (in Sinne einer rein visuellen Duftmarke) ohne tatsächlichen inhaltlichen Kontext in Bezug auf die einzelnen Text-Beiträge. Step 3: Integration des Unternehmensumfelds Dass Security-Kultur eines Unternehmens auch außerhalb der räumlichen Basis wirkt, wissen vor allem diejenigen, die intensiv auf Mitarbeiter mit mobilem Equipment setzen. Mitarbeiter, die ihre mobilen Geräte auch zuhause oder unterwegs in Hotels bzw. bei Kunden nutzen. Security kann eben nicht wie ein Ausweis oder Schlüssel beim Verlassen der Firma an Werkspforten abgegeben werden. Und so, wie mobile Geräte aus den Unternehmen um den Globus geschickt werden, verbreite sich auch das Virusquartett bei Familien, Freunden, Kunden oder Geschäftspartnern unseres Kunden und erweckte Neugier.

33 33 Aus diesem Grund wurde in Step 3 auf ausdrücklichen Wunsch der Mitarbeiterschaft eine 2. Auflage des Kartenspiels produziert, aus der jeder Mitarbeiter eine Hand voll Spiele ausdrücklich an sein privates wie geschäftliches Umfeld abgeben konnte - wohlgemerkt nicht als klassisches Giveaway mit hohem Streufaktor und entsprechendem Werbewert, aber immerhin (quantitativ) mit einer ausreichenden Quote und (qualitativ) mit sichtbarer Leidenschaft, die auch das Umfeld spüren ließ, dass das Unternehmen Security-Kultur nun intensiver lebte als zuvor. So wurde aus einem Instrument, das zunächst ausschließlich für den internen Einsatz vorgesehen war, Schritt für Schritt ein (wenn auch limitiertes) Promotionstool, eine Dynamik, über die - exakt umgekehrt - bereits im ersten Teil dieser Story berichtet wurde. Da known_sense diese Awareness-Maßnahme bisher lediglich als Kreationsinkubator begleitet hat, können wir an dieser Stelle keine verbindliche Auskunft über einen möglichen messbaren Erfolg abgeben. Dass man bei unserem Kunden durchaus von einem Erfolg ausgeht, beweist die aktuelle Anfrage, die Kampagne in Kürze fortzusetzen - diesmal glücklicherweise nicht als Notaufnahme, sondern in Form einer Prophylaxe mit dem beruhigenden Wissen um die (relative) Gesundheit des Patienten. Autor: Dietmar Pokoyski ist Inhaber von known_sense (Köln), Agentur für Identity, Kreation, Kommunikation und Knowledge Management. Seit 2004 produziert er auch Kommunikations- und Awareness-Tools für den Bereich der IT-Security, u.a. das Virusquartett.

34 34 Security Awareness im Unternehmen - Security Awareness Kampagnen In wachsendem Maße rückt - aus gutem Grund - die Sensibilisierung der IT-Nutzer in den Fokus der Informationssicherheit. Zahlreiche Unternehmen haben Maßnahmen ergriffen, um ihre Mitarbeiter zu einem angemessenen Umgang mit den ihnen anvertrauten Informationen und der Informationstechnik anzuleiten und zu motivieren. Da diese Maßnahmen auf Einstellungs- und Verhaltensänderungen zielen, reichen isolierte Einzelaktionen in der Regel nicht aus - erst eine systematische Bündelung thematisch fokussierter Maßnahmen unter dem Dach einer Security Awareness Kampagne kann diesen Anspruch erfüllen. Die Bedrohung von IT-Infrastrukturen hat sich in den vergangenen fünf Jahren explosionsartig entwickelt. Wie aktuelle Zahlen zeigen, vervielfachten sich im vergangenen Jahr sowohl die Zahl der entdeckten Sicherheitslücken als auch die neuer Viren und Würmer. Letztere werden inzwischen wie Spam Nachrichten über infizierte Privat-PCs, so genannte Zombie -Rechner verbreitet. Bisher haben die in Unternehmen und Behörden eingerichteten technischen Hürden wie Virenscanner und Firewalls den Angriffen zumeist Stand gehalten. Es gibt jedoch keine Anzeichen dafuer, dass die Entwicklung der Bedrohungen an Geschwindigkeit verliert. Daher ist absehbar, dass auch die errichteten Schutzwälle eines Tages versagen können: Ein perfider Virus könnte, genügend schnell verbreitet, die Schutzwälle vor der Aktualisierung überwinden und erhebliche Schäden anrichten. Noch bedenklicher stimmt, dass fast alle bekannt gewordenen spektakulären Schäden von eigenen Mitarbeitern oder Dienstleistern verursacht wurden, die Schaden stiftende Software über ihre Laptops ins interne Netz einschleusten. Solche Bypässe an der Firewall vorbei entsprechen einer offenen Hintertüre, die alle Schutzmaßnahmen am Haupteingang ad absurdum führt. Die Ursache solcher Sicherheitslücken ist dabei in der Regel nicht in der Technik zu finden - sondern im leichtsinnigen Verhalten der IT-Nutzer. Auch die zunehmende Mobilität begrenzt die Wirksamkeit zentraler Sicherheitsbarrieren: In wachsendem Umfang werden auch auf mobilen Geräten (Laptops, PDAs, Handys) sensible Unternehmensdaten verarbeitet und mit den internen Systemen ausgetauscht. Damit steigen sowohl die Zahl der Verbreitungswege als auch die der Bypässe. Angesichts dieser Entwicklung werden die Mitarbeiter, lange Zeit als größter Risikofaktor identifiziert, zur letzten Bastion beim Schutz der Unternehmensdaten. Aktuelle Umfragen zeigen, dass dies von

35 35 den meisten Sicherheitsverantwortlichen auch so gesehen wird - gleich nach den Klagen über zu geringe Budgets folgt die mangelhafte Sensibilisierung der Nutzer als größtes Hindernis für eine effektive IT-Sicherheit in deutschen Unternehmen. Konsequenter Weise wird die Verbesserung des Sicherheitsbewusstseins als dringendste strategische Maßnahme für 2005 gesehen (Deutschland: 58 % der Befragten). Viele Unternehmen haben bereits in den vergangenen Jahren intensiv in die Sensibilisierung ihrer Mitarbeiter investiert. Am wirkungsvollsten waren dabei umfassende Awareness Kampagnen, die darauf zielten, Maßnahmen der Informationssicherheit aus der ungeliebten Ecke der Verhinderer heraus zu holen und positiv zu besetzen, idealer Weise sogar als Professionalitäts- und Qualitätsmerkmal im Unternehmen zu verankern. Wichtig dabei war die Ansprache der Mitarbeiter auf unterschiedlichen Ebenen: neben der sachlich-kognitiven Ebene zur Vermittlung des für die eigene Urteilsfähigkeit erforderlichen Grundwissens und die Schaffung von Verständnis für getroffene Maßnahmen und Regeln, spielte die emotional affektive Ebene eine zentrale Rolle: durch Bilder, Claims und Aktionszeichen wurde die Informationssicherheit emotional positiv besetzt. In einigen Unternehmen wurde die Kampagne auch um andere Aspekte der Unternehmenssicherheit - Corporate Security, Datenschutz, Arbeitsschutz, Risk Management/Compliance - erweitert und dadurch in ihrer Wirkung verstärkt. In diesem Jahr findet am auf dem Karlsruher Security Awareness Symposium 2006 des Beratungsunternehmens Secorvo der vierte Erfahrungsaustausch von für Security Awareness Verantwortlichen statt. Zahlreiche Unternehmen, darunter DAK, T-Systems und Swiss Re, werden in diesem Rahmen ihre Awareness-Aktivitäten einem Fachpublikum präsentieren und zur Diskussion stellen. Eine begleitende Ausstellung dient dem Austausch von Ideen ( Markt der Möglichkeiten ). Denn eines haben die zahlreichen Unternehmenskampagnen gemeinsam: Der Einfallsreichtum der Verantwortlichen ist einer der wesentlichen Erfolgsfaktoren. Programm und Online-Anmeldung unter: Autor: Dirk Fox ist Geschäftsführer der Secorvo Security Consulting GmbH, Herausgeber der Fachzeitschrift Datenschutz und Datensicherheit und seit 2004 Leiter des Arbeitskreises Sicherheit des eco - Verband der deutschen Internetwirtschaft e.v.

36 36 Rückblick 3. Security Awareness Symposium, Karlsruhe Warum kann Sicherheit nicht nach dem Prinzip Risiken mit entsprechenden Maßnahmen bekämpfen abschließend gewährleistet werden? Sicherheit ist ein Prozess, die Gefahren und Risiken ändern ständig; entsprechend sind die Maßnahmen darauf auszurichten. Sture Weisungen und eingeschüchtertes Personal helfen dabei wenig, die Maßnahmen den Risiken anzupassen. Zudem wird (IT-) Sicherheit immer noch oft als sehr technische Disziplin verstanden, was grundsätzlich bedeutet, das Pferd vom Schwanz her aufzuzäumen. Zwei spannende Tage darüber, wie das Sicherheitsbewusstsein von Mitarbeitern im Unternehmen gefestigt und weiter ausgebaut werden kann - das war der Grundtenor des 3. Security Awareness Symposium, veranstaltet durch Secorvo in Karlsruhe. Um die 40 Teilnehmer konnten sich in Vorträgen über Security Awareness Kampagnen informieren und tauschten sich während der Pausen und am Abend rege aus. Nichts ist wohl besser, als Gleichgesinnte an einem Tisch zu versammeln. Nur so können laufende und geplante Kampagne optimiert und angepasst werden. Themen wie Socal Engineering wurden ebenso angesprochen, wie die Integration eines jeden Mitarbeiters - ob Werkhalle oder Vorstandsetage in Security Awareness Kampagnen. Herbert Ehses von der BOSCH Sicherheitssysteme präsentierte die vor Ort laufende Kampagne Be Secure. Be better., berichtete Über Maßnahmen einer effizienten Umsetzung und stellte den Teilnehmern die Werkzeuge, welche BOSCH für sich in der Kampagnenumsetzung zu Nutze gemacht hatte. Ehses brachte das Ziel von Security Awareness-Kampagnen auf den Punkt: Informieren - Motivieren - Sensibilisieren. Hierbei ist dann eben das Wie entscheidende Größe. Aufkärend versuchte Prof. Dr. Konrad Zerr von der Fachhochschule Pforzheim das Thema der Evaluation und Erfolgskontrolle von Security Awareness Kampagnen ahe zu bringen. Hier stieß man jedoch schnell an Grenzen, nehmen doch Evaluation und Erfolgskontrolle viel Zeit in Anspruch - Zeit, welche man sicherlich hier und da effektiver einsetzen kann. Glücklicherweise blieb den Teilnehmern ein Ausblick auf den viel diskutierten ROSI (Return-onsecurity-investment) erspaart. Eine Erfolgskontrolle muss gut geplant und zum richtigen Zeitpunkt durchgeführt werden - diese kann jedoch nur sehr schwer ausgemacht werden.

37 37 Spannend dann wieder am zweiten Seminartag die Präsentationen der Novartis AG aus Basel und der SAP AG aus Walldorf. Franziska De Rosa stellte das ISEC Training und die Awareness-Kampagne SAM, Klaus Schimmer Maßnahmen und Kampagnenbausteine der SAP AG vor. Und Novartis punktete durch ein sehr ausgefeiltes Konzept, zog alle Register einer erfolgreichen Security Awareness Kampagne. Von einem Aufklärungsvideo, über Schulungsmaßnahmen, Online Security-Redaktion für den speziellen Intranet- Auftritt bis hin zum webbasierten Training war - wie allerding auch bei vielen Anderen - alles Vertreten. Gerade bei der Integration neuer Mitarbeier durch Merger, wie bei der Novartis durch die Übernahme der HEXAL, muss auf aber auch auf regionale Gegebenheiten ebenso wie auf Kulturunterschiede eingegangen werden. Schimmer ging sehr stark darauf ein, wie man auch innerhalb einer laufenden Kampagne sehr gut auf innerbetriebliche Vorgehen reagieren kann und muß. Beispiel war die Maulwurf -Aktion in der auf das Thema Betriebsspionage aus einem aktuellen Fall bei der SAP AG spontan und kreativ eingegangen wurde. Die eingesetzten Maßnahmen bleiben jedoch bekannten wie auch präsentierten Kampagnen-Beispielen ähnlich: Eigene WebSite mit Infos, Tipps und der Security Policy zum Nachlesen; Posteraktionen; Infosesions; Broschüren; -newsletter und Filmeinsatz.

38 38 Schwierig in der gesamten Betrachtung über alle Kampagnen hinweg einzuschätzen und ab zuwägen ist der Erfolg. Alle drei präsentierten Kampagnen befinden sich gerade im Einsatz. Hinweis: Die Dokumentation des 3. Security Awareness Symposium können direkt bei Secorvo unter 0721/ oder bestellt werden. Zum Abschluß des Symposiums dann der Vortrag von Dirk Fox, Geschäftsführer der Secorvo GmbH: Der Fisch stinkt immer vom Kopf oder: Wie gewinne ich das Management? Alle Teilnehmer waren sich zum Ende einig: Sicherheit muss unbedingt als Prozess verstanden werden. Abschließend kann gesagt werden: 1. Eine Sicherstellung und Umsetzung der Security Policy kann nur dann erfolgen, wenn Managementebene das Vorhaben trägt und verinnerlicht. 2. Alle Mitarbeiter müssen in Security- Themen involviert und in bzw. durch Kampagnen integriert werden. 3. IT-Sicherheit gehört zur Unternehmenskultur und muss auch dementsprechend vorgelebt werden. 4. Budgeteinsatz und -kontrolle sind zwingend in Security Awareness Kampagnen notwendig und 5. Security Awareness Kampagnen bleiben derzeit noch ein Werkzeug zur Mitarbeitersensibilisierung in der Industrie und großen Unternehmen der Mittelstand wird wohl noch ein wenig Außen vor bleiben.

39 39 Security Awareness - Interview mit Dirk Fox, Secorvo GmbH Securitymanager.de (SEC): 1. Herr Fox, avanciert Security Awareness zum Modewort der Beraterbranche? Fox: Schön wäre es, dann würden vielleicht auch diejenigen Verantwortlichen auf das Thema aufmerksam, die ihre IT- Mitarbeiter bislang eher als strukturelles Sicherheitsrisiko wahrnehmen - und oft auch entsprechend behandeln, indem sie Sicherheitsmaßnahmen ohne Motivation der Betroffenen allein technisch durchzusetzen versuchen. Aber im Ernst: Tatsächlich entsteht das Mitarbeiterrisiko überwiegend erst durch die leider verbreitete technische Fokussierung: Vermittelt man die Wichtigkeit hinreichend komplexer Passworte nicht überzeugend, erzwingt sie aber via Betriebssystem, finden die Passworte sich meist aufgeschrieben unter der Schreibtischablage, in der obersten Schublade oder, besonders raffiniert, im Telefonverzeichnis auf dem Schreibtisch. Immerhin haben in einer repräsentativen Umfrage im Spätsommer des vergangenen Jahres 50% der befragten Security Officers die Sensibilisierung ihrer Mitarbeiter für Informationssicherheit ganz oben auf ihre Agenda für 2005 gesetzt - bei den deutschen Befragten lag die Quote sogar bei 58%. Das zeigt, dass die Bedeutung des Themas inzwischen von den Verantwortlichen gesehen wird: Eine nachhaltige Verbesserung des Sicherheitsbewusstseins ist in vielen Unternehmen heute zur elementaren Voraussetzung für die Stabilisierung oder Steigerung des erreichten Sicherheitsniveaus geworden. SEC: 2. Könnte ein ausgeprägtes Sicherheitsbewusstsein der Mitarbeiter eine Firewall und andere IT-Sicherheitslösungen ersetzen? Man spricht ja auch von einer menschlichen Firewall... Fox: Nein, dass sicherlich nicht. Technische und organisatorische Sicherheitsmechanismen sind weiterhin unverzichtbar und werden auch in Zukunft eine zentrale Rolle in jedem Sicherheitskonzept spielen. Sie stoßen allerdings an Grenzen: Ohne eine Mitwirkung der Nutzer können viele technische Sicherheitsmaßnahmen heute nicht mehr wirksam eingeführt werden. Bei komplexen Passworten ist die Bedeutung der aktiven Mitwirkung der Nutzer offensichtlich. Nehmen Sie aber z.b. die Verschlüsselung von s: Selbst bei einer noch so komfortablen Lösung werden IT-Nutzer den zusätzlichen Aufwand, die Verschlüsselung einer Nachricht durch Mausklick zu aktivieren, nur dann bewusst annehmen, wenn sie von Nutzen und Notwendigkeit dieser Maßnahme überzeugt sind.

40 40 Noch deutlicher wird es beim Vorfallsmanagement: Versagt ein technisches Schutzschild, z.b. weil ein neuer, besonders perfider Virus ins Unternehmensnetz eindringen kann, bevor die Scanner ihn abfangen können, können nur noch die Mitarbeiter durch richtiges Verhalten den Schaden begrenzen. Das Bild der menschlichen Firewall ist daher so falsch nicht - die Mitarbeiter sind in vielen Fällen die letzte Bastion. SEC: 3. Wann sollten Unternehmen Security Awareness Kampagnen starten? Fox: Dafür gibt es nicht den perfekten Zeitpunkt - wohl aber Ausschlusskriterien. Ein Kampagnenstart in der Urlaubszeit oder am Jahresende verpufft, auch sollte die Kampagne zeitlich nicht mit anderen internen Kommunikationsthemen kollidieren. Daher ist eine enge Einbindung der Unternehmenskommunikation sehr wichtig. In vielen Unternehmen ist das Frühjahr ein guter Starttermin: Vor der Sommerpause werden die meisten Mitarbeiter erreicht, und die Kampagne konkurriert nicht mit dem häufig besonders arbeitsintensiven Endjahresgeschäft. SEC: 4. Wo (in welchem Unternehmensbereich) ist das Thema Security Awareness am besten aufgehoben? Fox: Idealerweise wird das Thema von verschiedenen Unternehmensbereichen getragen, wie der Unternehmenssicherheit (Werksschutz, ggf. auch Arbeitsschutz), der IT-Sicherheit, dem Risk-Management, dem Datenschutz und der Unternehmenskommunikation. In vielen mir bekannten Fällen war die IT-Sicherheit der Treiber des Themas; besonders erfolgreich waren jedoch die Kampagnen, für die mehrere Unternehmensbereiche gewonnen werden konnten. Denn viele Mitarbeiter assoziieren mit dem Begriff Sicherheit sehr unterschiedliche Aspekte - Unterscheidungen wie Safety und Security, IT- Sicherheit und Informationssicherheit sind aus dieser Perspektive rein akademisch. Vor allem aber ist die Einbindung der Unternehmenskommunikation von Bedeutung: Richtig verstanden stärkt eine Awareness-Kampagne nämlich nicht nur das Sicherheitsniveau, sondern sorgt auch für eine Stärkung des Wir -Gefühls. SEC: 5. Mit welchem personellen und finanziellen Mitteleinsatz muss ein Unternehmen für Security Awareness im Jahr oder für eine Kampagne rechnen? Fox: Das hängt vom Umfang der Kampagne ab. Schon mit kleinen, gezielten und koordinierten Maßnahmen lässt sich viel bewirken, wenn sie mit Bedacht ausgewählt werden. Dazu braucht ein kleines oder mittelständisches Unternehmen kein großes Budget, sondern vor allem gute Ideen. In größeren Unternehmen mit mehreren bis über Mitarbeitern sind die Maßnahmen zur Erreichung aller Mitarbeiter unvermeidlich aufwändiger. Im Schnitt lagen die Kosten der mir bekannten Kampagnen zwischen 120 und 350 Tc, zuzüglich interner Aufwände.

41 41 SEC: 6. Kann man z.b. durch eine Evaluation der Maßnahmen oder andere Instrumente bestimmen, wann sich der Mitteleinsatz gerechnet hat? Gibt es einen bestimmbaren ROI bzw. ROSI? Fox: Es gibt Ansätze für eine wissenschaftliche Evaluierung, die wir derzeit erstmalig in einer Kampagne umsetzen. Sie basiert auf Befragungen der Mitarbeiter vor, während und nach der Kampagne, die Rückschlüsse auf die Änderung von Einstellungen und Überzeugungen zulassen. Das liefert natürlich keinen ROI - aber der lässt sich nach meiner Überzeugung ohnehin bei Sicherheitsmaßnahmen nicht quantifizieren. Wohl aber kann man durch eine solche Evaluierung belegen, welche Wirkung mit der Investition in die Kampagne erzielt wurde. Als Messgrößen können aber auch andere Daten heran gezogen werden, die eine Aussage über die Kampagnenwirkung zulassen, wie z.b. die Zahl der Beteiligten an aktiven Kampagnenelementen wie einem Preisausschreiben, die Zunahme der Zahl der regelmäßigen Zugriffe auf die Intranet-Seiten zu Sicherheitsthemen, der Rückgang der Zahl schlechter Passworte oder die Abnahme von Beanstandungen des Werksschutzes. Einige Unternehmen intensivieren begleitend zu ihrer Awareness-Kampagne die Sicherheitsaudits - auch damit lässt sich die Veränderung im Sicherheitsniveau aussagekräftig messen. Fox: Security Awareness stellt an die IT- Sicherheitsbranche neue Herausforderungen sowohl in fachlicher Hinsicht als auch im Hinblick auf die soziale und kommunikative Kompetenz. Denn tiefes Technik-Know-How hilft hier nicht weiter - da sind ganz andere Fähigkeiten, Erfahrungen und Kreativität gefordert. Daher glaube ich nicht, dass das Thema die Zukunft der IT-Sicherheitsbranche ist - zumal die anderen Themen der IT-Sicherheit ja nicht an Bedeutung verlieren. Die größte Herausforderung stellt sich aber für die Sicherheitsverantwortlichen der Unternehmen - und bietet zugleich die riesige Chance, mit Awareness- Maßnahmen aus der Schmuddelecke der Verhinderer und Bremser heraus zu kommen. Ihnen möchte ich am liebsten zurufen: Seid kreativ! Seid unkonventionell! Seid mutig! Denn der mit einer gut gemachten Awareness-Kampagne einher gehende Image-Gewinn des Themas Informationssicherheit im Unternehmen ist nach meiner Erfahrung riesig - und in seiner Bedeutung für das Sicherheitsniveau kaum zu überschätzen. Securitymanager.de bedankt sich für das Interview! SEC: 7. Ist Security Awareness die Zukunft im IT-Sicherheitsgeschäft? Was geben Sie Unternehmen in Bezug auf Security Awareness mit auf den Weg?

42 42 Sicherheitskultur nachhaltig fördern Wer sich mit Informationssicherheit befasst, kommt nicht umhin, neben technischen Lösungen auch menschlich-psychologische Faktoren zu berücksichtigen. Jedes Sicherheitskonzept ist nur so gut, wie es umgesetzt und eingehalten wird. Vorschriften und Regeln, wie sie von allen Security Standards und Regulatorien gefordert werden, sind deshalb unumgänglich. Damit ist es aber noch nicht getan. Informationssicherheit ist unter anderem eine Frage der Kultur. Die Macht der Gewohnheit Das Anschnallen im Auto gehört in unseren Breitengraden zur Verkehrssicherheitskultur. Wir tun es jeweils nicht aus einer fundierten Risiko-Betrachtung heraus, sondern unbewusst, reflexartig, weil man s halt macht. In analoger Weise spielen kulturelle Faktoren bei der Informationssicherheit eine wichtige Rolle. Es geht dabei um kollektive Werte und Einstellungen, welche das Umsetzen und Aufrechterhalten einer konsequenten Sicherheitspolitik beeinflussen. Zu diesen kulturellen Faktoren gehören beispielsweise das Qualitätsbewusstsein, die Loyalität zur Firma, der Umgang mit unbekannten Kommunikationspartnern und die Ordnung am Arbeitsplatz.

43 43 Unternehmenskultur Die Informationssicherheitskultur ist Teil der jeweiligen Unternehmenskultur und wird von der Branche und der gesellschaftlichen Umgebung mitgeprägt. Sie kann nicht vollständig durch einen objektiven Schutzbedarf begründet werden. So kommt es durchaus vor, dass die Mitarbeitenden der Firma A den PC als reines Arbeitsinstrument betrachten, während es innerhalb der gleich gelagerten Firma B einen regen Austausch von coolen Links, Jux-Progrämmchen und Update-Infos gibt. Aufgabe des Managements Die Geschäftsleitung und der Verwaltungsrat/Aufsichtsrat tragen die Gesamtverantwortung für die Informationssicherheitskultur im Unternehmen. Beim Erreichen von konkreten Sicherheitszielen werden sie durch die Sicherheitsorganisation und den Information Security Officer unterstützt. Zur Verantwortung des Managements gehört auch das Wahrnehmen einer Vorbildfunktion. Eine nachhaltige Sicherheitskultur kann sich nur entwickeln, wenn die Regeln, Maßnahmen und Sensibilisierungsaktionen sowohl vom oberen als auch vom mittleren Management unterstützt werden. Analyse der Sicherheitskultur Eine repräsentative Momentaufnahme der in einem Unternehmen gelebten Informationssicherheitskultur, d.h. Einstellungen, Werte und Wissen, kann durch eine gut vorbereitete Befragung der Mitarbeitenden mehrerer Stufen und Funktionen gewonnen werden. Verschiedene der Fragen dienen beispielsweise der Ermittlung, wie oft und in welcher Form Security-Fragen thematisiert werden. Auf Grund der Resultate können die Massnahmen zur Bewusstseinsbildung definiert und auf die einzelnen Geschäftsbereiche abgestimmt werden. Bewusstsein der Mitarbeitenden Damit das Verständnis für die Informationssicherheit verbessert wird, muss immer von neuem auf den angemessenen Schutz von Informationen hingewiesen werden. Dabei liegen die Defizite des Mitarbeiterverhaltens oft nicht in erster Linie darin, dass Regeln nicht bekannt wären, sondern dass Gefahren und Abhängigkeiten meist unterbewusst falsch eingeschätzt werden. Die Mitarbeitenden jeder Stufe sollen verstehen, warum sie etwas tun müssen oder nicht tun dürfen. Über die Bedeutung und Grenzen technischer Massnahmen wie Firewall, Virenschutz oder Spam-Filter muss realistisch informiert werden.

44 44 Es geht nicht darum, Horror-Szenarien aufzuzeigen, sondern die Mitarbeitenden zu überzeugen, dass jeder einzelne von ihnen zum Schutz der Firmeninformationen beitragen muss und in seinem Arbeitsumfeld für den korrekten Umgang mit Informationen verantwortlich ist. Security Marketing Bei der Information und Ausbildung der Mitarbeitenden besteht die besondere Herausforderung darin, auch Leute zu erreichen, die am Thema wenig bis gar nicht interessiert sind. Genauso wichtig wie das Was (Lernstoff) ist deshalb das Wie (Konzept/Mittel). Die Teilnehmenden müssen auf der richtigen Ebene abgeholt und über verschiedene Kanäle angesprochen werden. Die Botschaft darf nicht den Eindruck erwecken, es handle sich um einen Vorwurf ( immer auf die Kleinen ). Vielmehr soll die persönliche Wertschätzung im Vordergrund stehen. Als zentrales Element einer Awareness- Kampagne empfehlen wir das Multimedia Training Topik (www.topik.ch). E-Learning bietet die gewünschte Interaktivität mit den einzelnen Mitarbeitenden und ermöglicht mit minimalen technischen Anforderungen eine effiziente und flexible Aus- und Weiterbildung. Wichtig ist dabei die Kombination mit weiteren Sensibilisierungsmassnahmen und Informationsmitteln (z.b. werbewirksam aufbereitete News, Workshops, Plakate, Give-aways) sowie eine möglichst objektive Erfolgskontrolle. Dazu eignen sich beispielsweise Büro-Rundgänge und obligatorische Online-Tests. Schlusswort Der Mensch wird gerne als Risikofaktor dargestellt, als potenzieller Täter, als Störenfried des Informatikbetriebs. Er ist aber gleichzeitig auch Schöpfer, Anwender und Nutzniesser der Informationsverarbeitung. Sein individuelles Verhalten basiert unter anderem auf der jeweils vorherrschenden Sicherheitskultur. Um diese positiv beeinflussen zu können, braucht es die Einsicht des Managements, einen abgestimmten Massnahmen-Mix und gezielte Kommunikation. Autor: Dr. Markus Herren ist ausgebildeter CISSP und als Projektleiter Informatiksicherheit sowie als Bereichsleiter Web & Security bei der conpro Consulting AG in Bern (Schweiz) tätig.

45 45 Personelle IT-Sicherheit Mehr als nur awareness?! Fragt man Unternehmen nach der Berücksichtigung personeller Aspekte in ihren IT- Sicherheitskonzepten heißt es oftmals: Awareness? Ja, das gibt s bei uns. Was aber steckt dahinter und welche Maßnahmen führen tatsächlich zur Verbesserung des Sicherheitsniveaus? Im Gegensatz zu ausgereiften technischen Konzepten fehlen im Bereich der Mitarbeiter oftmals durchgängige Lösungen. Nur wenn man die Ursachen menschlichen Fehlverhaltens kennt, kann man einen effektiven Mix aus Motivation, Restriktion und Sanktion wählen. Ursachen und Beteiligte menschlichen Fehlverhaltens In den gängigen Sicherheitskonzepten gibt es sehr viele Maßnahmen, die die Mitarbeiter betreffen. Ist die Abarbeitung dieser punktuellen Maßnahmen schon personelle IT-Sicherheit? Es wäre zumindest ein großer Schritt und es ginge schon weit über den eigentlichen Begriff awareness (Bewusstsein) hinaus. Personelle IT-Sicherheit umfasst nicht nur das Bewusstsein um sicherheitskritische Situationen, sondern auch das entsprechend verantwortungsvolle Handeln des einzelnen. Und das erfordert z. B. die Kenntnis von Verfahrensanweisungen und Regeln. Risikofaktor Mensch Welchen Anteil das menschliche Fehlverhalten an den Schadensfällen im Unternehmen hat, wurde in unterschiedlichen Studien untersucht. So wie die Studien sind auch die Ergebnisse unterschiedlich und schwanken zwischen 25 und 84 Prozent. Die genaue Zahl ist hauptsächlich aus zwei Gründen schwer zu erheben.einerseits sind Unternehmen selten bereit, ihre Karten bzgl. IT-Sicherheit vollständig offen zu legen. Andererseits ist der Kausalzusammenhang nicht immer klar zu erkennen. So werden Schäden durch Viren zum Teil eindeutig den technischen Ursachen zugeordnet, obwohl nach dem Versagen der technischen firewall auch noch die menschliche firewall versagt nämlich falsch reagiert hat. Wichtig in diesem Zusammenhang ist, dass der Anteil des menschlichen Fehlverhaltens sehr groß ist und trotz steigender Sicherheitsbudgets immer noch weiter zu steigen scheint. Wirtschaftlich bietet sich durch die Optimierung der personellen IT-Sicherheit ein enormes Kosteneinsparpotenzial. Denn dreht man den Spieß einmal um, könnte man so bis zu 84% der Sicherheitsvorfälle vermeiden und die dadurch verursachten Kosten minimieren.

46 46 Im Zuge der aktuellen Diskussion um die Haftung der IT-Verantwortlichen bzw. Geschäftsführer wird ebenfalls deutlich, dass die Verantwortung nicht nur in der Umsetzung technischer Maßnahmen besteht, sondern in einem ganzheitlichen Ansatz, welcher auch organisatorische und personelle Aspekte berücksichtigt. Unterschiedliche Zielgruppen Betrachtet man den Risikofaktor Mensch kommt man schnell zu der Frage, wer eigentlich damit gemeint ist. Und das ist auch im Sinne der Ursachenforschung sehr wichtig. Mit welchen Gruppen von Menschen hat das Unternehmen zu tun und wie stark kann es dadurch gefährdet werden? Da gibt es: 1. Externe Menschen, die nicht zum Unternehmen gehören, versiert in IT-Fragen sind und das Unternehmen vorwiegend absichtlich schädigen. Hier greifen technische, physikalische und organisatorische Sicherheitsmechanismen der Restriktion 2. IT-Mitarbeiter, die ebenfalls versiert in IT-Fragen sind aber diese Kenntnisse zum Schutz des Datengutes einsetzen sollten. Sie haben im Allgemeinen einen guten Zugang zur IT-Sicherheit und sind motiviert, sich mit dem Thema auseinanderzusetzen, da es zu ihrem Kerngeschäft gehört. 3. Die große Gruppe der Mitarbeiter (i.s.v. Anwendern) Diese wiederum können in verschiedene Mitarbeitergruppen unterteilt werden, die unterschiedlich an das Unternehmen angebunden sind. Eigene Mitarbeiter, die im Unternehmen arbeiten Eigene Mitarbeiter, die mobil arbeiten (Außendienst, Telearbeitsplatz etc.) Externe Mitarbeiter, die nicht im Unternehmen arbeiten (z. B. Zulieferer) Externe Mitarbeiter, die (temporär) im Unternehmen arbeiten (z. B. Unternehmensberater) Ursachen für Fehlverhalten Zur Lösungsfindung und Umsetzung wirksamer Maßnahmen ist es hilfreich, die Ursachen für menschliches Fehlverhalten zu kennen. Diese sind im Wesentlichen: Unkenntnis, Unwissenheit Gründe dafür können sein, dass das Unternehmen keine Möglichkeit bietet, relevante Inhalte zu erlernen. Gleichgültigkeit, Bequemlichkeit Hier steht meistens ein generelles Desinteresse an der Thematik IT oder aber am Unternehmen selbst im Vordergrund, das zur Vermeidung von Mehr aufwand führt, den Sicherheit nun einmal fordert.

47 47 MITARBEITER (ANWENDER) EXT. INT. INT. MA INT. MA EXT. MA EXT. MA MENSCH IT-MA INHOUSE OUTHOUSE INHOUSE OUTHOUSE SUMME Unkenntnis Gleichgültigkeit Absicht Summe Absicht Die absichtliche Verletzung der Datensicherheit kann aufgrund eigener wirtschaftlicher Vorteile erfolgen, um das Unternehmen oder Personen zu schädigen oder einfach um zu beweisen, dass es funktioniert. Um effektive Maßnahmen durchzuführen, sollten Unternehmen ergründen, von welchen Personengruppen und aus welchen Beweggründen das größte Risiko ausgeht. Sind keine Messungen vorhanden, müssen zunächst Einschätzungen weiter helfen. Einen Überblick verschafft z. B. eine Matrix (s.o.), in der eingetragen wird, welche Fälle das Unternehmen betreffen. Dies kann durch einfaches Ankreuzen geschehen oder auch mit Hilfe von Gewichtungen von z. B. 0 bis 3. Letzteres hat den Vorteil, dass man in Summe eine Gewichtung sowohl der wichtigsten Gründe für Fehlverhalten als auch der wichtigsten Personengruppen erhält. Auf dieser Grundlage sollten Maßnahmen zusätzlich individuell vor dem Hintergrund diskutiert werden, ob sie effektiv und wirtschaftlich sinnvoll sind.

48 48 Integration in die Unternehmensorganisation Eingebettet in den ganzheitlichen IT-Sicherheitsprozess stellt sich die personelle IT-Sicherheit als Teilprojekt folgendermaßen dar: Klärung dieser Fragen ist für den Prozess elementar wichtig und sollte daher frühzeitig erfolgen. Softwareunterstützung Um die kontinuierliche und revisionssichere Umsetzung personeller IT-Sicherheit zu gewährleisten, empfiehlt sich eine Software-Unterstützung beispielsweise durch SecureAware der Dänischen Firma Neupart. Mit SecureAware erhalten IT-Sicherheitsbeauftragte in Unternehmen eine Lösung, die sie bei der Entwicklung, Verbreitung und Verwaltung von Sicherheitsrichtlinien nach ISO unterstützt. Zugleich werden mit dieser Intranetlösung die Mitarbeiter in einem Unternehmen in der Einhaltung der Richtlinien unterwiesen. Abb.: Umsetzung und laufender Betrieb personeller IT-Sicherheit Voraussetzung Für den Umsetzungserfolg ist es wichtig, dass die Geschäftsführung, das mittlere Management, die Personalabteilung und der Betriebs-/Personalrat hinter dem Projekt stehen. Nur durch Information und Transparenz schafft man die Basis für die geplanten Maßnahmen. Management und Betriebs-/Personalrat legen von Anfang an fest, wie weit die spätere Schulung und Erfolgsmessung der Mitarbeiter gehen darf und wie viele Ressourcen für die Umsetzung zur Verfügung stehen. Die SecureAware hilft dem IT-Sicherheitsbeauftragten Schritt für Schritt dabei, eine Richtlinie zur Erhöhung der Informations-Sicherheit für das Unternehmen zu erstellen. Dank der intelligenten Assistenten werden hierbei alle wichtigen Aspekte berücksichtigt. Zugleich hat der Administrator die Möglichkeit, so genannte Awarness-Werkzeuge einzusetzen. In der aktuellen Version ist hier ein Bildschirmschoner hervorzuheben, der ausgewählte Sicherheitsregeln auf den PC der Mitarbeiter einblendet, und somit die Einhaltung der Sicherheitspolicy enorm erleichtert. Bereits bestehende Sicherheitsregeln und Anweisungen lassen sich problemlos über einen Link in SecureAware

49 49 integrieren. Damit gliedert sich die Software nahtlos in bestehende Systeme ein. S e c u r e A w a r e bildet unter seiner Oberfläche bereits grafisch alle Aspekte eines Sicherheitskonzeptes in Form einer Pyramide ab. Die Spitze bildet die übergeordnete Sicherheitsstrategie, von der sich dann Regeln und Richtlinien ableiten. Diese münden auf breiter Ebene in konkrete Handlungsanweisungen für die Mitarbeiter. Das Programm besteht aus drei verschiedenen Modulen: Mit dem Modul Policy werden die übergeordneten Richtlinien angelegt, verändert und verwaltet. Diese lassen sich mit Zielgruppen und Prozeduren verknüpfen. Dank der durchdachten Benutzerführung kann so nach wenigen Minuten eine standardkonforme Sicherheitsstrategie erstellt werden. Eine Verknüpfung mit bereits vorhandenen Dokumenten ist möglich. Abb.: Screenshot aus SecureAware Policy Manager Im Modul Education werden die Mitarbeiter in Form von Lerneinheiten über Sicherheitsregeln informiert. Auf einfache Art und Weise können so Verhaltensregeln für den Umgang mit s oder Passwörtern erlernt werden. Die Werkzeuge des Moduls Awareness trainieren das Gelernte. Zugleich werden die Mitarbeiter dadurch motiviert, die aufgestellten Regeln einzuhalten. In Form eines Quiz, von Umfragen oder dem bereits erwähnten Bildschirmschoner wird der Sicherheitsgedanke tiefer im Bewusstsein der Mitarbeiter verankert.

50 50 Der Mix aus Motivation, Restriktion und Sanktion Motivation Durch die Einbeziehung von Motivationsund Lernaspekten wird die freiwillige Einhaltung der vereinbarten Regeln angestrebt. Speziell der Unkenntnis und der Gleichgültigkeit kann auf diesem Wege wirksam entgegen getreten werden. Wichtige Aspekte, die zu richtigem Verhalten motivieren, sind z. B.: Übung/Können Einsicht Identifikation mit dem Unternehmen Raum und Zeit für Maßnahmenumsetzung Vorbildfunktion der Führungskräfte und Fachleute Die wohl wichtigsten Maßnahmen bestehen aus Sensibilisierung und Schulung der Mitarbeiter. Sie sind darüber hinaus die Grundlage für Maßnahmen aus dem Bereich der Sanktion, denn auch hier muss der Mitarbeiter die Chance zu korrekter Handlung erhalten. - Sensibilisierung Sensibilisierung erzeugt Emotionen. Sie stärkt die Wahrnehmung der Mitarbeiter und macht sie empfindsam für Sicherheitskritische Situationen im Unternehmen. Dadurch werden mögliche Bedrohungen frühzeitig erkannt. Als Inhalte zur Sensibilisierung bieten sich Szenarien an. Durch konkrete Beispiele oder Erfahrungsberichte werden dem Anwender Schadensszenarien und mögliche Auswirkungen deutlich. Es wird ein Bewusstsein erzeugt, wie sicherheitsrelevante Situationen beginnen und welche Auswirkungen es haben kann, wenn Daten missbraucht oder verfälscht werden oder nicht verfügbar sind. Dabei ist darauf zu achten, dass die Szenarien auf die eigene Unternehmenssituation transferierbar sind. Die Veröffentlichung dieser Inhalte erfolgt über das schwarze Brett, im Newsticker, in Broschüren, in Betriebsversammlungen oder durch die Auslage von Artikeln aus Fachzeitschriften. Zusätzlich bietet man dem Mitarbeiter durch eine öffentliche Sprechstunde des IT-Verantwortlichen ein Forum für konkrete Fragen und Antworten. In speziellen Workshops zum Thema haben Ziele und Inhalte des Unternehmens aber auch Meinungen, Fragen und Erfahrungen der Mitarbeiter Platz. Die Erwartung, dass sich der Mitarbeiter selbst um das Studium relevanter Themen bemüht, ist in den meisten Fällen ein Trugschluss. Eine aktive und offene Kommunikation ist hilfreicher als ein bloßes zur Verfügung stellen von Inhalten. - Schulung Aufbauend auf den Sensibilisierungsmaßnahmen vermitteln Schulungen Kenntnisse und Fähigkeiten im Umgang mit Hardund Software aber auch mit Regeln und

51 51 Verfahrensanweisungen des Unternehmens. Das ermöglicht dem Mitarbeiter nach dem Erkennen der kritischen Situation, die richtigen Maßnahmen zu ergreifen. Schulungsinhalte sind im Allgemeinen der Umgang mit Hard- und Software, Unternehmensdaten und wichtige Verfahrensanweisungen des Unternehmens. Geschult werden z. B.: Aufgabenverteilung und Funktionstrennung Beaufsichtigung/Begleitung von Fremdpersonen Aufbewahrung dienstlicher Unterlagen und Datenträger am häuslichen Arbeitsplatz Datensicherung bei mobiler Nutzung von Notebooks Umgang mit USB-Speichermedien Datensicherung und Archivierung von s Wie schon bei der Sensibilisierung gibt es auch hier verschiedene Methoden zur Durchführung: -- Präsenzschulung Präsenzschulungen werden je nach Budget und Bedarf eigenständig oder als integrative Bausteine in anderen Schulungen angeboten. Neue Schulungsmethoden wie z. B. Computer-Based-Training, Web Based Training, Blended Learning können diese klassische Methode ersetzen oder ergänzen. -- Informationsbörse im Intranet Als zentraler Informationspool bietet die Informationsbörse im Intranet Zugriff auf alle IT-Sicherheits-Themen. Das Bundesamt für Sicherheit in der Informationstechnik stellt eine Vorlage für die Gestaltung einer Informationsbörse mit den Themen IT-Organisation, Aktuelle Themen, Ihr IT-Arbeitsplatz, Ansprechpartner, Heiteres und Informationszentrum zur Verfügung. Hinter diesen Überschriften werden Unternehmensspezifische Informationen abgelegt. Zusätzlich empfiehlt sich die Einrichtung spezieller Bereiche für bestimmte Zielgruppen z. B. für Notebook- Nutzer. Da sich der Mitarbeiter hier aktiv um die gewünschten Informationen kümmern muss, eignet sich die Informationsbörse insbesondere im Nachgang zu Schulungsmaßnahmen. -- Infotainment-Tool In der Praxis hat sich der Einsatz eines Infotainment-Tools bewährt. Es verbindet Information und Entertainment und regt so den Mitarbeiter über seinen Spieltrieb an, Sicherheitsrelevante Informationen zu erlernen. Darüber hinaus kann ein entsprechendes Infotainment-Tool einen wertvollen Beitrag zur Erfolgsmessung durchgeführter Schulungsmaßnahmen leisten. Eine erfolgreiche Umsetzung, die beide Aspekte beinhaltet, setzen wir gemeinsam mit dem vielfach ausgezeichneten

52 52 Abb.: Infotainment-Tool Schweizer Multimedia-Experten Georg Fietz um, der dieses Tool u. a. für die Swiss Re entwickelt hat. Die Integration der bei der Swiss Re herausgegebenen Informationsbroschüre in das fünfsprachige Lernspiel war eine zentrale Anforderung. Die Informationsbroschüre kann durch einen direkten Link zur Unterstützung in den Spielsituationen herangezogen werden. Sowohl die Spannung als auch die Realitätsnähe der Geschichte führten zu enormer Akzeptanz bei den Mitarbeitern. Die Handlung begleitet den Mitarbeiter per Taxi und Flugzeug vom Londoner Arbeitsplatz zu einem Kundentermin in Lissabon. In acht unterschiedlichen Szenenbildern, setzt er sich spielerisch mit wichtigen Verhaltensregeln im Umgang mit vertraulichen Geschäftsdaten, außenstehenden Personen, auftretenden Viren, Backups, Passwörtern, Datenaustausch via Internet usw. auseinander. Restriktion Im Rahmen der Umsetzung operativer Maßnahmen kommen neben der Motivation auch Restriktion und ggf. Sanktion zum Einsatz. Bei der Restriktion sind es einerseits technische Maßnahmen, die z. B. Zugriffe verhindern, andererseits handelt es sich um Vereinbarungen, die bestimmte

53 53 Rechte des Mitarbeiters einschränken. Restriktion ist ein geeignetes Mittel für Bereiche in denen kein Risiko eingegangen werden kann oder wenn der Aufwand für Motivation nicht verhältnismäßig ist. Möglichkeiten sind z. B. die Verhinderung unautorisierter Netzwerkzugänge, USB-Nutzung oder WLAN-Nutzung. Generell gilt: So viel Freiheit wie möglich, so wenig wie nötig. Denn man möchte ja eigenständige und engagierte Mitarbeiter nicht durch technische Blockaden von ihrer Arbeit abhalten. Sanktion Sanktionen beinhalten die Durchführung von Maßnahmen, nachdem das Kind in den Brunnen gefallen ist. Sie sind jedoch in diesem Zusammenhang nicht zu vernachlässigen, da sie Konsequenzen aus Fehlverhalten aufzeigen und somit eine abschreckende Wirkung haben. Hier ist konsequentes Verhalten ratsam, da die Androhung und sämtliche Vereinbarungen sonst an Nachdruck verlieren. Sanktionen betreffen in erster Linie (arbeits-)rechtliche Aspekte. Der IT-Verantwortliche sollte jedoch aktiv Inhalte und Empfehlungen zur Gestaltung von Vereinbarungen an die Rechts- bzw. Personalabteilung oder die Geschäftsleitung geben. Die Androhung von Sanktionen kann auch als ein Instrument der Motivation gesehen werden. Sie meint zwar nicht die positive Art der Motivation ist aber durchaus auch als Mittel der Prävention zu sehen. Die Möglichkeiten der Sanktionen sind vielfältig und in Abstimmung mit Rechts-, Personalabteilung sowie Geschäftsführung und Betriebs-/Personalrat auszuwählen. Die Durchführung der Maßnahmen hängt maßgeblich von Gesetzen und Betriebsvereinbarungen ab und ist im Einzelfall sorgfältig abzuwägen. Es kann sich hierbei z. B. um Einschränkungen der Nutzungsrechte, Ermahnung, Abmahnung, Kündigung oder Schadenersatzforderung handeln. Sanktionen bedeuten zum Teil massive Einschnitte in das bestehende Arbeitsverhältnis. Dies unterstreicht die Bedeutung von Sensibilisierung und Schulung als Präventivmaßnahmen. Es muss sichergestellt sein, dass der Mitarbeiter die Möglichkeit hat, sich richtig zu verhalten und Verantwortung für sein Handeln zu übernehmen.

54 54 Erfolgsmessung Eine wichtige Stufe im Prozess der kontinuierlichen Verbesserung ist die Erfolgsmessung. Neben der Erfolgsmessung durch das Infotainment-Tool kann der Stand des Sicherheitsbewusstseins z. B. auch durch externe Dienstleister getestet werden, die in Alltagssituationen versuchen vertrauliche Unternehmensdaten von den Mitarbeitern zu erfahren. Darüber hinaus lohnt es sich, vorhandene Sicherheitsvorfälle genauer zu betrachten und die Zuordnung zu einer möglichen Ursache z. B. vor dem Hintergrund o. a. Matrix vorzunehmen. So ergibt sich ein detailliertes Bild, welche Personengruppe aus welchen Gründen an dem Schaden beteiligt war. Die Ergebnisse fließen in den kontinuierlichen Verbesserungsprozess ein und ermöglichen die Durchführung gezielter Maßnahmen für die Zukunft. Fazit Die Bedeutung des Menschen für die IT- Sicherheit ist immens. Stehen Präventivmaßnahmen im Mix aus Motivation, Restriktion und Sanktion an erster Stelle, stellt sich unter Beibehaltung der technischen Maßnahmen - eine messbarere Verbesserung der gesamten IT-Sicherheit ein. Autor: Matthias Temme ist Partner der BTP Consulting in Hamburg. Er beschäftigt sich seit mehr als 10 Jahren mit den Themen Mitarbeiterqualifizierung und Organisationsentwicklung. Als Berater für IT-Sicherheitsprojekte und Kundenmanagement sowie als Trainer.

55 55 Datenschutz für Alle Wenn es um den betrieblichen Datenschutz in Unternehmen geht, sind die Regeln klar vorgegeben: Personen, die mit der Verarbeitung personenbezogener Daten betraut sind, sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Dies setzt unter anderem voraus, dass der Datenschutzbeauftragte diese Personen durch geeignete Maßnahmen mit den zu beachtenden datenschutzrechtlichen Vorgaben vertraut macht. So steht es im Bundesdatenschutzgesetz (BDSG). Der Ansatz ist sinnvoll, aber die Umsetzung nicht gerade einfach zu bewältigen. Denn der Datenschutz polarisiert. Diejenigen, die von den Bestimmungen profitieren, weil ihre persönlichen Daten vertraulich bleiben, sind dem Datenschutz gegenüber positiv eingestimmt. Auf der anderen Seite kann es aber auch am Datenschutz liegen, dass man bestimmte Informationen nicht erhält, die man dringend für den Abschluss eines Projektes benötigt. Aufklärung und eine genaue Definition tun also Not. Je mehr Mitarbeiter wissen, welche Ziele der Datenschutz verfolgt, welche Daten wann wie erhoben und weitergegeben werden dürfen und welche Daten absolut tabu sind, umso reibungsloser und stressfreier funktioniert eine datenschutzkonforme Organisation im Unternehmen. Doch wie lässt sich das Thema Datenschutz im Unternehmen sinnvoll schulen? Die Gesetzbücher wälzen lassen und anschließend zum großen Test zu rufen, das ist nicht sinnvoll. Und außerdem furchtbar langweilig. Es geht auch anders: Datenschutz kann richtig spannend und interessant sein. Die Lösung heißt elearning und wurde in Zusammenarbeit mit den Datenschutzbeauftragten von so namhaften Industrieunternehmen wie Alcatel, Behr, Porsche, Voith und Zeiss entwickelt. Es wurde ein Online-Tool von Praktikern für die Praxis kreiert, das es den betrieblichen Datenschutzbeauftragten ermöglicht, ohne großen Zeitaufwand so viele Mitarbeiter wie nötig mit den unterschiedlichen Aspekten des Datenschutzes zu schulen. Die webbasierte elearning-lösung arbeitet komplett in der Browseroberfläche, so dass keine Client-Installation notwendig ist. Damit ist das Tool ortsunabhängig einsetzbar und bietet sich vor allem für Unternehmen mit mehreren Niederlassungen an. Die Schulungsinhalte und Themen können vom Datenschutzbeauftragten beliebig variiert, ergänzt und ausgetauscht werden, so dass unternehmensspezifische Regelungen ohne Probleme aufgenommen werden können. Damit das Online-Tool auch in Zukunft immer aktuell bleibt, gibt es einen Updateservice.

56 56 Das Web Based Training unterstützt dabei bisherige Schulungsmuster, denn es kann hervorragend mit herkömmlichen Face-to-face-Schulungen kombiniert werden. Bei diesem so genannten Blended Learning kann zum Beispiel die Auftaktveranstaltung als gemeinsames Kick off mit Einführung ins webbasierte Trainingsprogramm dienen, anschließend bestimmen die einzelnen Teilnehmer ihr individuelles Lerntempo selbst über ihr persönliches Webtool. Für die Auflockerung sorgt das Maskottchen Little Privacy, das mit Praxisbeispielen immer wieder das trockene Lernen auflockert. Auch beim Datenschutztest kommt das kleine Maskottchen zum Einsatz: Little Privacy hebt immer dann den Daumen, wenn der Datenschutz- Lehrling bei der Lernkontrolle seine Fragen richtig beantwortet hat. Aus einem Fragenkatalog von insgesamt 46 Fragen werden per Zufallsgenerator neun ausgesucht, die richtig beantwortet werden müssen. Ist der Test bestanden, kann sich der frischgebackene Datenschutz-Spezialist sein Zertifikat als pdf ausdrucken oder per an die Personalabteilung schicken lassen. Trotz der flotten Tools und kleinen Gags ist elearning im Datenschutz keine Spielerei, sondern einfach eine neue Methode, einen vermeintlich trockenen Inhalt auf moderne Art und Weise zu vermitteln. Bei den am Projekt beteiligten Firmen ist das Online-Tool übrigens ein voller Erfolg. Die Weiterentwicklung der elearning-lösung für andere Lerninhalte wie zum Beispiel für die Informationssicherheit sind bereits projektiert. Insofern hat der betriebliche Datenschutz gerade bewiesen, dass er alles andere als langweilig ist, sondern vielmehr der Vorreiter für eine ganz neue Schulungsmethode in Unternehmen. Und die Datenschutzbeauftragten dürfen sich freuen, denn das neue Datenschutz-eLearning kann der Beginn einer ganz neuen Art der betrieblichen Fortbildung sein. Hinweise und Anregungen zum Einsatz von elearning-systemen im Bereich Datenschutz (erabeitet durch eine Arbeitsgruppe des Arbeitskreises Datenschutzbeauftragte im Verband der Metall- und Elektroindustrie Baden Württemberg e.v. SÜD- WESTMETALL) Das elearning-tool Datenschutz sollte als Ergänzung zu anderen Informationsquellen, Lehr- und Lernmitteln wie beispielsweise Face-to-Face-Schulungen oder Mitarbeiterbroschüren angeboten werden.

57 57 Die Einführungsstrategie sollte Anreize zur Kursteilnahme mit beispielsweise einem Gewinnspiel oder entsprechenden Give Aways schaffen. Die Zeitsouveränität bei elearning, d. h. der Lernende bestimmt Ort und Zeit selbst, sollte dem Lernenden vermittelt werden. Abhängig von der vorhandenen IT-Ausstattung (PC s, Notebooks usw.) ist zu entscheiden, wie die Lerninhalte am besten vermittelbar sind. Ein Web-Based-Training (WBT) erfordert eine Online-Verbindung während des Kurses, ein Computer Based Training (CBT ) ist davon unabhängig. Die Geschäftsleitung und/oder zumindest die Personalabteilung sollte während der Einführungsphase eingebunden werden. Eine Feedback-Möglichkeit sollte bestehen, um die Qualität des Kurses und die Erwartungen der Mitarbeiter beurteilen zu können. elearning beansprucht unter anderem Arbeitszeit. Erfordernis und Sinnhaftigkeit sollte den verantwortlichen Führungskräften vor Einführung des ersten Kurses dargestellt werden. Ein Durchführungsnachweis der elearning-teilnehmer zur Dokumentation für das Unternehmen bzw. den Datenschutzbeauftragten ist anzustreben. Mögliche Mitbestimmungsrechte des Betriebsrats müssen beachtet werden. Autorin: Monika Egle ist Projektleiterin Datenschutz bei der beam AG in Ulm und verantwortliche Projektleiterin bei der Entwicklung des elearning-tools Datenschutz.

58 58 Datenklau für Dummies - Die wirkungsvollsten Tricks sind oft erstaunlich simpel Identitätsdiebe werden immer einfallsreicher und zwingen mit ausgefeilten High- Tech-Methoden wie Phishing, Pharming oder Keylogging zur Anschaffung entsprechender Abwehrtechnologien. Moderne Sicherheitslösungen liefern einen unverzichtbaren Beitrag zum Schutz von Daten und Netzwerken. In vielen Fällen ergattern die Spione jedoch mit ausgesprochen einfachen, nicht-technischen Mitteln wertvolle Informationen. Secure Computing stellt eine Liste der zehn geläufigsten Dummie-Tricks der Datendiebe zusammen: Social Engineering Eine Prominente sah sich vor einiger Zeit auf unschöne Weise bloß gestellt, als ein Hacker es sich zum Vergnügen machte, persönliche Fotos und SMS-Nachrichten von ihr im Web zu veröffentlichen. Technisches Genie kann dem Identitätsdieb in diesem Fall jedoch nicht zugebilligt werden, ein paar überzeugende Worte an einen ihrer Angestellten genügten, um an die Zugangsdaten zu gelangen. Social Engineering bezeichnet die Kunst, durch eine gute Geschichte vertrauliche Daten zu erschleichen. Was tun? Die Angestellten darauf schulen, sensible Informationen nur an autorisierte Personen herauszugeben. Shoulder Surfing Betrügereien mit Geld- und Kreditkarten sind weit verbreitet. Experten schätzen, dass in 15 Prozent aller Fälle die Übeltäter ihr notwendiges Rüstzeug direkt am Geldautomaten sammeln - ein Blick über die Schulter genügt. Was tun? Sicherstellen, dass allzu neugierigen Hintermännern die Sicht verwehrt ist und Kontoauszüge oder Geldkarte sofort nach Nutzung einstecken. Soziales Umfeld Das Better Business Bureau (BBB) kam in einer diesjährigen Studie zu dem Ergebnis, dass in den meisten Fällen von Identitätsdiebstahl der Täter aus dem engen sozialen Umfeld kommt. Was tun? Persönliche, besonders finanzielle Daten immer unter strengen Verschluss halten.

59 59 Tonnen-Tauchen (Dumpster Diving) Eine US-Bank muss sich dieser Tage vor Gericht verantworten, weil Unberechtigte persönliche Konto-Zugangsdaten von Kunden ergaunert hatten. Die Ganoven mussten dafür keine intelligenten Phishing- s programmieren, es reichte der Griff in den Papierkorb. Was tun? Dokumente mit sensitiven Informationen immer durch den Schredder jagen. Laptop-Klau Kürzlich wurden die Namen und die Sozialversicherungsnummern von über aktuellen und früheren Mitarbeitern eines US-Telekommunikationskonzerns gestohlen. Der Täter hatte ganz einfach ein Mitarbeiter-Laptop aus dessen Wagen entwendet. Analysten schätzen, dass allein in Nordamerika täglich etwa Handhelds verloren gehen. Was tun? Entweder festlegen, dass keine vertraulichen Informationen das Firmengebäude verlassen dürfen, oder alle sensitiven Daten auf mobilen Speichergeräten verschlüsseln. Post-Its Trotz besseren Wissens notieren immer noch sehr viele Angestellte Ihre Passwörter auf Post-Its und kleben diese gut sichtbar an ihren Bildschirm. Was tun? Alternativen zum Passwort suchen, beispielsweise Systeme zur Zwei- Faktor-Authentifizierung. Daten im Transit Einige der größten Diebstähle von persönlichen Informationen ereignete sich Mitte diesen Jahres, als Sicherungsbänder eines weltweiten Finanzinstituts auf dem Transit vom Laster des Kurierunternehmens fielen. Die Bänder enthielten Sozialversicherungsnummern von fast vier Millionen Kunden. Was tun? Daten im Transit immer verschlüsseln. Autor: Als Director of Sales ist Frank Kölmel für alle Marketingaktivitäten in Zentral- und Osteuropa verantwortlich. Der Dipl. Ing. Technische Informatik verfügt über 12 Jahre Erfahrung in der Internetbranche.

60 60 Nachvollziehen können, wer wann was gemacht hat Identity und Access Management, kurz IAM, wird als eine Boom-Technologie in der IT-Sicherheit gehandelt. Auch IDC hat große Erwartungen und prognostiziert für 2008 ein Umsatzvolumen von 3,5 Milliarden US-Dollar in diesem Markt. Ein wichtiger Impulsgeber für diese Entwicklung ist der immer größere Druck auf die Unternehmen, die Einhaltung gesetzlicher Rahmenvorschriften und Sicherheitsrichtlinien zu gewährleisten: Neben den beträchtlichen finanziellen Schäden, die durch unautorisierten Datenzugriff entstehen können, ist die persönliche Haftbarkeit der Manager sicherlich eine wesentliche Triebfeder für die Anschaffung von Compliance-Lösungen. Benutzermanagement bringt Sicherheit, ist aber aufwändig Um Missbrauch vorzubeugen, muss sich ein Anwender anhand seiner digitalen Identität in der Regel Benutzername und Passwort gegenüber dem IT-System ausweisen. Dadurch wird in Unternehmen sichergestellt, dass nur Mitarbeiter mit der entsprechenden Berechtigung auf bestimmte, geschäftskritische Applikationen zugreifen dürfen. Je nach Größe einer Organisation verursacht die Verwaltung aller existierenden Benutzer, deren Accounts und Zugriffsrechte für IT-Administratoren einen enormen Arbeitsaufwand. Denn diese müssen jeden Mitarbeiter einzeln im System anlegen, Applikationen frei schalten und die Benutzerprofile ständig aktuell halten. Das Anlegen, Modifizieren sowie das Löschen von Benutzeridentitäten und Berechtigungen gehört zu den Schlüsselfunktionen beim Identitäten-Management. Laut Gartner bildet das 4 A-Prinzip die Basis von IAM: Authentifizierung Die Identität eines Anwenders wird anhand bestimmter Merkmale überprüft und so sichergestellt, dass ausschließlich berechtigte Benutzer Zugriff auf Systemressourcen erhalten. Hier entscheidet sich zudem, wer in welchem Umfang auf Anwendungen zugreifen darf. Autorisierung Sind Benutzer als berechtigt identifiziert, können sie gemäß ihrer Rolle auf bestimmte Applikationen zugreifen. Idealerweise wird der Zugang zu Systemressourcen vom IT-Verantwortlichen nicht durch starre Richtlinien für jeden Benutzer einzeln festgelegt, sondern durch hierarchische Zugriffsrechte für ganze Anwendergruppen geregelt.

61 61 Administration Nur eine zentrale Verwaltung verschafft den notwendigen Überblick über die vorhandenen Anwender und deren Aktivitäten. Diese räumt jedem Anwender beziehungsweise jeder Anwendergruppe Zugriffsrechte nur für jene Applikationen ein, die im Arbeitsalltag oder für bestimmte Geschäftsprozesse notwendig sind. Über eine differenzierte Rechtevergabe können Benutzerprivilegien unter anderem vom verwendeten Endgerät oder dem Aufenthaltsort abhängig gemacht werden. So könnte einem Angestellten der Zugriff auf bestimmte Daten von außerhalb des Unternehmens gestattet sein, wohingegen er eine Transaktion nur von seinem PC am Arbeitsplatz aus tätigen darf. Auditing Das Verfahren protokolliert sämtliche Benutzeraktivitäten wie beispielsweise die Zugriffe auf Dateien und zeichnet diese zum Zweck der Rückverfolgung auf. Nur so erfüllt ein Unternehmen gesetzliche Vorgaben, die einen genauen Nachweis darüber verlangen, wer was zu welchem Zeitpunkt getan hat. Der Haupteffekt von IAM: Ein einheitlicher Blick auf den Anwender Gegenüber proprietären Lösungen bietet zentral implementiertes IAM wesentliche Vorteile. Zum einen werden der Aufwand und damit die Kosten für Benutzerverwaltung und Provisioning also die Vergabe und Aufhebung von Zugangsrechten geringer. Einzelne Verwaltungsprozesse wie beispielsweise das Löschen von Zugangsrechten können automatisiert oder zumindest teilautomatisiert werden, was Zeit spart und manuelle Eingabefehler vermeidet. Verschiedene Untersuchungen über den aus Helpdesk-Aufgaben und Passwortmanagement resultierenden Zeitbedarf, beispielsweise beim Anlegen neuer Benutzer, belegen deutlich die Rentabilität solcher Lösungen. Zum zweiten wird der Schutz geschäftskritischer Anwendungen dank zentral hinterlegter Sicherheitsregeln und einheitlicher Rechteverwaltung signifikant verbessert. Anders als bei Insellösungen, bei der für jede Anwendung Identitäten und Rechte separat verwaltet werden müssen, ermöglicht IAM dem IT-Verantwortlichen einen einheitlichen und vollständigen Blick auf den Benutzer.

62 62 Dies resultiert in einem höheren Sicherheitsniveau: Tote Accounts, eine der bedeutendsten Gefahrenquellen, werden schneller entdeckt. Unregelmäßigkeiten, wie beispielsweise das parallele Auftreten derselben Benutzer-ID in parallelen Systemen, werden sofort bemerkt. Angestellten, die aus ein einem Unternehmen ausscheiden, werden automatisch alle Rechte entzogen. Durch diese und weitere Funktionen trägt IAM wesentlich zur Einhaltung interner Sicherheitsvorschriften sowie externer Richtlinien bei. Sarbanes-Oxley (SOX), Basel II und KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) sind wohl die für in Deutschland ansässige Unternehmen relevantesten rechtverbindlichen Regeln. Je nach Branche kommen verschiedene weitere Vorschriften dazu. Diese erfordern die strikte Datenkontrolle genauso wie die exakte Dokumentation von Zahlen oder die Konformität mit bestimmten gesetzlichen Vorschriften. Kein IAM ohne Auditing Abgesehen von der hohen Komplexität einer unternehmensweit einheitlichen Lösung besteht die Schwierigkeit beim IAM vor allem im Spagat zwischen Sicherheit und Benutzerfreundlichkeit. So müssen zwar gewisse Einschränkungen in der Erreichbarkeit von Systemressourcen in Kauf genommen werden, um Anwendungen vor unautorisiertem Zugriff zu schützen. Bei einem Zuviel an Beschränkungen leidet jedoch die Bedienbarkeit: häufig auftretende Fehlversuche beim Log-In können ein Indikator hierfür sein. In jeder noch so ausgeklügelten Sicherheitsinfrastruktur gibt es aber Spielraum für Datenmissbrauch. Hier setzt Auditing an: Diese Technologie analysiert das Zugriffsverhalten von Anwendern, indem sie die in den verschiedenen Betriebssystemen, Applikationen und Datenbanken vorhandenen Daten miteinander korreliert, auswertet und unternehmensweite Sicherheitsberichte erstellt. Sämtliche Zugriffsdaten werden mit den zugrunde liegenden Sicherheitsrichtlinien abgeglichen, so dass nur Verstöße angezeigt werden. Diese können vorliegen, wenn Daten nach Dienstschluss, am Wochenende oder an nicht zugelassenen Endgeräten abgerufen oder kopiert wurden. Aus den gesammelten Daten lässt sich ablesen, welche Benutzer welche Informationen benötigen und wie die Zugriffsgewohnheiten sind. IAM setzt dieses Wissen anschließend in Regeln, Rollen und Gruppen um. Bei schwerwiegenden Verstößen beispielsweise dem unautorisierten Löschen eines Datensatzes liefert Auditing den notwendigen forensischen Beweis, um den Täter zu überführen. Während die IAM-Lösung in der IT-Sicherheit also die Funktion eines Pförtners übernimmt, der einen Mitarbeiter entweder hineinlässt oder abweist, ist Auditing die Überwachungskamera, die das Verhalten eines Mitarbeiters aufzeichnet.

63 63 Die Durchleuchtung eines Mitarbeiters geht aber nur soweit, wie es aus Sicherheitserwägungen notwendig und gemäß Datenschutzbestimmungen zulässig ist. So werden Benutzernamen in Auditing- Systemen anonymisiert dargestellt und nur ein kleiner Kreis speziell autorisierter Personen erhält Einsicht in die gesammelten Daten. Fazit Die Implementation und das Management einer IAM-Lösung sind nicht trivial. Umso wichtiger ist es, die bestehenden Richtlinien mittels Auditing permanent auf den Prüfstand zu stellen. Während die Erstellung von Gruppenrichtlinien im IAM zunächst auf Annahmen beruht, wie Anwendergruppen Daten und Anwendungen nutzen, prüft Auditing, ob die definierten Rahmenbedingungen eingehalten werden. Dank der durch Auditing zusammengetragenen Daten zu sicherheitsrelevanten Vorkommnissen im System, können Administratoren schnell die nötigen Schlüsse über das Zugriffsverhalten der Anwender ziehen und die bestehenden Sicherheitsrichtlinien gegebenenfalls nachbessern. Um den Benutzer und sein Verhalten im Netzwerk lückenlos kontrollieren zu können, gehören IAM und Auditing untrennbar zusammen. Autor: Marc van Zadelhoff ist Vice President Product Marketing and Business Development von Consul risk management. In dieser Funktion verantwortet er die weltweite Geschäftsentwicklung, den Aufbau strategischer Partnerschaften und das Corporate Management.

64 64 Compliance bei Identity- und Access-Management sowie Information Security Der Begriff Compliance ist heutzutage in nahezu allen Bereichen des modernen Wirtschaftslebens zu finden. Übersetzt bedeutet Compliance schlicht die Einhaltung und Umsetzung von gesetzlichen Bestimmungen und Regularien. In diesen gesetzlichen Richtlinien wird beispielsweise definiert, auf welche Weise mit elektronischen Daten umgegangen werden muss, wer auf sie zugreifen darf und wie sie archiviert werden. Verhaltensregeln oder gesetzliche Vorschriften im Bereich Datenschutz gelten für sämtliche Unternehmen, andere betreffen wiederum verschiedene vertikale Wirtschaftsbereiche, von der Banken- und Versicherungs- Branche bis hin zum Gesundheitswesen und der Pharmaindustrie. Die Sicherstellung von Compliance in Unternehmen sollte durch organisatorische Maßnahmen gestützt werden. Hierzu werden meist spezielle Compliance-Abteilungen eingerichtet. Diese wachen beispielsweise darüber, dass die deutschen und internationalen Gesetze und Richtlinien eingehalten werden. Vorrangig geht es um mehr Transparenz in den Unternehmen, dass Finanzberichte allgemein zugänglich, präzise und stets auf dem aktuellen Stand sind, Verantwortlichkeiten im Risiko-Management und steuerrechtliche Zuständigkeiten geklärt werden und der Vorstand für Fehler zur Verantwortung gezogen werden kann. Desweiteren soll Compliance dazu führen Geschäftsprozesse zu automatisieren, die Integrität finanzieller Berichte zu erhöhen und durchsuchbare Dateien für Finanzdaten zu erstellen. Wichtiger Bestandteil ist eine effiziente Dokumentation und entsprechende Kontrollfunktionen. Technisch gesehen sollen künftig Konzepte wie Information Lifecycle Management (ILM) ihren Beitrag leisten, die Datenflut zu beherrschen und Information zur richtigen Zeit am richtigen Ort lagern. Die Festlegung der Richtlinien kann von sehr unterschiedlicher Seite beziehungsweise durch sehr verschiedene Institutionen erfolgen. So hat beispielsweise der Baseler Ausschuss für Bankenaufsicht im Jahr 1998 den Stein für Basel II ins Rollen gebracht. Ziel dieser auf das unternehmerische Handeln zielenden Richtlinien ist eine Stabilisierung des internationalen Finanzsystems. Ein anderes Beispiel ist der Sarbanes Oxley Act (SOX). Durch die spektakulären Unternehmenszusammenbrüche bei Enron oder Worldcom sah sich die US-Regierung 2002 veranlasst gegen gefälschte Bilanzen und mangelnde interne Kontrolle stärker vorzugehen.

65 65 Der hierauf erlassene Sarbanes Oxley Act regelt seit dem 15. November 2004 die Verantwortlichkeiten der Unternehmensführung und der Wirtschaftsprüfer. Das Gesetz trifft dabei auf alle an der amerikanischen Börse notierten Unternehmen zu. Momentan arbeitet die EU an einem ähnlichen Gesetz, das noch in diesem Jahr vorgelegt werden soll. EU-weit gilt bereits seit dem die EU-Datenschutzrichtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (EU DPD). Als weitere EU-Richtlinie zum Datenschutz im EU-GMP-Leitfaden zur Sicherheit und Schutz computergestützter Systeme. Darüber hinaus sind international agierende Unternehmen gezwungen, die Regularien der unterschiedlichen Länder einzuhalten, in denen Sie aktiv sind. Gleichgültig um welche Art Richtlinie oder Vorschrift es sich handelt nehmen Unternehmen dies mit einer gewissen Skepsis und Vorsicht zur Kenntnis. Der Grund dafür liegt darin, dass in einer nicht unerheblichen Art und Weise interne Ressourcen gebunden werden und entsprechende Kosten für die Implementierung und den fortlaufenden Betrieb auf die Unternehmen zukommen. Vor diesem Hintergrund ist es wenig verwunderlich, dass viele Firmen es nicht eilig haben die Compliance Guidelines zu implementieren. Die Gefahr hierbei ist allerdings, dass eine Verzögerung oft zu zusätzlichen Kosten führen kann oder eine Implementierung zu spät erfolgen könnte und somit empfindliche Strafen auf das Unternehmen wegen Nichteinhaltung zukommen. Besonders die Entwicklung einer effektiven Informationssicherheit-Strategie ist mittlerweile ein entscheidender Faktor für den Erfolg eines Unternehmens geworden. Dabei besteht die Herausforderung darin, zu erkennen, welche der aktuellen und kommenden Richtlinien ein Unternehmen tatsächlich befolgen muss und wie diese möglichst effizient und erfolgreich umgesetzt werden können. Es wird zwar erwartet, dass Unternehmen Methoden und klare Strategien zur langfristigen Einhaltung der Informationssicherheit einführen, allerdings gibt es keine klaren Vorschriften bezüglich der praktischen Umsetzung. Es wurde sowohl von staatlicher als auch privater Seite eine Vielzahl an empfohlener Wege zur Einhaltung dieser Regeln entwickelt, wie z.b. ISO zur Gewährleistung der EU-Datenschutzrichtlinie und Annex 11, das FTIEC (Federal Financial Institutions Examination Council IT Handbook on Information Security) zur Einhaltung von Basel II und eine Vielzahl anderer Empfehlungen für die diversen weiteren Vorschriften. Die große Anzahl an Gesetzen und Richtlinien sorgt in Unternehmen für ein gewisses Maß an Verunsicherung, da nicht immer auf den ersten Blick ersichtlich ist, für welches Unternehmen diese gültig und verpflichtend sind und wie diese im Detail praktisch umgesetzt werden müssen.

66 66 Allerdings haben die vielen Richtlinien auch gemeinsamen Komponenten, wie beispielsweise die Pflicht zur Verifizierung der Identität, entsprechende zentrale Berechtigungskonzepte für den Zugriff auf Informationen oder eindeutige Reports zur das Rechnungswesen und unveränderbare Logdateien für die Revision. Darüber hinaus muss Compliance auch in einer sich kontinuierlich ändernden IT- Umgebung mit einer ständig wachsenden Zahl an Anwendern und Applikationen die notwendige Gesetzeskonformität und Sicherheit gewährleisten. Unter diesen Gesichtspunkten müssen viele Trends wie beispielsweise das Outsourcing, der gewachsene Online Austausch von digitalen Daten mit Geschäftspartnern und Service Orientierte Architekturen betrachtet und neu bewertet werden. Diese Strategien zur Erreichung der Compliance in Verbindung mit anderen Geschäftszielen wie Kostenreduzierung, Verbesserung des Kundendienstes, Produktivitätssteigerung und Umsatzsteigerung in Einklang zu bringen, setzt Unternehmen auf den ersten Blick unter einen immer gravierender werden Druck. Wird jedoch der zentrale und prozessübergreifenden Ansatz der Compliance zugrunde liegt, konsequent und durchgängig umgesetzt, erhalten die Unternehmen langfristig eine bessere Transparenz und Flexibiliät, die es Ihnen gestattet sehr agil auf Veränderungen zu reagieren, ohne weitere Maßnahmen die hohe Kosten nach sich ziehen ergreifen zu müssen. In der Anfangsphase sind detaillierte Analysen zur Definition der an den individuellen Vorraussetzungen des Unternehmens angepassten Maßnahmen zwingend erforderlich, was kostenmäßig und zeitmäßig berücksichtigt werden muss. In den meisten Fällen können Scorecards, in denen sämtliche Richtlinien wie Basel II, SOX, EU DPD, usw. und die Rahmenwerke wie ISO oder COBIT berücksichtigt werden, Unternehmen helfen herauszufinden, was genau das jeweilige Unternehmen betrifft und was unternommen werden sollte um in diesen Belangen Konformität zu erlangen. RSA Security hat kürzlich eine Scorecard zur Definition der Security-Strategie veröffentlicht. Dieses interaktive Tool soll Unternehmen beim Thema Compliance unterstützen und hilft ihnen weitestgehend alle Anforderungen, sowie die verschiedenen Regularien die ihr Geschäft betreffen klar zu identifizieren. Zusätzlich enthält es noch praktische Vorschläge (Best Practises) für die Umsetzung der festgestellten Anforderungen..

67 67 Mit dem firmeninternen Compliance Programmen zeigen Unternehmen auch Ihr Engagement zur Umsetzung des Unternehmenswertes Integrität. Da Rechtsverstöße das Ansehen der Unternehmens und das Vertrauen der Stakeholder in das Unternehmen erheblich beeinträchtigen können. Compliance Programme bieten Mitarbeitern dabei eine Hilfestellung zu korrektem Verhalten: In einer Handlungsanleitung fasst es zentrale gesetzliche Bestimmungen, sowie die entsprechende Unternehmenspolitik zusammen. Autor: Seit 1996 arbeitet Norbert Olbrich als Technical Manager Strategic Accounts bei RSA Security. Er vertritt RSA als Pressespecher für technische Belange und referiert auf Kongressen und in Fachverbänden.

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Abb. 1: Die größten Herausforderungen im Zusammenhang mit Veränderungen

Abb. 1: Die größten Herausforderungen im Zusammenhang mit Veränderungen Changemanagement die Unternehmenskultur zu verändern braucht Zeit Von Ralf Strehlau und Marc Sieper Wenn Unternehmen erkennen In unserer Organisation klemmt es zum Beispiel im Bereich Führung und Zusammenarbeit

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Wie man mit Change Management IT-Projektkosten senken kann

Wie man mit Change Management IT-Projektkosten senken kann Wie man mit Change Management IT-Projektkosten senken kann ein Artikel von Ulrike Arnold Kaum ein Projekt wird in der vorgegebenen Zeit und mit dem geplanten Budget fertiggestellt. Und das, obwohl die

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security Informationssicherheit in der Praxis @-yet GmbH Hans-Peter Fries Business Security Risikoverantwortung und Know-How Schutz im Unternehmen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Warum IT-Sicherheit im Kopf stattfinden muss

Warum IT-Sicherheit im Kopf stattfinden muss Sebastian Mehner Warum IT-Sicherheit im Kopf stattfinden muss Kontra-Vortrag im Seminar SoftwareZuverlässigkeit Überblick 1. Risikofaktor Mensch 2. Datenklau für Dummies 3. Passwort-Probleme 2 1. Risikofaktor

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Hacking Day 2013 Security Lifecycle

Hacking Day 2013 Security Lifecycle Hacking Day 2013 Security Lifecycle Griffige Information Security Policies Balance zwischen Theorie und Praxis Yves Kraft Team Leader Consulting & Training OneConsult GmbH 16. Mai 2013 Hacking Day 2013

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern

Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Deutsche Übersetzung. Im Zweifelsfall gilt das englische Original Unternehmenspolitik zu Sicherheit, Security, Gesundheits- und Umweltschutz im Roche-Konzern Ausgabe 2012 Verpflichtung gegenüber der Gesellschaft

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

AP06. Den Wandel gestalten Strategisches Change-Management. Veränderungsprozesse wirksam führen und managen

AP06. Den Wandel gestalten Strategisches Change-Management. Veränderungsprozesse wirksam führen und managen Den Wandel gestalten Strategisches Change-Management Veränderungsprozesse wirksam führen und managen Autoren Irena Baumgartner, Jill Schmelcher, Anna Beinlich AP06 Herausgeber Prof. Dr. Arnold Weissman

Mehr

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Neun Jahre ISO-27001-Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell Neun Jahre ISO-27001-Zertifizierung Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell UNTERNEHMENSSTRATEGIE IT-Dienstleistungszentrum im Bund Das IT-Dienstleistungszentrum der Bundesverwaltung für Vision

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

Information Security Awareness

Information Security Awareness Information Security Awareness Marcus Beyer Senior Security Awareness Architect Hewlett-Packard (Schweiz) GmbH Sarah Ahmed Junior Security Awareness Consultant Hewlett-Packard (Schweiz) GmbH Copyright

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Information Security Awareness

Information Security Awareness Information Security Awareness Stärkung des Sicherheitsbewusstseins in deutschen Unternehmen Eva Jost 07. Mai 2009, Iserlohn Agenda Definition Information Security Awareness Interne und externe Unternehmensbedrohungen

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Ihr Weg zu mehr Sicherheit

Ihr Weg zu mehr Sicherheit Ihr Weg zu mehr Sicherheit IT-Sicherheitsproblem Für IT-Sicherheit wird nicht genug getan, denn... Zwei von fünf Firmen sind pleite, wenn sie ihre Daten verlieren (CIO, 11/2001) Jährliche Steigerungsraten

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

W I S S E N S I C H E R N

W I S S E N S I C H E R N W I S S E N S I C H E R N Wissensmanagement als Mittel zum effizienten Ressourceneinsatz Ingenieurbüro für D i p l. - I n g. P e t e r L e h m a c h e r S t e t t i n e r S t r a ß e 1 7, 5 3 1 1 9 B o

Mehr

Security Governance ProjektebeiHP

Security Governance ProjektebeiHP Security Governance ProjektebeiHP mitden AugeneinesPMP gesehen Jürgen Bachinger Projekt Manager HP Services Consulting& Integration Hewlett Packard GmbH 2005 Hewlett Packard Development Company, L.P. The

Mehr

Change Management zum Erfolg führen: Unternehmenskultur verstehen, um sie sinnvoll und passend zu verändern.

Change Management zum Erfolg führen: Unternehmenskultur verstehen, um sie sinnvoll und passend zu verändern. Change Management zum Erfolg führen: Unternehmenskultur verstehen, um sie sinnvoll und passend zu verändern. Überblick Ablauf: Analyse der Unternehmenskultur Führungskompetenz und im Training Change Entwicklung

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein

Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009. Kurt Schädler. KSS Partners Establishment Schaan, Liechtenstein Sicherheitsaspekte an der Schnittstelle Business IT 9.12.2009 Kurt Schädler KSS Partners Establishment Schaan, Liechtenstein Agenda Vorstellung Sicherheitsaspekte Unterschiedliche Sichtweisen aus der Sicht

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei

Mehr

CBT Training & Consulting GmbH

CBT Training & Consulting GmbH CBT Training & Consulting GmbH Social Engineering Assessments Security Awareness Kampagnen & Tools Social Engineering Assessments Industriespionage & Wirtschaftskriminalität (bis hin zum möglichen Bankrott

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

360 FEEDBACK UND REFERENZEN IM MANAGEMENT AUDIT von KLAUS WÜBBELMANN

360 FEEDBACK UND REFERENZEN IM MANAGEMENT AUDIT von KLAUS WÜBBELMANN 360 FEEDBACK UND REFERENZEN IM MANAGEMENT AUDIT von KLAUS WÜBBELMANN 360 Feedback / Referenzen Referenzen und andere Verfahren der Einbeziehung von Personen aus dem Arbeitsumfeld einer einzuschätzenden

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Informationssicherheit für Juristen: vernachlässigter Prozess?

Informationssicherheit für Juristen: vernachlässigter Prozess? Informationssicherheit für Juristen: vernachlässigter Prozess? Ulrich Brügger Managing Security Consultant ISSS Vorstand, IBM Schweiz AG Es gibt gute Gründe Informationen zu schützen Behördliche Vorgaben

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe IT Security @ EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG Inhalt Die EGGER Gruppe Die EGGER OrgIT

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun.

Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun. Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun. Kennen. Beratung. Die beste Beratung basiert auf dem Verständnis

Mehr

Kunden gewinnen mit Fallstudien

Kunden gewinnen mit Fallstudien Seite 1 Content Marketing Guide 1 Kunden gewinnen mit Fallstudien Doris Doppler 2012 Doris Doppler. Alle Rechte vorbehalten. web: www.textshop.biz www.ddoppler.com mail: office@textshop.biz Das Werk einschließlich

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

Die wichtigsten Faktoren für erfolgreiche Vertriebsmaßnahmen.

Die wichtigsten Faktoren für erfolgreiche Vertriebsmaßnahmen. Die wichtigsten Faktoren für erfolgreiche Vertriebsmaßnahmen. Eine Studie der Meilenstein Gesellschaft Frank Bilstein Timo Müller Köln, Februar 2014 Meilenstein Gesellschaft für Umsetzung Im Klapperhof

Mehr

sechsseiten FÜHRUNG UND MOTIVATION AUSGABE 01-5 NOVEMBER 2007 > Motivation eine Führungsaufgabe?

sechsseiten FÜHRUNG UND MOTIVATION AUSGABE 01-5 NOVEMBER 2007 > Motivation eine Führungsaufgabe? sechsseiten FÜHRUNG UND MOTIVATION AUSGABE 01-5 NOVEMBER 2007 > Motivation eine Führungsaufgabe? sechsseiten FÜHRUNG UND MOTIVATION AUSGABE 01-5 NOVEMBER 2007 Das Engagement sinkt von Jahr zu Jahr 2001

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Virtuelles Führen in einer vernetzten Welt

Virtuelles Führen in einer vernetzten Welt Virtuelles Führen in einer vernetzten Welt BERGER + BARTHOLD PARTNERSCHAFT UNTERNEHMENS- UND PERSONALBERATER BÜRO HENSTEDT-ULZBURG: ALSTERWEG 11-24558 HENSTEDT-ULZBURG - TELEFON +49 4193 7 59 09 71 - FAX

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme

Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme Sicherung von Unternehmenspotenzialen und Wettbewerbsfähigkeit durch transparente Prozesse und Managementsysteme DSQM Datenschutzmanagement Qualitätsmanagement Datenschutzmanagement Der Basis-Schritt zum

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Security Awareness im Mittelpunkt steht der Mensch

Security Awareness im Mittelpunkt steht der Mensch Hans-Peter Fries Key Account Manager Business Security Security Awareness im Mittelpunkt steht der Mensch www.add-yet.de GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 1655 0 1 Firmenportrait

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Drei Strategien, die First-Call-Resolution zu verbessern

Drei Strategien, die First-Call-Resolution zu verbessern Drei Strategien, die First-Call-Resolution zu verbessern Das Messen von Kennzahlen ist allen Managern im Kunden-Service- Bereich ein Begriff. Die meisten von ihnen messen weit mehr als die branchenüblichen

Mehr

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Pressemeldung Frankfurt, 01. August 2011 IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Die Bedrohungsszenarien

Mehr

Informationen zum CDP Conflict Dynamics Profile

Informationen zum CDP Conflict Dynamics Profile Informationen zum CDP Conflict Dynamics Profile Konflikte sind in unserem Leben unvermeidlich. Selbst wenn wir unser Bestes geben, um Konflikte zu vermeiden, lassen sich Meinungsverschiedenheiten nicht

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Security Awareness als Produktpaket und Beratungsprojekt

Security Awareness als Produktpaket und Beratungsprojekt Wir schützen vertrauliche Daten. Informationssicherheit - Herzstück des Unternehmens 2. Sicherheitsforum südliches Sachsen-Anhalt des VSWM Marcus Beyer, Architect Security Awareness, ISPIN AG Agenda Pyramide

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr