Menü
IT Sicherheit ist ein Weg, kein Ziel!
10.09.2018

Kommunikation ist wichtig!

Ein Sprichwort besagt:
Kluge Leute lernen den Fehlern der anderen – die Dummen aus ihren eigenen!

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Man kann aber auch die Fehler der Dummen und Klugen reduzieren, wenn man vorab einen Sachverhalt darlegt und so verhindert das der Belehrte die „Hand-auf-Herdplatte-Probe“ macht.

Jedoch scheint der Aufwand vielen zu hoch oder auch die Verlockung zu groß, den andern diesen Fehler zu ersparen. Also schweigt man, denn was man selbst erlernt hat, sollen auch andere mühsam erlernen! Schweigen ist übrigens sehr beliebt innerhalb von IT Security.

Jeder gibt nur ein Mindestmaß an Informationen preis, ggf. auch noch zeitverzögert, um die eigenen Pfründe zu sichern und dem Mitbewerber ja keinen Vorteil zu gewährten. Auch betriebliche Vorgesetzte sind dagegen nicht gefeit. Knobeln sie doch gerne im stillen Kämmerlein, unterstützt von qualifizierten Beratern und Produktherstellern die neueste Strategie aus, wie man nun das Netzwerk am besten sichert, oder endlich Spam- und Phishing-E-Mails den gar aus acht. Die eigenen Mitarbeiter kommen dabei selten zum Zuge, denn ihr Wissen schient nicht umfassend genug und ihre Sicht der Dinge zu eingeschränkt – da braucht es eben erfahrene und global agierende Berater.

Alles schön und gut, aber die Geheimnistuerei hat nicht nur Vorteile, sie hat auch einen gravierenden Nachteil – mitunter verstehen Sie die eigenen Mitarbeiter nicht was da geplant wurde und torpedieren unwissentlich dieses Konstrukt.
Mache sind auch IT-Rebellen und versuchen neue Vorgaben es aus Prinzip zu umgehen, denn weshalb setzt das Unternehmen Produkt X ein, welches nur 10 Dateitypen am Gateway erlaubt, wo doch bekanntermaßen Produkt Y viel besser ist und 25 unterschiedliche Dateiarten unterstützt? Fragen, die oft nur mit einem lapidaren Hinweis wie „Wir nutzen nun Produkt Z, da dies besser in unser Portfolio passt und ein effektiveres Arbeiten erlaubt“ erklärt wird. Über die Wege zur Entscheidung oder ggf. Vorgaben, welche die Auswahl einschränkten, werden die Mitarbeiter oft nicht informiert.

Das dies einen Anwender nicht wirklich überzeugt liegt auf der Hand. Denn seit der Nutzung von Großrechnern, die in einem klimatisierten Rechenzentrum ihren Dienst erledigten hat sich doch einiges verändert. Generation Y, die ohne Smartphone nicht aus dem Haus geht und deren heimische PC-Ausstattung besser ist, als das was im Unternehmen bereitgestellt wird, haben Ihre eigenen Erfahrungen und auf diesen basierend auch eine eigene Meinung. Eine eigene Meinung bedeute aber, dass man andere Meinungen hinterfragt und das dies ggf. zum Konflikt führen kann, was bei IT Sicherheit leider kein erstrebenswerter Zustand ist. Denn das mit der Sicherheit klappt nur, wenn ALLE, an einem gemeinsamen Strang ziehen.

Zweifelsohne muss in einem Unternehmen ebenso wie in einer Familie oder sonstigen Gruppierung von Individuen jemand die Entscheidungen treffen. Diese Strategie ist gut und hat sich auch bewährt – und meistens überwiegen die Vorteile die negativen Aspekte. Aber die Entscheidungen werden zumeist besser von einer Personen-Gruppierung aufgenommen, wenn man die Gründe nachvollziehen kann, weshalb die Entscheidung so und nicht anders getroffen wurde! Erklärt man, um zum vorherigen Beispiel zurück zu kommen, dass Produkt X deshalb ausgewählt wurde, da die zehn Dateitypen etwa 95% aller behandelten Dateitypen im Unternehmen ausmachen und der doppelte Produktpreis für eine Unterstützung der restlichen 5% an Dateitypen nicht sinnvoll ist – dann ist eine Entscheidung durchaus nachvollziehbar.


Man solle einfach öfter die Fakten auf den Tisch bringen und darlegen, weshalb etwas so und nicht anders läuft. Gerade bei IT Sicherheit würde dies zu einer besseren Security-Akzeptanz führen, denn Mitarbeiter würden erkennen, dass man sie nicht drangsalieren oder einschränken will, sondern Entscheidungen aus spezifischen und nachvollziehbaren Gründen getroffen wurden!
Dies betrifft vor allem die üblichen „Pain-Points“, wie beispielsweise die Passwort-Wechselhäuftigkeit, ausgewählte Hard- und Software, Einschränkungen durch Security-Tools, Regelwerke und Nutzungsvorschriften.

 

Also liebe CISOS, Datenschützer, Security-Admins und Security-Macher – nicht alles ist selbsterklärend. Macht euere Entscheidungen für die Anwender, das Management und Geschäftspartner transparent (soweit machbar) und der Lohn wird eine bessere Security-Akzeptanz innerhalb der Umgebung sein.