Sechs Tipps für mehr Security-Akzeptanz Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.01.2011 Ralph Dombach*

Sechs Tipps für mehr Security-Akzeptanz

Security-Verantwortliche müssen im Spannungsfeld zwischen Anwenderwünschen, einem kostenorientiertem Management und auf Sytem-Performance achtende Administratoren klarkommen. Das ist nicht einfach - aber machbar.

Mit IT-Sicherheit lässt sich kein Geld verdienen und kein Anwender glücklich machen. Deshalb ist das Image der Verantwortlichen oft nicht besonders. Unsere Tipps sollen helfen, die Akzeptanz der Security zu verbessern. Dies ist umso wichtiger, als Sicherheit ein wesentlicher Garant für den Unternehmenserfolg ist - aber nur wenn sie auf breiter Ebene akzeptiert wird.

Sicherheit hat sich in den letzten fünf Jahren massiv gewandelt. Aus dem überschaubaren Umfeld von Regeln und einigen Sicherheitsprodukten wie Virenscannern und Verschlüsselungstools ist eine komplexe, heterogene Landschaft geworden. Doch was nutzen gestaffelte Schutzsysteme, wenn der User am Ende trotzdem aus Unwissenheit und Neugier auf einen Link klickt und dem Trojaner alle Türen öffnet?

Diesem Umstand trägt vor allem Security Awareness Rechnung, die eine Verhaltensänderung beim User erreichen will. Aber oft vergisst man dabei, vor der eigenen Türe zu kehren.

Tipp 1: Security braucht ein "Frontschwein" Wenn Mitarbeiter im Unternehmen über Security sprechen fällt oft der Satz: "Die von der Security sagen …". In diesem Fall fehlt ein Frontschwein. Oder besser gesagt eine Gallionsfigur, ein Sprecher, ein Gesicht, das im Unternehmen für Security steht. Sicherheit muss identifizierbar sein - anhand einer Person die damit in Bezug gebracht wird. Einem einzelnen Mitarbeiter kann der Anwender leichter vertrauen, als einer namenlosen Gruppe, die Informationssicherheit betreibt. Eine E-Mail an einen einzelnen Mitarbeiter schreibt sich leichter als an einen Sammeladresse, hinter der sich eine Gruppe von Personen verbirgt.

Die Eins-zu-eins-Beziehung individualisiert Probleme und gibt ihnen eine höhere Gewichtung im persönlichen Rahmen.

Tipp 2: Kommunikation in der Muttersprache Die Welt rückt zusammen und Englisch ist eine der großen Weltsprachen. Abhängig vom individuellen Talent und Eifer spricht der eine die Sprache perfekt, während der andere seine Probleme damit hat. Sicherheit ist aber etwas, das überzeugend erklärt werden muss. Wer Sicherheit verkauft, muss die Sprache seiner Kunden sprechen.

Werden beispielsweise die neuen Regeln für die Nutzung eines Social Networks im Unternehmen veröffentlicht, sollten diese nicht nur in Englisch, sondern auch in der Muttersprache der Mitarbeiter vorliegen. Regeln und Vorschriften sind ohnehin schon "ermüdend", aber diese dann auch noch in einer fremden Sprache zu lesen, die man nicht zu 100 Prozent beherrscht, ist ein hoffnungsloses Vorhaben.

Tipp 3: Kontinuität bei allen Aktivitäten Ein Maler, der die Golden Gate Brücke mit Rostschutzfarbe streicht, kann; sobald er sein Werk beendet und am Ende der Brücke angekommen ist, gleich wieder von vorne anfangen, denn dort blättert inzwischen wieder die erste Farbe ab. So verhält es sich auch mit Security. Kaum ist man am Ende angelangt, kann man gleich wieder erneut starten, denn Sicherheit ist ein kontinuierlicher Prozess und keine Einmalaktion. Was sich bei der Überprüfung der DMZ-Sicherheit (Demilitarisierte Zone) längst etabliert hat und bei einem Virenscanner-Signaturupdate tägliche Routine ist, gilt aber nicht überall.

Ein Security-Blog startet man leicht, ein Newsletter ist schnell ins Leben gerufen und Berichte über neue Security-Themen sind schnell ins Internet gestellt. Doch dann, nach 14 Tagen oder vier Wochen, wird das neue Projekt zur Routine und das Engagement geht drastisch zurück. Blogs, die in sechs Monaten fünf Einträge vorweisen, oder Newsletter, die vor einem Vierteljahr zuletzt erschienen sind, bringen nichts. Wer solche Leichen im Keller hat, sollte den Mut aufbringen sie ordentlich zu beerdigen. Wer vorhat, die Anwender auf den Intranet-Seiten über Security zu informieren, der sollte sich darauf einstellen, dass dies ein stetiger Prozess ist, der beispielsweise jede Woche einen Beitrag erfordert. Dass dies machbar ist, zeigen viele Blogs oder Twitter-User, die tagtäglich Dutzende von Nachrichten publizieren. Sicherheit ist mühsam - aber nur Ausdauer und Engagement bringen Erfolg.

Tipp 4: Verständlich kommunizieren Firewall, Circuit-Level-Proxy, Blacklisting, Zertifikat, Keylogger, Signatur, IDS - all das sind gebräuchliche Begriffe aus dem Security-Umfeld. Sie erleichtern die Fachkommunikation der Experten untereinander. Doch für den Außenstehenden stellt diese Kommunikation ein Buch mit sieben Siegeln dar. Während man untereinander im Fachjargon kommunizieren kann, sollte man dies nicht mit den Endusern tun.

Mitarbeiter, die so angesprochen werden, bauen kein Vertrauen auf - im Gegenteil: Sie fühlen sich im Stich gelassen. Es ist nicht nötig, etablierte Begriffe wie Firewall durch eine "Brandschutzmauer" zu ersetzen, aber erklärende Worte darüber, wozu eine Firewall gut ist, erhöhen das Verständnis und helfen Missverständnisse zu vermeiden.

"Security through obscurity" gehört eindeutig der Vergangenheit an. Wer heute Akzeptanz für eine Überprüfung der Webseiten auf eingelagerte Computerviren oder ähnliches haben will, muss verständlich kommunizieren. Beispiele, die den Nutzen einer neuen Sicherheitsregel aufzeigen, sind dabei ebenso nützlich, wie eine verständliche Sprache ohne Fachchinesisch.

Tipp 5: Flexibel und kundenorientiert arbeiten Je größer und komplexer eine Aufgabe, umso wichtiger ist es, detailliert zu planen. Trotzdem ist auch Flexibilität erforderlich. Wenn das Business den Bedarf sieht, nicht nur via E-Mail sondern auch via Social Network mit Geschäftspartnern zu kommunizieren, dann hat die Security zu handeln. Der ursprüngliche Zeitplan für die Erstellung der "Regeln beim innerbetrieblichen Umgang mit Social Networks" ist damit hinfällig. Business braucht die Regeln "gestern" und nicht im dritten Quartal 2011. Flexibilität ist daher ein entscheidender Faktor für die Security als Business Enabler im Unternehmen.

Wie die Security diesen Spagat zwischen erforderlicher Planung und Flexibilität gelingt, wird dabei in der Regel vom Business nicht hinterfragt. Mitunter hilft die 80:20-Regel (mit 20 Prozent Aufwand, 80 Prozent der Problems lösen). So lässt sich ein wenig das Planungs- und Zeitdilemma mildern, das sich durch ungeplante Aktivitäten ergibt. Flexibilität sichert hier das Unternehmen ab. Denn eine Nutzung von Social Networks ohne entsprechende Regeln und Hinweise wäre ein nicht akzeptables Risiko.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr

Hosted by:    Security Monitoring by: