Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.
Sensibilisierung — ein bedeutungsvolles Wort für eine im wahrsten Sinne des Wortes bedeutsame Aufgabe. In diesem Blog-Beitrag werden Sie lernen, warum nur tatsächlich sensibilisierte MitarbeiterInnen dazu beitragen können, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wahren. Hier betrifft es insbesondere jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wirken und deren Eintrittswahrscheinlichkeit maßgeblich durch menschliches Handeln Ihrer Belegschaft beeinflusst wird.
“Aber wir haben doch ein Informationssicherheitsmanagementsystem und schulen doch unsere Mitarbeiter regelmäßig. Reicht das nicht?” werden Sie vielleicht denken. Nun, es kommt darauf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.
Bemühen Sie doch einmal das PONS Wörterbuch. Sie werden sehen, dass das lateinische Wort “sensus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” meinten, wenn sie an “sensus” und vielleicht auch Sensibilisierung dachten:
Denn sensus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar innere Anteilnahme.
Wenn Sie demnach MitarbeiterInnen im wahrsten Sinne des Wortes sensibilisieren möchten, dann müssen Sie es schaffen, deren innere Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nachhaltig positiv zu beeinflussen, dass die Augen und Ohren sowie die innere Geisteshaltung Ihrer geschulten MitarbeiterInnen geeignet und willens sind, Informationssicherheitsereignisse zu erkennen, bevor diese zu Informationssicherheitsvorfällen werden.
Und genau darum geht es doch eigentlich, oder?
Nun sagen Sie vielleicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brauche ich nicht für mein ISMS. Wir unterweisen und verpflichten alle MitarbeiterInnen auf die bestehenden Maßnahmen und Richtlinien. Und wenn sich alle dran halten, dann sind wir compliant und damit safe. Wer sich nicht dran hält, fliegt raus”.
Kann man machen, ist aber Mist.
Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrundeliegenden Risiken erkannt und eingestuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wissen, dass Sie nicht wissen, dass es sie gibt. Donald Rumsfeld nannte diese (wenn auch in einem anderen unschönen Kontext) die “unknown unknowns”.
Und Ihr ISMS orientiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (sicheren) Umgang mit (schützenswerten) Informationen liefern. BSI-Grundschutz und ISO27xxx beinhalten solche Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.
Und genau hier drohen zwei latente Gefahren:
Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuchte es ja im Sinne des PDCA-Zyklus auch keine stete Verbesserung des selbigen.
Und zweitens wird es immer böse Menschen geben, die solche Regelsysteme und deren (Best-)Practices wie ihre Westentasche kennen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unterfliegen.
In einem sehr interessanten Beitrag von 2013 fasste Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diverse Ursachen für das Scheitern von Organisationen zusammen. Eine dieser Formen charakterisierte er als intendiert und selbstauferlegt. In diese Kategorie lassen sich aus Best-Practices einordnen. Organisationen scheitern mit und wegen ihrer sich selbst auferlegten Regelwerke.
Das klingt paradox — und genau darum geht es in Ortmanns Artikel und in diesem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auferlegt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien keine Orientierung und/oder Anschlussfähigkeit mehr bieten. Sprich: für ein konkret eintretendes “unknown unknown” existiert schlicht keine Regel. Es fehlen Anweisungen, wie man sich nun zu verhalten habe. Dadurch werden Mitarbeiter im konkreten Fall aufgrund ihrer hohen antrainierten Regelaffinität handlungsunfähig. Das ist das Schlimmste, was im Falle akuter Gefährdung Ihrer Informationssicherheit passieren kann.
Und zum anderen können trotz konsequenter und korrekter Anwendung aller Regeln Bedrohungen dann nicht erkannt werden, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau kennen und sich durch vermeintlich regelkonformes Handeln in der Organisation trotz schädlichen Verhaltens nicht zu erkennen geben. Social Engineering öffnet vermeintlich gut verschlossene Türen mit manipulativen Techniken nahezu geräuschlos und Informationssicherheitsvorfälle geschehen unbemerkt.
Hier wird der Bedarf an sensibilisierten MitarbeiterInnen deutlich. Denn in beiden Fällen helfen MitarbeiterInnen nicht, die lediglich geschult, unterwiesen und verpflichtet wurden.
Sie brauchen in beiden Fällen sensibilisierte MitarbeiterInnen. Denn in beiden Fällen braucht Ihre Organisation wachsame Augen und Ohren, die durch innere Anteilnahme intrinsisch motiviert Auffälligkeiten und Anomalien erkennen und kommunizieren. Und Sie brauchen eine Belegschaft, die im Falle von “unknown unknowns” besonnen (das Wort steckt übrigens auch in “sensus”) agiert und sich bei Fehlen konkreter Handlungsanweisungen und Regeln “sinngemäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) verhält.
Sensibilisierung ist also etwas anderes als eine Schulung. Das BSI und die ISO27xxx fordern beides. Schulung und Sensibilisierung. Das hat seinen Sinn und ist gut so. Vielleicht wissen BSI und ISO ja auch um diese organisationale Schwachstelle von Best-Practices.
Möchten Sie mehr über unsere didaktischen Konzepte zur nachhaltigen Sensibilisierung von MitarbeiterInnen erfahren? Dann kommen Sie auf uns zu. Wir stellen Ihnen unseren Ansatz gern im persönlichen Gespräch vor.