Beiträge

Sind Best Practices selbstauferlegtes intendiertes Scheitern? Alles eine Frage der Sensibilisierung.

Sensibilisierung — ein bedeu­tungs­vol­les Wort für eine im wahrs­ten Sinne des Wortes bedeut­sa­me Aufgabe. In die­sem Blog-Beitrag wer­den Sie ler­nen, war­um nur tat­säch­lich sen­si­bi­li­sier­te MitarbeiterInnen dazu bei­tra­gen kön­nen, den Schutzbedarf Ihrer Organisation in Bezug auf Informationssicherheit zu wah­ren. Hier betrifft es ins­be­son­de­re jene Risiken, die auf die Vertraulichkeit, Verfügbarkeit und Integrität Ihrer Daten wir­ken und deren Eintrittswahrscheinlichkeit maß­geb­lich durch mensch­li­ches Handeln Ihrer Belegschaft beein­flusst wird.

Aber wir haben doch ein Informationssicherheitsmanagementsystem und schu­len doch unse­re Mitarbeiter regel­mä­ßig. Reicht das nicht?” wer­den Sie viel­leicht den­ken. Nun, es kommt dar­auf an, was Ihr ISMS abdeckt und was Ihre Schulung am Ende bewirkt.

Bemühen Sie doch ein­mal das PONS Wörterbuch. Sie wer­den sehen, dass das latei­ni­sche Wort “sen­sus” eine Vielzahl von Deutungen zulässt und die alten Römer eine Menge mehr als nur “Wissen” oder “Können” mein­ten, wenn sie an “sen­sus” und viel­leicht auch Sensibilisierung dach­ten:

Denn sen­sus meint auch Dinge wie (Sinnes-)Eindruck, (Sinnes-)Wahrnehmung, Sinnesorgan, Besinnung, Bewusstsein, Verständnis, Urteil(sfähigkeit) und sogar inne­re Anteilnahme.

Wenn Sie dem­nach MitarbeiterInnen im wahrs­ten Sinne des Wortes sen­si­bi­li­sie­ren möch­ten, dann müs­sen Sie es schaf­fen, deren inne­re Haltung, Einstellung und Grundhaltung für Ihr Thema in der Art nach­hal­tig posi­tiv zu beein­flus­sen, dass die Augen und Ohren sowie die inne­re Geisteshaltung Ihrer geschul­ten MitarbeiterInnen geeig­net und wil­lens sind, Informationssicherheitsereignisse zu erken­nen, bevor die­se zu Informationssicherheitsvorfällen wer­den.

Und genau dar­um geht es doch eigent­lich, oder?

Nun sagen Sie viel­leicht: “Papperlapapp — Schulung reicht uns, Augen und Ohren der Organisation brau­che ich nicht für mein ISMS. Wir unter­wei­sen und ver­pflich­ten alle MitarbeiterInnen auf die bestehen­den Maßnahmen und Richtlinien. Und wenn sich alle dran hal­ten, dann sind wir com­pli­ant und damit safe. Wer sich nicht dran hält, fliegt raus”.

Kann man machen, ist aber Mist.

Denn Ihr ISMS kann nur jene Maßnahmen“managen”, für die Sie die zugrun­de­lie­gen­den Risiken erkannt und ein­ge­stuft haben. Was aber ist mit den Risiken, von denen Sie nicht mal im Ansatz wis­sen, dass Sie nicht wis­sen, dass es sie gibt. Donald Rumsfeld nann­te die­se (wenn auch in einem ande­ren unschö­nen Kontext) die “unknown unknowns”.

Und Ihr ISMS ori­en­tiert sich mit Sicherheit an Best-Practices, die Ihren MitarbeiterInnen Leitlinien im (siche­ren) Umgang mit (schüt­zens­wer­ten) Informationen lie­fern. BSI-Grundschutz und ISO27xxx beinhal­ten sol­che Best-Practices. Leider sind Best-Practices jedoch immer auch Past-Practices.

Und genau hier dro­hen zwei laten­te Gefahren:

Erstens wird Ihr ISMS immer Lücken haben (“unknown unknowns”). Sonst bräuch­te es ja im Sinne des PDCA-Zyklus auch kei­ne ste­te Verbesserung des sel­bi­gen.

Und zwei­tens wird es immer böse Menschen geben, die sol­che Regelsysteme und deren (Best-)Practices wie ihre Westentasche ken­nen und damit in der Lage sind, das Radar Ihres ISMS bewusst zu unter­flie­gen.

In einem sehr inter­es­san­ten Beitrag von 2013 fass­te Ortmann unter dem Titel “Noch nicht / nicht mehr — Zur Temporalform von Paradoxien des Organisierens” diver­se Ursachen für das Scheitern von Organisationen zusam­men. Eine die­ser Formen cha­rak­te­ri­sier­te er als inten­diert und selbst­auf­er­legt. In die­se Kategorie las­sen sich aus Best-Practices ein­ord­nen. Organisationen schei­tern mit und wegen ihrer sich selbst auf­er­leg­ten Regelwerke.

Das klingt para­dox — und genau dar­um geht es in Ortmanns Artikel und in die­sem Blog-Beitrag. Denn wenn sich eine Organisation Handlungsrichtlinien wie ein ISMS auf­er­legt, dann Scheitern die Akteure (MitarbeiterInnen) der Organisation (in Bezug auf Informationssicherheit) zum einen dann, wenn die Handlungsrichtlinien kei­ne Orientierung und/oder Anschlussfähigkeit mehr bie­ten. Sprich: für ein kon­kret ein­tre­ten­des “unknown unknown” exis­tiert schlicht kei­ne Regel. Es feh­len Anweisungen, wie man sich nun zu ver­hal­ten habe. Dadurch wer­den Mitarbeiter im kon­kre­ten Fall auf­grund ihrer hohen antrai­nier­ten Regelaffinität hand­lungs­un­fä­hig. Das ist das Schlimmste, was im Falle aku­ter Gefährdung Ihrer Informationssicherheit pas­sie­ren kann.

Und zum ande­ren kön­nen trotz kon­se­quen­ter und kor­rek­ter Anwendung aller Regeln Bedrohungen dann nicht erkannt wer­den, wenn bspw. Human Hacker die Best Practices Ihres ISMS genau ken­nen und sich durch ver­meint­lich regel­kon­for­mes Handeln in der Organisation trotz schäd­li­chen Verhaltens nicht zu erken­nen geben. Social Engineering öff­net ver­meint­lich gut ver­schlos­se­ne Türen mit mani­pu­la­ti­ven Techniken nahe­zu geräusch­los und Informationssicherheitsvorfälle gesche­hen unbe­merkt.

Hier wird der Bedarf an sen­si­bi­li­sier­ten MitarbeiterInnen deut­lich. Denn in bei­den Fällen hel­fen MitarbeiterInnen nicht, die ledig­lich geschult, unter­wie­sen und ver­pflich­tet wur­den.

Sie brau­chen in bei­den Fällen sen­si­bi­li­sier­te MitarbeiterInnen. Denn in bei­den Fällen braucht Ihre Organisation wach­sa­me Augen und Ohren, die durch inne­re Anteilnahme intrinsisch moti­viert Auffälligkeiten und Anomalien erken­nen und kom­mu­ni­zie­ren. Und Sie brau­chen eine Belegschaft, die im Falle von “unknown unknowns” beson­nen (das Wort steckt übri­gens auch in “sen­sus”) agiert und sich bei Fehlen kon­kre­ter Handlungsanweisungen und Regeln “sinn­ge­mäß” (also im Sinne des ISMS und Ihrer Sicherheitspolitik) ver­hält.

Sensibilisierung ist also etwas ande­res als eine Schulung. Das BSI und die ISO27xxx for­dern bei­des. Schulung und Sensibilisierung. Das hat sei­nen Sinn und ist gut so. Vielleicht wis­sen BSI und ISO ja auch um die­se orga­ni­sa­tio­na­le Schwachstelle von Best-Practices.

Möchten Sie mehr über unse­re didak­ti­schen Konzepte zur nach­hal­ti­gen Sensibilisierung von MitarbeiterInnen erfah­ren? Dann kommen Sie auf uns zu. Wir stel­len Ihnen unse­ren Ansatz gern im per­sön­li­chen Gespräch vor.

Social Engineering: Die unterschätzte Gefahr

Der Zugriff auf sen­si­ble, schüt­zens­wer­te und für das Unternehmen ele­men­tar über­le­bens­wich­ti­ge (“intel­lec­tu­al pro­per­ty”) Daten will kon­trol­liert, gesteu­ert und geschützt sein, um den Bestand der Unternehmung nicht zu gefähr­den. Kommerzielle Schäden (Umsatzrückgang auf­grund Vertrauensverlust der Kunden, Strafzahlungen gemäß EU-DSGVO) und Reputationsverlust sind da noch das gerin­ge­re Übel, wenn sol­che Daten “abhan­den kom­men”. Vielmehr kann geziel­te Industriespionage die Alleinstellungsmerkmale der Unternehmung zum Ziel haben und damit grund­le­gend den Fortbestand des Unternehmens gefähr­den, wenn intel­le­cu­tal pro­per­ty zum Mitbewerb wan­dert.

Unternehmen fokus­sie­ren daher auf IT-Sicherheit und geben gemäß einer Studie von Statista allein in Deutschland in 2019 voraussichtlich rund 1,4 Milliarden Euro aus.

Das senkt die Wahrscheinlichkeit des tech­ni­schen Einbruchsversuchs, denn wie im wirk­li­chen Leben auch zie­hen Einbrecher lie­ber wei­ter zum nächs­ten Haus, wenn die Eingangstür im Vergleich zum Nachbarhaus gut gesi­chert ist.

Vergessen wird jedoch gern, dass tech­ni­sche Zugänge ja nicht der ein­zi­ge Weg sind, auf die­se schüt­zens­wer­ten Daten zuzu­grei­fen. Denn wenn Ihr Unternehmen nicht zufäl­li­ges und belie­bi­ges Ziel einer Diebesbande ist, son­dern Ihre Daten ganz kon­kre­tes Ziel geplan­ter Angriffe sind, weil bspw. Industriespionage im Vordergrund steht, wer­den Angreifer nicht locker las­sen, um an Ihre infor­ma­tio­nel­len Kronjuwelen zu gelan­gen. Sie wer­den ande­re Angriffswege wäh­len, wenn Hacker tech­nisch nicht wei­ter­kom­men und an den tech­ni­schen Sicherheitsmaßnahmen Ihrer Organisation schei­tern.

Angriffssziel wer­den dann die MitarbeiterInnen Ihrer Organisation, die durch geziel­te und geschick­te Manipulation dazu bewegt wer­den, Daten her­aus­zu­ge­ben, Credentials preis­zu­ge­ben oder Angreifern Türen auf­zu­ma­chen, die durch Technik bis­her gut gesi­chert und ver­schlos­sen waren.

Social Engineering und Sabotage sind laut der Allianz für Cybersicherheit des BSI zwei der zehn bedeut­sams­ten Sicherheitsbedrohungen in 2019. Die Aufmerksamkeit für die­ses Thema beim Aufbau eines ganz­heit­li­chen Ansatzes zum Schutze die­ser sen­si­blen Unternehmensdaten ist jedoch aus unse­rer Erfahrung immer noch viel zu gering.

Wir freu­en uns, dass die Deutsche Oracle Anwendergruppe (DOAG) uns als Speaker ein­ge­la­den hat und wir auf der DOAG Konferenz 2019 in Nürnberg über die­ses wich­ti­ge Thema der Informationssicherheit spre­chen dür­fen. Mit über 2.000 TeilnehmerInnen ist die DOAG Konferenz die füh­ren­de ORACLE Fachkonferenz, auf der das Thema tech­ni­scher Sicherheit von Daten(banken) in den letz­ten Jahren aus genann­ten Gründen zuneh­mend an Bedeutung gewon­nen hat.