Was tun angesichts der Überforderung?

0
769
In der Expertenrunde diskutierten Referenten und Zuhörer mögliche Formate für eine effektivere Fortbildung beim Datenschutz. (BS/Petersdorff)

Neuerungen in der IT-Sicherheit kommen rasant. In immer engeren zeitlichen Intervallen werden Maßnahmen durchgeführt, die auf aktuelle Bedrohungslagen reagieren. Was aus Sicht eines dynamisch agierenden Datenschutzes sicherlich notwendig ist, lässt viele Mitarbeiterinnen und Mitarbeiter eines Unternehmens bzw. einer Behörde mitunter überfördert zurück.

Es braucht ein generelles Umdenken, wenn Entwicklungen in der IT-Sicherheit bis auf die Ebene der Mitarbeiter durchdringen sollen, so das Fazit der Experten, die sich auf der IT-Security-Konferenz PITS zum Faktor Mensch austauschten. Sicher, ein einschlägiges Schulungsangebot ist vorhanden bzw. muss vorhanden sein – so fordert es der europäische Förderungsstandard ISO/IEC 27001, der eine ganzheitliche Aufklärung über die Risiken des Datentransfers in Unternehmen vorsieht. Fraglich ist nur, ob Maßnahmen, die auf externen Druck zustande kommen, wirklich nachhaltig seien können: “Nur weil ein entsprechender Lehrgang durchgeführt wurde, muss das noch nicht zwingend bedeuten, dass alle Ergebnisse im Nachgang auch internalisiert werden”, erläutert Jens Vieweg, Leiter des CERT bei IT.NRW, die Problemlage. Um auch diejenigen Mitarbeiterinnen und Mitarbeiter abzuholen, die insgesamt weniger digitalaffin seien, bedürfe es eines Denkansatzes, der den Menschen ins Zentrum aller didaktischen Bemühungen stellt.

Ziel ist der mündige Mitarbeiter

Das, so die Diskutanten, habe vielfältige Implikationen: Zum einen die Erkenntnis, dass es den “Mitarbeiter” als eine homogene Größe nicht gibt. “Personal variiert genauso wie seine Tätigkeiten im Betrieb. Zu glauben, dass es ein einheitliches Patentrezept gibt, das überall in ähnlichem Maß zündet, geht an der Realität der Berufswelt vorbei”, erklärt Marcus Beyer, Advisory Lead Resilient Workforce beim IT-Dienstleister DXC Technology. Statt die eigenen Mitarbeiter zu gängeln, brauche man einen mündigen Arbeitnehmer, der nicht davor zurückschrecke, bei gemachten Fehlern Verantwortung zu übernehmen. Auf gar keinen Fall dürfe man das Personal abstrafen, denn das führe lediglich dazu, dass Fehler vertuscht und Schwachstellen im System unerkannt blieben.  

Unterschiedliche Ansätze

Wie man über Weiterbildung und Awareness dorthin gelangen kann, darüber besteht Uneinigkeit. Ein Ansatz sieht vor, das Personal so lange zu schulen, bis IT-Sicherheit Teil der Arbeitsroutine geworden ist. Man müsse den eigenen Angestellten mehr zutrauen, sagt Markus Grüneberg, Product Evangelist GDPR. Um in prekären Situationen entscheiden zu können, brauche man einschlägiges Wissen, das einen in den Stand versetze, Vor- und Nachteile abzuwägen, so das Kernargument. Anders sieht es freilich die Gegenposition: Statt die ohnehin immer komplexer werdenden Arbeitsschritte noch weiter zu strapazieren, brauche man eine Technik, die einfach in der Anwendung und trotzdem sicher sei. Informationstechnologisches Knowhow ist hier zwar erwünscht, aber nicht derart, dass die eigentliche Arbeit darüber zu kurz kommt.

Faktor Psyche

So unterschiedlich die Ansätze auch sein mögen, einig sind sie sich darin, dass etwas in der deutschen Unternehmens- bzw. Behördenkultur getan werden muss, um die “Human Firewall” Mitarbeiter für die Risiken des Umgangs mit Daten zu sensibilisieren. Das fange bei einer neuen Fehlerkultur an, die ganz ohne Sanktionen auskomme, und führe letztlich bis hin zu einer neuen Identifikationsstrategie in Unternehmen und Behörden selbst. Dass dem derzeit noch nicht so ist, belegt eine Umfrage des Bundesamts für Sicherheit in der Informationstechnik (BSI): Dabei gaben 76 Prozent der Befragten an, private Mails, über deren Herkommen Zweifel besteht, am Arbeitsplatz zu öffnen. “Ergebnisse wie diese deuten darauf hin, dass man bei vielen Mitarbeitern durchaus ein gewisses Bewusstsein über die Risiken von Phishing voraussetzen kann, nur allzu oft wird es aber nicht berücksichtigt”, heißt es hierzu von Henning Voß, Referent für Wirtschaftsschutz und -spionage im Innenministerium Nordrhein-Westfalen. Parallel zum Cyberraum brauche es dringend ein Fortbildungsprogramm, das konsequent darauf hinarbeite, dass die Mitarbeiter sich künftig selbst engagierten, so Voß weiter. Risiken, die Folge grober Fahrlässigkeit seien, würden so minimiert. Alle andere wäre dann lediglich eine Frage der Übung, Gewöhnung und Erprobung.      

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here