Warum regelmäßige Sicherheitsschulungen wichtig sind

Dieser Tage wird berichtet, dass ein Trojaner, an dessen Entwicklung auch die NSA beteiligt sein soll, im Bundeskanzleramt aufgetaucht sei. Eine Mitarbeiterin der Bundeskanzlerin habe gegen eine Sicherheitsregel verstoßen und einen dienstlichen USB-Stick an einen privaten Rechner angeschlossen, der mit dem Trojaner „Regin“ infiziert war.

Solche Vorfälle sind nicht nur in Regierungskreisen, sondern auch bei Unternehmen recht häufig und stellen ein nicht unerhebliches Sicherheitsrisiko dar. Mitarbeiter handhaben Sicherheitsrichtlinien zu lax oder missachten sie, wie in diesem Fall den Berichten nach geschehen, gar gänzlich.

Die Ursache für ein solches Fehlverhalten ist jedoch nicht Dummheit, wie man als Reaktion auf derartige Vorkommnisse immer wieder lesen kann. Das Problem liegt meist darin begründet, dass Sicherheitsregeln Mitarbeitern nicht ausreichend bekannt sind oder zumindest ihre Dringlichkeit nicht ausreichend bewusst ist. Die Gefahr, die für einen Betrieb oder für eine Behörde relevanten IT-Anlagen droht, wird daher oft als sehr abstrakt wahrgenommen. Das führt zu Nachlässigkeiten bei der Beachtung von Policies. Hinzu kommt, dass sich Sicherheit und Effektivität bei der Arbeit oft ausschließen. Die Beachtung von Sicherheitsmaßnahmen beeinträchtigt die Effektivität. In diesem Fall hätte eine Beachtung der Policies dazu geführt, dass die Mitarbeiterin von zuhause aus an dem Dokument nicht hätte weiterarbeiten können.

Wie kommt es nun dazu, dass Policies trotz Kenntnis nicht beachtet werden? Ein möglicher Erklärungsansatz liegt in dem bekannten psychologischen Konzept der kognitiven Dissonanz. Darunter versteht man einen inneren Konflikt zweier Absichten, der als sehr unangenehm empfunden wird, weil sich die beiden Absichten widersprechen und nicht miteinander vereinbaren lassen. Man weiß um das Risiko und möchte natürlich das System nicht kompromittieren, will aber gleichzeitig die Arbeit schnell und effektiv erledigen. Eine Möglichkeit, diese kognitive Dissonanz aufzulösen, besteht nun fatalerweise darin, die Wahrscheinlichkeit für negative Folgen einer Verletzung der Sicherheitsregeln geringer einzuschätzen, als sie tatsächlich ist. Die Tatsache, dass digitale Bedrohungen oft als sehr abstrakt empfunden werden, fördert diese Einschätzung noch.

Wie kann man einer solchen kognitiven Dissonanz nun vorbeugen? Eine Schlüsselrolle kommen dabei sicherlich Mitarbeiterschulungen zu. Es reicht nicht, Mitarbeitern die Sicherheitsregeln mit dem Arbeitsvertrag vorzulegen und sie auf ihre Beachtung einzuschwören. Und auch eine einmalige Schulung bei Einstellung reicht nicht aus. Policies müssen in Schulungen regelmäßig aufs Neue nahegebracht werden. Darüber hinaus muss der Ernstfall regelmäßig geprobt werden, damit Mitarbeitern die Gefahr nicht zu abstrakt erscheint.

Auf der anderen Seite müssen Vorgesetzte akzeptieren, dass Effektivität nicht zu Lasten der Sicherheit gehen darf. Mitarbeiter, die sich an Sicherheitsvorschriften halten, müssen darin bestärkt werden, anstatt sie unter Druck zu setzen, effektiver zu arbeiten.

Wenn es gelingt, ein betriebliches Umfeld zu schaffen, in dem digitale Bedrohungsszenarien nicht als etwas Abstraktes empfunden werden, sondern stets bewusst sind, und in dem Effektivität nicht über Sicherheit gestellt wird, sodass kognitive Dissonanz erst gar nicht entstehen kann, so kann es gelingen, das Risiko für solche Kompromittierungen erheblich zu reduzieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.