IT-Sicherheit muss so selbstverständlich werden, wie das Schließen der Tür beim Verlassen des Hauses

Wie man IT-Sicherheit durch Konditionierung verbessert

Alle reden von Digitalisierung, Kulturwandel, Vertrauen, Mindset, Freiheit und Selbstbestimmung! Wir wollen parallel, dass im Ritt des Change-Wahnsinns möglichst viele, neue, technische Tools gleichzeitig verwendet werden – doch wie steht es um die IT-Sicherheit?

Wenn dann eine kritische Stimme von einem sicherheitsbewussten Kollegen, Freund oder Ehepartner kommt, möchten wir diesen am liebsten zur Hölle jagen. Kennt Ihr das? Diese Showstopper, Nervensägen, immer diese Sicherheitsbedenken, Negativmenschen, diese Erbsenzähler, Korinthenkacker, Spaßverderber oder Arbeitsbremsen! 

Warum denken wir so, wenn Menschen sich darüber Gedanken machen, ob wir uns noch im sicheren Fahrwasser befinden? 

Ich behaupte:

Alles eine Frage der Konditionierung! 

Unsere Konditionierung zur Sicherheit

Stell Dir folgendes Szenario vor:

Es ist soweit! Du besichtigst mit Deinem Partner eine neue Wohnung. Ihr kommt zur vereinbarten Zeit bei der Immobilie an und ein sehr fröhlicher und motivierter Makler begrüßt euch! „Herzlich Willkommen!“ Ihr geht gemeinsam zum Eingang und seht eine hochmoderne, sehr schicke Eingangstür. Als ihr näher tretet, begrüßt euch eine digitale Stimme und die Tür öffnet sich automatisch. „WOW! Das ist ja cool!“, denkt ihr. „Ja, das ist jetzt der letzte Schrei! Digitale Begrüßung und automatische Türöffnung! Wir verzichten hierbei derzeit noch auf Schlösser, weil das Erlebnis des Gastes im Vordergrund stehen soll. Aber die kommen vielleicht noch irgendwann.“ überschlägt sich der Makler gerade zu. Etwas irritiert geht ihr gemeinsam durch die nicht verschließbare Eingangstür. „Heißt das, dass hier theoretisch jeder reinkommen kann?“ fragt ihr. Der Makler ist sichtlich genervt von euer übertrieben kritischen Frage. Er führt euch dennoch ins extrem moderne Wohnzimmer. „Atmen Sie mal durch, die Herrschaften! Frische Luft! Obwohl hier seit zwei Wochen niemand war! Sehen Sie hier die absolute Neuheit der modernen Fenster. Es öffnet sich automatisch und wenn man nach Hause kommt ist frisch gelüftet. Die neuartigen Gestanksmesser machen es möglich! Voll automatisch! Ohne das jemand zuhause ist! „Öffnet sich auch die Balkontür im Erdgeschoss, so dass hier jeder problemlos einsteigen könnte?“ fragt ihr nach. Augenrollend sagt er: „Ja gut, wollen Sie ein Haus für die Zukunft und setzen auf Innovationen? Die renovierungsbedürftigen Altbauten aus der Vergangenheit finden Sie vielleicht bei Makler Müller, aber nicht bei mir!“

Schnell seid Ihr euch einig, dass der Makler nicht alle Tassen im Schrank hat, bedankt euch freundlich für seine Zeit und verlasst fluchtartig das Geschehen. „Eine Wohnung ohne abschließbare Tür und offene Fenster“, lacht Ihr euch kaputt. 

Warum ist euch in diesem Fall so sonnenklar, dass es absurd ist, in eine Wohnung ohne verschließbare Tür zu ziehen? Weil Ihr schon als kleine Kinder gelernt habt, dass ihr euch vor fremden Eindringlingen schützen sollt, indem ihr die Tür verschließt. Ihr habt gelernt, dass euer Auto abgeschlossen wird, eure Fahrräder angeschlossen werden, um Diebstahl zu verhindern. Und Ihr habt gelernt, dass wenn euch keiner zuhören soll, Ihr ebenso die Tür verschließt, um in Ruhe ungestört reden zu können. Wir sind entsprechend konditioniert! 

Nun zurück an euer Handy, zu eurer Firma, an euren Arbeitsplatz:

Wir sind überrumpelt worden von den vielen angenehmen Erleichterungen. Diedirekte Triebbefriedigung, etwas haben, kommunizieren oder erleben zu könnenlässt uns unkritisch konsumieren.  Plötzlich muss man nicht mehr studiert haben, um moderne Technik zu benutzen. 

Und das ist auch gut so. Diese Entwicklung ist positiv. Nur die Konditionierung auf Sicherheit ist nicht vorhanden. Wie sonst ist es zu erklären, dass über eine Milliarde Menschen WhatsApp bereits nutzten obwohl die Nachrichten noch nicht End-to-End verschlüsselt waren. Wir belächelten die Kritiker, die auf sichere Alternativen auswichen, bis die Sicherheitslücke im Jahr 2016 geschlossen wurde. 

Hätten wir unseren Eltern früher erzählt, dass wir die Haustür nicht mehr abschließen, bei vertraulichen Gesprächen jeden mithören lassen und uns nackt in der Öffentlichkeit zeigen – die hätten uns Dampf unterm Kessel gemacht, oder? Zu Recht, wie ich finde.

Im digitalen Zeitalter ist es unsere Verantwortung, uns mit der IT Sicherheit zu beschäftigen, kritisch die Nutzung von Programmen zu hinterfragen und im Zweifel mit dem Einsatz zu warten bis das Mindestmaß an Sicherheitsanforderung erfüllt ist. 

Damit Ihr das Thema IT Sicherheit sowohl privat als auch geschäftlich sofort adressieren könnt kommen hier meine ersten drei Cyber Security Must haves:

1. Selbstverständlich geplantes IT-Sicherheitsbudget

Wie hoch ist Dein von vornherein geplantes Budget für die IT-Sicherheit? 

Es kommt natürlich auf verschiedene Faktoren an wie Unternehmensgröße, Industrie, Risikolevel um eine genaue Empfehlung auszusprechen. Du kannst Dich an einem Richtwert für die meisten unternehmerischen Ausgangslagen von 13,7 Prozent Deines IT Budgets als Referenzpunkt orientieren.  

2. Orientierung an der CIA – Triade 

Confidendiality – Vertraulichkeit

Das Ziel der Vertraulichkeit ist der Schutz von Informationen vor unbefugter Einsicht. Dies erlangt besondere Wichtigkeit in Zusammenhang mit personenbezogenen Daten (wie Kunden- oder Mitarbeiterdaten), deren Schutz beispielsweise durch die DSGVO gefordert wird. Ein Beispiel welches Ihr alle kennt ist eure E-Mail. Wird diese nicht verschlüsselt versendet, ist eine Vertraulichkeit der versendeten Daten nicht gewährleistet. 

Integrity – Integrität

Integrität bedeutet, dass es nicht möglich sein darf, Daten unerkannt bzw. unbemerkt zu ändern. Ein klassisches Beispiel ist die gemeinsame Nutzung eines CRMs. Es werden nicht genug Lizenzen aus Kostengründen gekauft und durch die gemeinsame Nutzung ist keine eindeutige digitale Identität mehr gegeben. Datenänderungen können nicht einer konkreten Person zugeordnet werden.    

Availability – Verfügbarkeit

Informationen, IT-Systeme und Anwendungen sind verfügbar, wenn sie Anwendern zugänglich sind und von diesen wie vorgesehen genutzt werden können. Es gilt, das Risiko von Systemausfällen zu minimieren! Schaut unbedingt, welche Systeme und Datenbestände in eurem Unternehmen unbedingt notwendig sind, damit eure Arbeitsabläufe funktionieren .Genau diese solltet Ihr gegen Ausfälle schützen! 

Ideal ist natürlich auf alle drei Eckpfeiler zu schauen. In der Praxis wirst Du sehen, dass je nach Geschäftsfall natürlich unterschiedliche Prioritäten gesetzt werden. Bist Du ein Finanzunternehmen? Dann ist die Integrität natürlich besonders wichtig. Bist Du ein E-Commerce Unternehmen bedeutet fehlende Verfügbarkeit hohe Einnahmeverluste.

3. Security ist Kulturgut

Berücksichtige in dem ganzen Kulturwandel auch Deine Security Kultur! Wenn Du weiterhin denkst “Arbeitsbremse”, wenn Sicherheitsbedenken geäußert werden, wird der Rest Deiner Mitarbeiter schwer davon zu überzeugen sein, das eigene Verhalten sicherheitsbewusst auszurichten. Vergebe einen Award für den besten Sicherheitshinweis des Monats oder starte Security Awareness Kampagnen. Wie das geht erfahrt in einem meiner kommenden Artikel. 

Zusammenfassend bedeutet unser gemeinsame Weg in das digitale Zeitalter:  IT-Sicherheit muss so selbstverständlich werden, wie das Schließen der Tür beim Verlassen des Hauses. 

Eva Pleger arbeitet seit über 12 Jahren in der IT. Ihre Lieblingsthemen sind Softskills, die den Menschen helfen in der digitalen Welt zu bestehen. Als Director Germany beim renomierten SANS Institut für IT Security hilft Sie den Unternehmen dabei, die Mitarbeiter im Thema IT Security zu Experten zu entwickeln und dadurch die Welt zu einem sicheren Ort zu machen. Daneben ist sie Geschäftsführerin Ihrer eigenen Unternehmung PLEGER Projects – Connecting people and businesses und leidenschaftliche Podcasterin.

Die Kommentarfunktion ist geschlossen.