„Außerdem sollte kein Name oder Wort darin vorkommen.“ – Es ist verständlich, dass wir in Sicherheits-Angelegenheiten keinen Spaß verstehen und dafür sorgen, dass sich jeder an die Regeln hält. Trotzdem werden die Vorgaben immer wieder umgangen. Deshalb klären wir auf und führen unseren Mitarbeitern vor Augen, was alles passieren kann, wenn. Wer sich lange genug mit IT-Sicherheit beschäftigt, weiß aber, dass Reden gut ist, aber auch nicht alle Probleme löst. Sicherheitsmaßnahmen sind auch gut und zwingend notwendig, werden aber trotz Aufklärung auch immer wieder umgangen. Also müssen wir uns etwas Neues einfallen lassen. Glücklicherweise hilft uns dabei die IT.

Denn inzwischen können wir unsere IT so gestalten, dass sie das richtige Verhalten belohnt, ja dass es sogar Spaß macht, das Richtige zu tun. Das ist ein relativ moderner Ansatz, denn in der Vergangenheit sind Sicherheitsverantwortliche stets davon ausgegangen, dass sich jeder an ihre Vorgaben zu halten hat. Punkt. Die Anwender dazu zu motivieren, Sicherheitsrisiken abzuwenden, war so gut wie unbekannt. Inzwischen merken aber immer mehr, dass sie aufgrund der vielen Cloud-Angebote, der Nutzung von privaten Endgeräten und anderer widriger Umstände nicht mehr alles im Griff haben können und deshalb umdenken müssen. Teilweise sind sie einfach darauf angewiesen, dass Mitarbeiter verantwortungsvoll handeln.

Das erreicht man, indem man es ihnen einfach macht. Beispielsweise mit den folgenden Maßnahmen:

  1. Überdenken Sie die Geschäftsprozesse unter dem Sicherheitsaspekt. Könnten Sie bestimmte Daten anonymisieren? Könnten Sie Prozesse, die jetzt per E-Mail abgewickelt werden, automatisieren oder mit anderen Anwendungen besser unterstützen?
  2. Belohnen Sie Mitarbeiter oder geben Sie Ihnen Anreize, damit sie das Richtige tun. Dabei muss es nicht um Geld oder Gutscheine gehen. Mitarbeiter freuen sich auch über mehr Informationen über die eigene Produktivität, die Möglichkeit Feedback von Kollegen einzuholen oder eine Übersicht darüber, was Sie heute alles geschafft haben. Es gibt viele Wege, die Interaktion mit einem Computer mit wenig Aufwand interessanter zu machen.
  3. Stellen Sie technische Tools bereit, die die Arbeit vereinfachen und gleichzeitig sicher sind. Wenn Sie merken, dass Mitarbeiter Dropbox oder Gmail nutzen und dabei die Sicherheitsrichtlinien umgehen, verbieten Sie diese Tools nicht, sondern versuchen Sie ähnliche oder sogar bessere anzubieten, die Sie unter Kontrolle haben. Sie können selbst Tools für die Zusammenarbeit und Suche anbieten. Wenn die Mitarbeiter komplexe Sicherheitsprozeduren einhalten müssen, ziehen Sie in Betracht, das Ganze mit einem Tool zu unterstützen, das den Vorgang vereinfacht. Beispielsweise könnte ein Hardware-Token anwenderfreundlicher sein, als alle sechs Monate das Passwort zu ändern. Vielleicht kämen auch biometrische Verfahren in Frage?
  4. Erschweren Sie unsichere Aktionen. Wenn die Anwender zu viele Daten auf unsicheren Laptop-Festplatten speichern, verringern Sie den Speicherplatz. Wenn Sie zu viele vertrauliche Dokumente per E-Mail verschicken, begrenzen Sie die Größe der Anhänge. Aber sein Sie nicht zu restriktiv, denn offensichtlich gibt es einen Bedarf für bestimmte Aktionen. Deshalb sollten Sie auch immer eine Alternative anbieten, die einfach zu nutzen ist und die Sicherheit nicht gefährdet, wie beispielsweise einen großen virtuellen Plattenplatz, File-Transfer-Services und die Möglichkeit, Anwendungen auf persönliche Bedürfnisse zuzuschneiden.

Bei der Entwicklung von Apps haben wir gelernt, wie motivierend Technologie sein kann, und dieses Wissen kann man auch nutzen, um die Sicherheit zu erhöhen. Anstatt die Prozesse immer umständlicher, komplizierter und zeitraubender zu gestalten, kann man sie auch schlank und effektiv umsetzen. Ich finde, das ist heutzutage ein Muss, denn wenn Sicherheit zum Produktivitätskiller wird, sollte man sich nicht wundern, wenn alle versuchen, die Vorschriften zu umgehen.

Wie sieht es in Ihrem Unternehmen aus? Ich freue mich über einen Erfahrungsaustausch.