Ist in Ihrem Unternehmen zu oft “Tag der offenen Tür”?
von: Dr. Thomas Schlienger | TreeSolution Consulting GmbH
Stellen Sie sich vor, Sie sichern eine Burg – hohe Mauern, ein Burggraben und das Neuste vom Neuen in Sachen Zugangskontrollen. Es ist theoretisch unmöglich, auch nur einen Schlitz im Mauerwerk zu finden, denn technisch ist Ihr Sicherheitskonzept perfekt.
Gleichzeitig stehen drei Türen ständig weit offen:
- Weil Paket-Lieferungen Teil des funktionierenden Betriebs Ihrer Burg sind,
- zum Lüften eines stickigen und dunklen Flurs
- und weil jemand sich an eine Proklamation zu erinnern glaubt, die „geschlossene-Tür-Massnahme“ gelte wegen der Windrichtung nur im Ost-Flügel.
Da haben es natürlich auch Angreifer nicht schwer, trotz allem einzudringen und ihrer Burg zu schaden.
Das Sicherheitskonzept hat Lücken übersehen, die ganz selbstverständlich im Alltag jeder Organisation entstehen. Ein notwendiger Teil der täglichen Arbeit durch Mitarbeitende wurde nicht voll berücksichtigt und dadurch entsteht eine Schwachstelle im Konzept. Auch wenn Sicherheitsmassnahmen die Arbeit erschweren, entstehen Gefahrenstellen durch Vernachlässigung von unliebsamen Regeln. Zuletzt entstehen nicht selten Lücken, weil Informationen zur Notwendigkeit von Massnahmen in einer Flut von Fortbildungs-Wissen verloren gehen.
Das passiert oft, wenn Mitarbeitende nicht in die Konzeption und vor allem auch alltägliche Implementierung der Sicherheitsmassnahmen einbezogen werden. Es passiert aber auch, weil Mitarbeitende den Nutzen nicht sehen, sondern nur die Einschränkungen für ihre Arbeit. Oft wird für alle – Mitarbeitende wie Chefs – ein Kampf oder sogar fast ein Spiel daraus, die Sicherheitsvorgaben zu umgehen und im Zweifel nicht an etablierten Arbeitsweisen zu rütteln.
Sicherheit echt und nachhaltig in Ihrer Unternehmenskultur verankern
Um langfristige Veränderungen herbeizuführen, müssen Sie Sicherheit in der Kultur Ihres Unternehmens verankern. Dazu müssen Sie natürlich technische Lösungen finden, um Sicherheit möglich zu machen. Damit sie allerdings tatsächlich umgesetzt wird, sind Ihre Mitarbeitenden der entscheidende Ansatzpunkt.
Das Verhalten von Menschen zu verändern, ist eine Herausforderung. Umso mehr, wenn es nicht ausreichend verstanden wird. Deswegen baut unser Ansatz für nachhaltige Verhaltensänderungen auf dem Verständnis dieses Themenkomplexes durch wissenschaftliche Modelle auf.
Sie können nachhaltige Verhaltensänderungen in Ihrem Unternehmen herbeiführen, wenn Sie dieses Verständnis nutzen und darauf aufbauend die Massnahmen auswählen, die am effektivsten Sicherheitslücken schliessen.
Modelle zur Verhaltensveränderung
Die effektive Veränderung von Verhaltensweisen in Unternehmen muss auf einem klaren Verständnis der bisherigen Fehler oder Lücken beruhen. Ohne diese klare Grundlage werden die vielfältigen Ursachen für Sicherheitslücken schwammig als “menschliches Versagen” zusammengefasst und können nicht behoben werden.
Das wissenschaftliche COM-B Modell (Michie et al. 2011) zur Analyse von Verhalten bietet eine Basis, die Gründe für Fehlverhalten zu verstehen und dann angemessene Massnahmen zur Behebung auszuwählen.
Die Wurzel(n) allen Übels und die Grundlagen sicherheitsbewussten Verhaltens
Das COM-B-Modell fasst die notwendigen Voraussetzungen für sicherheitsbewusstes Verhalten in drei Teilen zusammen:
- Fähigkeit (Capability)
Können die Mitarbeitenden eine Sicherheitsmassnahme durchführen? Als Hindernisse kommen fehlende Befugnisse genauso in Frage wie fehlendes Wissen.Um unser Beispiel aufzugreifen: Niemand weiss, wie die Paket-Durchreiche geöffnet werden könnte oder die Mitarbeiter haben keinen Schlüssel zu dieser Durchreiche und müssen daher die Tür nutzen.
- Gelegenheit (Opportunity)
Haben Mitarbeitende die Gelegenheit, die Sicherheitsmassnahme zu praktizieren? Hier können physikalische oder soziale Faktoren störend im Weg stehen.Wenn sie dadurch die einzige Luftzufuhr abschneiden, haben Mitarbeitende in der Burg keine Wahl, als die Tür geöffnet zu lassen. Oder sie wollen Ihren Kollegen von der Poststelle das Leben durch geschlossene Türen nicht unnötig schwer machen – darüber gab es in der Vergangenheit schon Streit.
- Motivation
Sehen Mitarbeitende überhaupt, wozu sie eine bestimmte Handlung durchführen sollten?Die Motivation für Handlungen kann positiv sein (Bewusstsein für den Zweck, Wissen um die Bedeutung der Handlung, Aussicht auf Belohnung) oder negativ (Bestrafung, Befürchten von negativen Konsequenzen der Unterlassung).
In der Burg muss bekannt sein, dass die Türen nicht gegen Wind geschlossen bleiben, sondern um Angreifer fernzuhalten. Die Erkenntnis über diese Bedrohung kann motivieren, die Tür geschlossen zu halten.
Nachhaltige Verhaltensänderungen herbeiführen
Eine Kultur der Informationssicherheit zu schaffen, ist nicht durch einmalige Informationsveranstaltungen oder Rundmails zu technischen Neuerungen möglich. Entscheidend für den Erfolg aller implementierten Massnahmen ist auch das Bewusstsein für die Notwendigkeit und Effektivität dieser Massnahmen in der gesamten Organisation.
Um Sicherheit in Ihrer Organisation und in jedem Mitarbeitenden zu verankern setzen wir an drei Stellen mit Fokus auf Ihr Personal an:
- Sensibilisierung schafft Bewusstsein dafür, welchen Sinn Massnahmen haben und was überhaupt möglich ist.
- Ein Verhaltens-Konzept löst alte Gewohnheiten durch sicherheitsbewusstes Handeln ab.
- Eine organisationsweite Informationssicherheits-Kultur im Unternehmen verankert Bewusstsein und Verhaltensweisen in jedem Mitarbeitenden.
Bei all dem dürfen Führungskräfte sich selbst nicht vergessen oder ausnehmen: Nur, wenn auf allen Führungsebenen Sicherheit durch Bewusstsein und Verhalten in der Kultur eingebaut ist, kann man wirklich von einer im Unternehmen verankerten Informationssicherheit sprechen.
Literatur
Michie, S., Van Stralen, M. M., & West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation science, 6(1), 42.
Weitere Informationen: www.treesolution.ch