Eine Kultur der Informationssicherheit etablieren

Hinweis: Dieser Artikel ist Teil einer Serie über das Sicherheitsbefinden in Unternehmen. Die Netzwoche hat dafür IT-Verantwortliche, CIOs und CISOs mit dem "SecurityRadar 2012" der Ispin AG konfrontiert.

Das Thema Awareness gewinnt bei den CISOs offensichtlich an Bedeutung. Auch Peter Wäspi, Group Information Security Officer beim Industrieunternehmen Bühler, sagt, dass er einiges umsetzen will. "Nebst Kampagnen möchte ich das Thema Kultur in der Informationssicherheit im Unternehmen vorantreiben", verrät er der Netzwoche. Verschiedene Awareness-Aktionen für das laufende Jahr seien in Planung. Ausserdem sei man im Gespräch mit externen Partnern, sagt Wäspi.

Diese Aktionen sollen eine Ergänzung zu bisherigen Massnahmen sein. Neuigkeiten und Dokumente zum Thema Informationssicherheit gibt es bereits im Intranet. Wäspi stellt sich ausserdem die Frage, wie weit man eine Informationssicherheitskultur messen könne: "Das konkrete Wissen über den Grad zwischen einer unbewussten Inkompetenz und einer unbewussten Kompetenz ist für mich massgebend für gezielte Aktionen zur Förderung der Unternehmenssicherheit." Zwar könne man die Fortschritte beim E-Learning oder mit sogenannten Phishing-Tests (hier misst man, wie viele Mitarbeiter bei einem fingierten E-Mail auf den Link klicken) messen. "Aber wie sich die Erkenntnisse von solchen Tests bei den Mitarbeitenden auswirken, lässt sich schlecht messen", sagt Wäspi.

Social Media erlaubt

Innerhalb des Unternehmens ist Wäspi im Bereich Manufacturing & Logistics angesiedelt und dort direkt dem IT-Leiter unterstellt. "Die IT ist gut positioniert in der Firma", sagt er. Die Sensibilität der Geschäftsleitung bei Fragen der Informationssicherheit sei hoch, die Einstellung insgesamt fortschrittlich, meint er. Dies sehe man etwa am Beispiel, dass Social Media nicht geblockt würden. "Es gibt keinen Grund, alles zuzuschnüren", sagt Wäspi. "Entweder schränkt man die Möglichkeiten des Mitarbeitenden aus übertriebenen Sicherheitserfordernissen ein und behindert ihn in der Produktivität oder man lässt dies auf einem vernünftigen Niveau offen und schaut, dass bei jedem Mitarbeitenden eine Sicherheitskultur vorhanden ist."

BYOD: Mehr als nur Mails synchronisieren

Auch BYOD ist an der Bühler AG nicht spurlos vorbeigezogen. Ende 2011 hat man das Thema angepackt, "nachdem einige Mitarbeitende schon ihre eigenen Geräte im Unternehmen nutzten – notabene nicht gemanagt". Innerhalb eines halben Jahres wurde dann eine Mobile-Device-Management-Plattform aufgesetzt und entsprechende Richtlinien definiert. Danach folgte das Deployment, zuerst am Hauptsitz in Uzwil, dann weltweit. Dazu habe man verschiedene Nutzerkategorien geschaffen und dabei auf die unterschiedlichen Bedürfnisse geachtet, sagt Wäspi.

Heute können die Mitarbeiter bei Bühler bei entsprechendem Bedarf auswählen, ob sie ihr eigenes Gerät nutzen oder eines vom Arbeitgeber beziehen wollen. Wäspi zieht folgende Lehren aus dem Rollout: "BYOD umzusetzen, bedeutet nebst der Wahl der richtigen Managementplattform, die Unternehmensrichtlinien festzulegen und mit der Unternehmensleitung abzustimmen." Zudem müsse die IT gemeinsam mit dem Business eine Strategie des Geräteeinsatzes definieren. Nur durch die Synchronisation der E-Mails, des Kalenders und der Kontakte könne der Einsatz von mobilen Geräten nicht begründet werden. Mitte 2012 seien deshalb auch Initiativen ergriffen worden, im Bereich CRM und Anlagenplanung entsprechende Apps zu entwickeln, die zum heutigen Zeitpunkt bereits im Einsatz stünden.

Zur Person: Peter Wäspi

Peter Wäspi ist Group Information Security Officer beim Industrieunternehmen Bühler AG. Er startete dort 1977 seine Berufslaufbahn, hatte bis 1999 Führungspositionen in der IT inne und war massgeblich am Aufbau der IT in den 80er- und 90er-Jahren beteiligt. Nach Stationen beim Raiffeisenverband St. Gallen und bei den SBB ist er seit 2011 wieder bei der Bühler AG.