"Die Anwender sollen erläutern, weshalb sie auf eine bestimmte Ressource zugreifen"

Herr Morin, es ist immer häufiger die Rede von einer Bedrohung der Datensicherheit infolge von Nachlässigkeiten der Anwender. Was ist Ihre Meinung dazu?

Ich denke, dass viele ein schlechtes Bild vom Anwender haben. Aus dem Mund von Beratern hört man oft, dass der Anwender ein Problem sei. Ich bin aber der Ansicht, dass er ein Teil der Lösung ist. Ich glaube, das ist der einzig gangbare Ansatz, wenn man davon ausgeht, dass es keine absolute Sicherheit gibt. Das muss man nun mal akzeptieren. Ausserdem wird es immer Wege geben, Sicherheitseinrichtungen zu umgehen. Die Sicherheit wird nicht angegriffen, sondern ausgehebelt – das ist nur natürlich und menschlich. Sie können grosse Festungen errichten, es wird immer möglich sein, sie einzunehmen, und sei es auch nur über digitale Angriffe. Um das zu verhindern, müsste man den menschlichen Faktor abschaffen, was nicht erstrebenswert ist. In meiner Arbeit gehe ich davon aus, dass der Mensch eine zentrale Rolle spielt und man ihn nicht als Feind betrachten darf.

Es geht also darum, die Anwender für die Gefahren zu sensibilisieren, denen sie ausgesetzt sind und die sie selbst verursachen?

Die Sensibilisierung ist ein äusserst wichtiger Aspekt, und ich bin mir nicht sicher, ob er bereits ausreichend entwickelt wurde. Viele Menschen tun bei ihrer täglichen Arbeit Dinge, ohne sich deren Auswirkung auf die Sicherheit des Unternehmens bewusst zu sein. Die Sensibilisierung ist ein erster Schritt, der zweite ist die Bewusstseinsbildung. Es geht darum, den Mitarbeiter zu einer Art Eigenverantwortung oder zumindest zu einer Wertschätzung der Verantwortung des Individuums innerhalb seiner Umgebung zu erziehen. Wenn ein Mitarbeiter in einer bestimmten Funktion eingestellt wird, entsteht ein Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer. Jüngste Beispiele zeigen jedoch, dass es schwierig ist, diese persönliche Beziehung zu allen Angestellten eines grossen Unternehmens aufzubauen. Kontrolle bleibt zwar ein integraler Bestandteil des Managements oder der Verwaltung der technischen Infrastrukturen. Aber die Vertrauensfrage ist dennoch von grundlegender Bedeutung, und man könnte viel gewinnen, wenn sie in den Vordergrund rücken würde.

Kann man von jedem Mitarbeiter verlangen, dass er die Tragweite seines Tuns begreift, das äusserst komplex sein kann, wie im Bereich der Compliance?

Nicht generell, aber man kann dies bezogen auf seine Leistungen und seine Funktion verlangen. Es gibt Studien, die belegen, dass jeder Zweite täglich dazu gezwungen wird, die Sicherheitsbestimmungen zu umgehen, ganz einfach, weil sie ihn daran hindern, seiner Arbeit nachzugehen. Natürlich kann man nicht von allen verlangen, in allen Bereichen eine Sicherheitszertifizierung zu erhalten. Aber alle müssen und können die Ursachen und die unmittelbaren Herausforderungen der Beschränkungen, denen sie unterliegen, begreifen. Daran müssen wir arbeiten und so könnte ein grosser Schritt nach vorn gemacht werden. Die derzeitige Lage hat katastrophale Auswirkungen hinsichtlich der Arbeitsqualität. Für den Arbeitgeber stellt sich das Problem, dass sich gefährliche Aktionen ohne sein Wissen einschleichen. Der Angestellte seinerseits setzt sich ins Unrecht und wird zum Risiko für sich selbst oder sogar für das ganze Unternehmen. Daraus ergibt sich meine These: Wer wäre besser geeignet als eine verantwortlich und bewusst handelnde Einzelperson in ihrer Eigenschaft und Funktion? Diese muss dann sagen: "Ich muss für meine Arbeit unbedingt auf diese Ressource zugreifen; ich übernehme hierfür die Verantwortung."

Wie kann man diesen Ansatz in der Praxis umsetzen?

Die herkömmlichen Praktiken hindern uns daran, dies zu tun, da sie alle von mangelndem Vertrauen ausgehen. Sie funktionieren übrigens binär. Das heisst: Wenn man nicht alle geforderten Bedingungen erfüllt, lautet die Antwort schlicht «nein», und der Zugriff auf die Ressource wird verweigert. Gleichzeitig sind die Unternehmen stark auf Agilität angewiesen und müssen schnell auf unvorhergesehene Situationen reagieren können. Dies ist auf Systemebene oftmals unmöglich. Der einzig gangbare Weg besteht also meiner Meinung nach darin, die Anwender erläutern zu lassen, weshalb sie auf eine bestimmte Ressource zugreifen müssen. Dann bietet man ihnen eine nachvollziehbare und überprüfbare Möglichkeit, für eine bestimmte Zeit auf eine Ressource zuzugreifen. Diese Lösung hat zwei Vorteile: Einerseits weiss der Anwender, dass er nichts Unerlaubtes tut und übernimmt die Verantwortung. Andererseits befindet sich der Arbeitgeber in einer bequemen Lage hinsichtlich der Risikoverwaltung, da er diese Situationen erkennen kann. Als Datensicherheitsbeauftragter in einem Unternehmen können Sie ganz leicht ein Dashboard auf Grundlage dieses Modells einrichten. Dieses zeigt Ihnen die schwankenden Anforderungen an Ausnahmesituationen in Echtzeit an.

Sollten Ihrer Meinung nach alle in der Vergangenheit eingerichteten absoluten Schranken abgeschafft werden?

Nein, es geht nicht darum, blindes Vertrauen walten zu lassen. Wir müssen die bestehenden und heute gut funktionierenden Risikoverwaltungs- und Sicherheitslösungen beibehalten. Allerdings muss die Flexibilität des Systems erhöht werden. Wenn man für ein Unternehmen arbeitet, erhält man bereits mehrere Passwörter, um zum Beispiel auf E-Mails oder das ERP-System zugreifen zu können. Ich schlage nur vor, ein weiteres hinzuzufügen, eine Art «Zauberstab». Den verwenden Sie, um bestimmten Mitarbeitern begrenzten Zugriff auf bisher verbotene Ressourcen zu ermöglichen. Dies geht natürlich nur, solange es sich nicht um eine wirklich empfindliche Ressource handelt. Zwischen blindem Vertrauen und Paranoia schlage ich eine Logik des vernünftigen Vertrauens vor. Auf Englisch ist die Rede vom «Empowerment» der Einzelpersonen. Man gibt nicht das Risiko ab, das auf Unternehmensebene bestehen bleibt, aber man delegiert eine Entscheidungsbefugnis, die die Systeme nicht übernehmen können.