Situationsgerechtes Aufklären anstatt Hauruck-Massnahmen?

Um auf Risiken im Internet oder mit Social Media aufmerksam zu machen, richten immer mehr Unternehmen mit der grossen Kelle an. Sie hängen Plakate im Lift auf, bombardieren ihre Mitarbeiter mit E-Mails oder veranstalten Seminare. Oliver Wyler, CISO bei der Migros Bank, hat da einen anderen Ansatz. "Es ist nachhaltiger, situationsgerecht aufzuklären", sagt er. Löst beispielsweise ein Mitarbeiter einen sicherheitsrelevanten Vorfall aus, stellt Wyler Untersuchungen an und informiert dann je nach Schwere des Ereignisses vorfallsspezifisch alle Mitarbeitenden der Bank.

Das Prinzip hält er auch bei der Einstellung neuer Mitarbeiter für nachhaltig. Gleich zu Beginn eines Arbeitsverhältnisses müsse ein neuer Mitarbeiter viele Informationen aufnehmen. "Wenn ich da noch mit vielen Sicherheitsthemen nachdopple, bleibt wohl nicht allzu viel hängen." Wyler zeigt deshalb einen Film ("Aus dem Leben eines Hackers"), der Fragen aufwirft, die die Mitarbeiter dann in einem Web-based-Training beantworten sollen. Am Ende will er damit zu selbstverantwortlichem Handeln anregen.

Kein Polizist

Wyler ist beim Risk Management angesiedelt, also nicht bei der Informatik. Er legt im Gespräch Wert darauf, zu erwähnen, dass er sich nicht als klassischen Security Officer sieht, der den Mitarbeitenden wie ein Polizist ständig Kontrollen aufdrückt. Braucht ein Kollege zum Beispiel aus beruflichen Gründen Zugang zu einer gesperrten Website, dann mache man dies in der Regel möglich. Nur in seltenen Fällen hat Wyler indes direkt mit Front-Mitarbeitern zu tun. "Sicherheit muss über die Linien hinweg gelebt werden." Zur Geschäftsleitung pflegt er einen guten Draht. Diese habe stets offene Ohren, "sofern man es nicht übertreibt".

Ihm ist bei der Lektüre des Security Radar besonders aufgefallen, dass viele Firmen dran sind, vor allem mit organisatorischen Massnahmen mehr Sicherheit zu schaffen. Wyler findet das zwar auch wichtig, er ergänzt jedoch: "Etwas technisch verhindern ist effizienter und nachhaltiger." Kontrollen, ob und wie zum Beispiel Verhaltensrichtlinien für das Internet eingehalten werden, würden noch hinterherhinken. Er spielt dabei auf ein vorab bei Banken übliches, sogenanntes Internes Kontrollsystem (IKS) an, das zur Einhaltung von Richtlinien und zur Abwehr von Schäden angewendet wird. Dieses auch konsequent auf die IT anzuwenden, ist derzeit ein wichtiges Projekt bei der Migros Bank.

Flipcharts fotografieren

Ein Dossier, das bei Wyler auf dem Tisch liegt, ist auch jenes zu Bring your own Device. Weil der entsprechende Entscheid der Geschäftsleitung noch nicht gefällt worden ist, will er nicht allzu viel verraten. Er sagt jedoch: "Es ist klar, dass viele Mitarbeiter auch von unterwegs zumindest auf E-Mail oder Kalender zugreifen wollen."

Einen Knackpunkt in diesem Zusammenhang sieht er indes vielerorts noch zu stiefmütterlich behandelt – die Tablets und Smartphones in den Sitzungen. Da sei erstens die Frage, wie die Dokumente für die Sitzung auf die Geräte kämen. "Es wird häufig über private Mailkonten gemailt – also nicht über einen sicheren Weg." Zweitens gebe es überall Flipcharts und Whiteboards, auf denen teils sensible Dinge draufstünden. "Leider hat es sich eingebürgert, dass diese Informationen fotografiert werden, anstatt sich die Sitzungsteilnehmer Notizen machen", fügt Wyler an. Nur wenige Firmen würden sich die Mühe machen, das ernsthaft anzugehen.

Hinweis: Dieser Artikel ist Teil einer Serie über das Sicherheitsbefinden in Unternehmen. Die Netzwoche hat dafür IT-Sicherheitsverantwortliche, CIOs und CISOs mit den Resultaten des "SecurityRadar 2012" der Ispin AG konfrontiert und ihnen den Puls gefühlt.