Temporäres iPhone-Verbot wirkt stärker als Achtung-Cybercrime-Plakate im Lift

Mailing und Newsletter sind laut dem «ISPIN SecurityRadar 2011» mit 44 Prozent bei 15 Antwortmöglichkeiten die in der Schweiz am weitesten verbreiteten Security-Awareness- Massnahmen.

Danach folgen E-Learning mit 41 Prozent und entsprechende Angebote im Intranet mit 37 Prozent. Aber auch Auditergebnisse, die den Mitarbeitern kommuniziert werden, oder Quick Guides (je 26 Prozent) werden eingesetzt.

iPhone-Verbot als Awareness-Massnahme

Thomas Hediger, Head IT Governance bei der Fluggesellschaft Swiss, greift da auch schon mal zu radikaleren Massnahmen, wie er im Gespräch mit der Netzwoche verrät. Während weniger Monate hat er den geschäftlichen Einsatz des iPhones untersagt, um die Diskussion des Themas Security anhand eines allen vertrauten Tools zu forcieren.

Er wollte insbesondere auf die Gefahren im Umgang mit dem iPhone aufmerksam machen. Grundsätzlich versuche er neue Techniken und Tools zu nutzen, jedoch immer mit den begleitenden Massnahmen, um das Risiko zu reduzieren. «Diese ‹virale› Awareness-Massnahme war sehr effektiv», zieht Hediger erfreut Bilanz.

Hediger hält demgegenüber nicht allzu viel von Plakaten im Lift, um die Mitarbeiter bezüglich der Gefahren im Web aufzurütteln. Vielmehr setzt er auf einen regelmässigen Austausch mit Projektleitern, die näher an ihren Mitarbeitern dran sind.

Auch Power-User, die weiter reichende Kenntnisse und Ansprüche als die üblichen Endanwender haben, helfen bei der Umsetzung von Sicherheitsmassnahmen.

Beim Management Bewusstsein schaffen

Zudem versucht er, wenn immer möglich, das Management ins Boot zu holen. «Sicherheit muss man verkaufen. Man braucht gute Argumente, um finanzielle Mittel für Sicherheitsmassnahmen zu bekommen», weiss Hediger.

Klar könne er nicht alles umsetzen, was er wolle, aber zumindest sei damit das Management sensibilisiert. Dieses müsse dann letztlich entscheiden, welche Risiken das Unternehmen eingehen wolle und welche nicht.

In vielen Unternehmen herrsche genau deshalb eine grosse Hilflosigkeit, weil bereits im Management kein Bewusstsein da sei, entsprechende Massnahmen umzusetzen. Zudem fehlten oft die notwendigen Prozesse sowie transparent aufgezeigte Risiken.

Richtlinien müssen verständlich sein

Ein wichtiger Schritt auf dem Weg zu mehr Sicherheit im Unternehmen sind laut Hediger entsprechende Richtlinien für die Mitarbeiter. Er plädiert dafür, dass man mit einfachen und verständlichen Methoden
beginnen und diese dann über einen Prozess stetig verbessern soll.

Anschaulich ist in dem Zusammenhang der Vergleich mit dem Strassenverkehr: «Ohne Ampeln, Strassenschilder und Strassenmarkierung würde im Verkehr ein Chaos herrschen. Also ziehen wir doch jetzt erst einmal Strassenmarkierungen.»

Social Flying und der Datenschutz

Derweil wird in der Zivilluftfahrt nach für die Passagiere spürbaren Neuerungen auch IT-seitig die Sicherheitsschraube angezogen. Nicht nur innerhalb der Airline-Welt werden Gefahren im Internet sehr ernst genommen, auch die Gesetzgeber erlassen entsprechende Vorschriften, um der zunehmenden Bedrohung zu begegnen.

Eine Besonderheit der Branche sei, dass eine Fluggesellschaft enorm viele Stakeholder habe, die sie auch in Sicherheitsfragen einbeziehen müsse.

Ein zentraler Punkt für den Kunden ist dabei der Datenschutz: Was geschieht beispielsweise mit den Kundendaten, wenn die Swiss einen Flug auf eine andere Fluggesellschaft umbuchen muss? Oder wenn die Swiss «Social Flying» ermöglichen wollte, wo sich Passagiere ihre Sitznachbarn zum Beispiel in sozialen Netzwerken aussuchen können?

Businessgetriebene IT-Sicherheit

Da derartige Fragen für das Business enorm relevant seien, so Hediger, habe es auch ein Interesse am Thema. «Sicherheit ist in der Flugbranche sehr stark businessgetrieben. Die Awareness ist sehr gross.»

Zudem sei klar, dass man die Sicherheitsfragen nicht aus der IT heraus initiieren, sondern diese nur entscheidungsgerecht aufarbeiten kann. Hediger sieht die Branche nicht zuletzt wegen der starken businessgetriebenen Sicherheit insgesamt sehr gut aufgestellt, insbesondere auch seinen Arbeitgeber.

Anmerkung der Redaktion: Dieser Artikel ist Teil einer Serie über das Sicherheitsbefinden in Unternehmen in unserer Printausgabe. Die Netzwoche hat dafür sechs IT-Sicherheitsverantwortliche, CIOs und CISOs mit den Resultaten des "ISPIN Security Radar 2011" konfrontiert und ihnen den Puls gefühlt. Online bringen wir Artikel aus dieser Serie in unregelmässigen Abständen.