Anzeige

Security Awareness

Der Mensch als größte Schwachstelle - das stimmt per se nicht. Menschliches Versagen ist lediglich das Ende einer Fehlerkette, denn das eigentliche Problem hat viel damit zu tun, wie in einem Unternehmen mit Fehlern umgegangen wird. Ein Interview mit Ari Albertini, Revenue Flow Manager bei der FTAPI Software GmbH.

Herr Albertini, wenn es um Gefahren für IT-Sicherheit in Unternehmen geht, dauert es selten lange, bis der Mensch als größte Schwachstelle gesehen wird. Stimmt das?

Ari Albertini: Wenn man sich bekannte Fälle von Sicherheitslücken anschaut, mag es auf den ersten Blick oft so aussehen. Was man dabei aber nicht vergessen darf: Unternehmen sind Organisationen, in denen bestimmte Regeln herrschen. Und diese Regeln werden in vielen Fällen festgelegt, sei es von der Geschäftsleitung oder im Falle der IT von der IT-Abteilung. Ich würde daher sagen, dass mit Ausnahmen von ganz wenigen Personen, Angestellte, denen einen Fehler unterläuft, nicht in Absicht gehandelt haben. Das sogenannte „menschliche Versagen“ steht am Ende einer Fehlerkette, nicht am Anfang.

Dann lassen sich solche Fehler also komplett vermeiden, wenn die richtigen Abläufe aufgesetzt werden?

Ari Albertini: Ganz vermeiden lassen sich Fehler nie. Aber mit den richtigen Maßnahmen, Programmen und Training lassen sie sich stark reduzieren. Wichtig ist allerdings auch, dass Fehler, sobald sie dann passieren, genutzt werden, um Abläufe zu verbessern. Es bringt nichts, mit dem Finger auf eine Person zu zeigen. Anstatt die Frage zu stellen „Wer ist schuld?“ lautet die wichtigere Frage „Wie können wir verhindern, dass es sich wiederholt? Wir verfolgen den Ansatz: Ein Fehler bedeutet, dass die Abläufe das System nicht gut genug war, um diesen zu verhindern. Die "Schuld" ist immer im System zu suchen.“

Und wo setzt man da an, wenn es um die IT-Sicherheit geht?

Ari Albertini: Erstmal muss ich im Unternehmen genau wissen, an welchen Stellen besonders kritische und sensible Daten verwendet werden. Dieser Bestandsaufnahme folgt dann die Erarbeitung einer IT-Sicherheitsrichtlinie, in der ich festlege, welche Datentypen wie verwendet werden müssen. Die Gesamtverantwortung dafür kann nicht komplett delegiert werden. Denn sie bleibt beim obersten Führungspersonal, welches das Vorhaben initiieren, steuern und auch kontrollieren muss. Auch muss es notwendige Ressource bereitstellen.

Ok, dann habe ich die Strategie festgelegt, aber nur der Führungskreis weiß davon. Wie komme ich denn jetzt an die Mitarbeiterinnen und Mitarbeiter?

Ari Albertini: Indem ich sie regelmäßig darauf anspreche, dazu schule und die Einhaltung von IT-Sicherheitsvorkehrungen so einfach wie möglich für die gestalte. Nehmen wir das Beispiel, dass eine neue Kollegin im Unternehmen anfängt und ein Onboarding durchläuft. Meistens umfasst das eine Orientierung im Unternehmen wenn es um Angelegenheiten mit der Personalabteilung geht oder auch die Einrichtung der eigenen Arbeitsgeräte geht. Hier sollte von Beginn an eine Datensicherheitsschulung entlang der Sicherheitsstrategie Pflicht sein.

Alle Nutzer sollten in regelmäßigen Abständen an Sicherheitsschulungen teilnehmen. Das kann etwa ein Webinar sein. Oder es ist mal eine gemeinsame Mittagspause mit kurzer Präsentation. Dort kann etwa eine Datenschutzbeauftragte Learnings aus aktuellen Beispielen im Unternehmenskontext erläutern.

Was machen Sie als Unternehmen denn zum Beispiel?

Ari Albertini: Wir bieten bei FTAPI allen Angestellten kostenlos die Möglichkeit zur Ausbildung zur betrieblichen Datenschützer*in innerhalb der Arbeitszeit. Gerade erst haben wieder 23 Kolleginnen und Kollegen ihre Prüfung bestanden. Regelmäßige Schulungen gehören bei uns ebenfalls zum Programm. Grundsätzlich haben wir den Vorteil, dass wir mit unseren Lösungen erfolgreich sind, wenn wir sie gut erklären können. Daher müssen sich alle im Team mit verschiedensten Anwendungsfällen auseinandersetzen. Das schafft Verständnis auch für die interne IT-Sicherheit. Und wenn in der Öffentlichkeit über größere Sicherheitslecks bei Firmen oder Behörden berichtet wird, thematisieren wir das in unseren internen Kanälen. Neulich hat eine Kollegin zum Beispiel von einem Phishing-Versuch erzählt, den sie privat erlebt hat. Ein solcher Austausch macht das Ganze nochmal greifbarer für alle, denn es zeigt, dass es nicht ungewöhnlich ist, entsprechende Mails zu bekommen.

Ari Albertini, Revenue Flow Manager sowie Mitglied der Geschäftsleitung
Ari Albertini
Revenue Flow Manager sowie Mitglied der Geschäftsleitung, FTAPI Software GmbH
Ari Albertini ist Revenue Flow Manager sowie Mitglied der Geschäftsleitung des Datentransferspezialisten FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI. Als Wirtschaftsinformatiker (M.Sc.) und Alumni der TU München verfügt er über mehr als 10 Jahre Erfahrung im Bereich der Strategieentwicklung, IT-Beratung, Software-Development sowie Produktkonzipierungen. Bei FTAPI kümmert er sich zudem um Themen wie agiles Arbeiten und Innovationen und ist regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.

Artikel zu diesem Thema

Cyber Security
Jul 21, 2021

Cybersecurity aktuell: Was wir heute von gestern für morgen lernen können

Der enorme Anstieg von Ransomware-Angriffen zeigt einmal mehr, wie verwundbar noch viele…
Zwei-Faktor-Authentifizierung
Jun 14, 2021

Unternehmen haben den Wert der Zwei-Faktor-Authentifizierung noch nicht erkannt

Yubico, Anbieter hardwarebasierter Authentifizierungslösungen, veröffentlicht die…
Security Awareness
Feb 16, 2021

10 Phasen der organisatorischen Security Awareness

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD…

Weitere Artikel

Cyber Security

Wenige Branchen fühlen sich Herausforderungen der IT-Sicherheit gewachsen

Mit der zunehmenden Vernetzung und Digitalisierung wächst das Bedrohungspotenzial von Cyberattacken erheblich und das Risiko von Datenverlust und Datenmanipulation ist hoch. Wenige Branchen fühlen sich im Bereich IT-Sicherheit gut vorbereitet.
Cyber Security

So schützt sich die deutsche Wirtschaft gegen Diebstahl und Spionage

Diebstahl, Spionage und Sabotage können jedes Unternehmen treffen und zu einer existenziellen Gefahr werden. Doch nur die Hälfte der Betriebe im Land verfügt über geregelte Abläufe und Sofort-Maßnahmen, also ein Notfallmanagement, für den Ernstfall.
Cyber Security

3 aktuelle Faktoren, die die IT-Security beeinflussen

Der Oktober steht ganz im Zeichen der Cybersecurity, um Nutzer daran zu erinnern, im Internet vorsichtig mit ihren Daten umzugehen. Nie war diese Warnung so nötig wie heute – immer mehr Menschen nutzen immer mehr digitale Dienste.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.