Die wollen-Tun-Kluft in der Informationssicherheit

30 Aug

  • in Archiv
  • von
  • 0

Oder: Und täglich grüßt das Murmeltier…

Kennen Sie das auch? Gerade haben Sie die Awareness-Schulung in Ihrem Unternehmen durchgeführt und schon ereilt Sie die Nachricht, dass es einen Virus auf dem Computer eines Mitarbeiters gibt. Gott sei Dank hat er es nicht weiter ins System geschafft. Die Ursache? Ein geöffneter Mail-Anhang. Da könnte man als jemand, der sich mit dem Thema Informationssicherheit beschäftigt, schon irgendwann verzweifeln… Aber warum ist das so? Dieser Frage sind wir wissenschaftlich ein wenig auf den Grund gegangen.

In der Fachliteratur liest man dazu etwas von der „Wollen-Tun-Kluft“ oder auch Intention-Behavior-Gap. Wir haben diese Theorie auf die Sensibilisierung in der Informationssicherheit angewendet und somit von der kognitiven Seite betrachtet. .

Das Themengebiet der Sensibilisierung von Mitarbeitenden und Führungskräften für Informationssicherheit ist ein Dauerbrenner und beschäftigt nicht nur die verantwortlichen Managementsystembeauftragten, sondern auch zahlreiche Autoren wissenschaftlicher Arbeiten und aktueller Publikationen.

Die Wollen-Tun-Kluft

Es stellt sich die Frage, welche Faktoren dazu führen können, dass Mitarbeitende E-Mail-Anhänge öffnen und auf Links klicken, obwohl Schulungen und Sensibilisierungsmaßnahmen in Unternehmen und Behörden zu erhöhter Vorsicht mahnen. Welche kognitiven Vorgänge spielen hier eine Rolle, dass Mitarbeitende das vermeintliche Wissen um Risikofaktoren für die Informationssicherheit nicht in sicheres Handeln überführen können. Und durch welche Methoden kann die Lücke zwischen beabsichtigtem Handeln und tatsächlichem Verhalten geschlossen werden?

Folgende drei Verhaltensmodelle spielen bei der Wollen-Tun-Kluft eine übergeordnete Rolle:

  • Unrealistischer Optimismus (wird schon nichts schief gehen)
  • Situation Awareness
  • General Deterrence Theory

Handlungsempfehlungen

Von der Theorie zur Praxis… Welche Empfehlungen sollten Verantwortliche für Awareness-Maßnahmen im Bereich Informationssicherheit auf Basis der gewonnenen Erkenntnisse berücksichtigen, um sicherzustellen, dass die Mitarbeitenden Ihr Wissen verlässlich erwerben und zukünftig auch verlässlicher anwenden?

Handlungsempfehlung 1: Erkennen gefährlicher Situationen

Mitarbeitende müssen unterstützt werden, gefährliche Situationen aus Sicht der Informationssicherheit zu erkennen. Dazu können unterschiedliche Elemente dienen, wie regelmäßige Erinnerungen über die aktuelle Gefahrenlage, aber auch Hinweise bei der Handhabung von IT-Systemen. Zum Beispiel könnten das Systeme wie „Data-Loss-Prevention“ sein, die eine Warnmeldung ausgeben, wenn eine unerwünschte oder gefährliche Handlung eingeleitet wird. Dabei ist darauf zu achten, dass Warnmeldung soweit möglich individualisiert werden, aber auch zentral überwacht werden können. Es gilt sowohl einen Informationsüberfluss zu vermeiden, aber genau die relevanten Warnmeldungen nicht unterdrücken zu können.

Handlungsempfehlung 2: Einschätzen und Verstehen von Gefahrensituation

Mitarbeitende müssen Gefahrensituationen einschätzen und verstehen können. Dazu ist es nötig, jede und jeden vom individuellen Vorwissen her abzuholen und den Wissensaufbau so zu unterstützen, dass auch charakterliche Eigenschaften berücksichtigt werden. Hierzu bieten sich zum Beispiel E-Portofolios an, in denen die Mitarbeitenden Informationen zu einem bestimmten Thema sammeln und dann mit Kollegen und Mentoren diskutieren und bewerten. Damit ist der Lernerfolg vermutlich länger anhaltend, da selbst etwas zum Lernerfolg beigetragen werden musste und die Informationen bewusst verarbeitet werden mussten.

Handlungsempfehlung 3: Mitverantwortung deutlich machen

Organisationen müssen überwachen, ob und wie ihre wertvollen Informationen geschützt werden. Dies muss natürlich im Rahmen der gesetzlichen Möglichkeiten passieren, es ist aber auch nötig, bewusstes oder fahrlässiges Verhalten zu adressieren und ggf. zu sanktionieren. Ein Lerneffekt kann erst dann nachhaltig sein, wenn Mitarbeitende ihre persönliche Mitverantwortung für Informationssicherheit realisieren und verstehen. Hierzu müssen Unternehmen den Mut aufbringen, auch Sanktionen auszusprechen um zu verhindern, dass eine Haltung der Gleichgültigkeit in den Unternehmen entsteht.

Und täglich grüßt das Murmeltier…

Zum Schluss bleibt die Frage: Besteht eine realistische Chance, dass bei der Berücksichtigung der Handlungsempfehlungen zukünftig der Faktor Mensch seltener für Sicherheitsvorfälle verantwortlich ist? Beziehungsweise, besteht überhaupt die Chance, dass Unternehmen die Wichtigkeit der Berücksichtigung kognitiver Vorgänge bei ihren Mitarbeitenden bei der Planung von Awareness-Maßnahmen berücksichtigen? Oder bleibt alles beim Alten und das Thema „Mensch als Sicherheitslücke“ bleibt trotz dieser Erkenntnisse weiterhin ein Dauerbrenner, im Sinne von „Täglich grüßt das Murmeltier… es hat schon wieder jemand wider besseren Wissens einen infizierten Mailanhang geöffnet“.

Urheberrecht: © adimas – Fotolia.com

Share on Xing
0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.