IT-Sicherheit: Mythen und Arbeitskultur

Wie wichtig der „Faktor Mensch“ in der Informationssicherheit ist, darüber scheint im Moment jeder zu sprechen. Nutzer müssen für Sicherheitsaspekte sensibilisiert werden – fast schon eine Binsenweisheit. Warum das in der täglichen Praxis weniger gut klappt als es notwendig wäre, dazu gibt es fast mehr Meinungen als Beteiligte.

Geliebter Feind: Nutzer und IT-Sicherheit

Und je länger Sie diese Frage mit IT-Experten oder Nutzern diskutieren, desto wahrscheinlicher ist es, dass einer oder mehrere der Gesprächsteilnehmer eine schicksalsergebene Haltung einnehmen (eine Abwandlung von Godwin’s Law?) – und eines der folgenden Probleme als ursächlich, aber unlösbar hinstellen:

  • Nutzer interessieren sich nicht für IT-Sicherheit,
  • Nutzer sind nicht intelligent genug für IT-Sicherheit,
  • Nutzer halten sich für etwas Besseres und scheren sich deshalb nicht um IT-Sicherheit

oder

  • IT-Sicherheit hält einen von wichtigeren Aufgaben ab,
  • IT-Sicherheit dient nur dazu, um Nutzer zu schikanieren,
  • IT-Sicherheit ist überflüssig, denn „die Hacker“ kriegen uns ja doch.

Und wenn wie hier aus den gleichen Tatsachen völlig unterschiedliche Schlüsse gezogen werden, hilft meist?

Wissenschaft.

Feldforschung in der IT-Sicherheit

Ethnographie in der IT-SicherheitDas dachten sich auch die beiden Anthropologinnen Squires und Shade und führten eine ethnographische (völkerkundliche) Studie unter IT-Sicherheitsleuten durch: People, the Weak Link in Cyber-security: Can Ethnography Bridge the Gap?“

Genauer gesagt schauten Squires und Shade sich ihr heimatliches College an und identifizierten drei unterschiedliche „Communities of Practice“ – das ist ein feststehender Begriff in der Anthropologie, der Gemeinschaften mit ähnlichen Aufgaben bezeichnet. Diese waren:

1.) Sicherheitsfachleute aus der IT-Abteilung,

2.) Wissenschaftler der Fakultät für Wirtschaftsinformatik und

3.) Anthropologen (wahrscheinlich aus Gründen der Verfügbarkeit, so wie in psychologischen Studien ja auch meist Psychologiestudenten als Probanden überrepräsentiert sind).

Die Anthropologinnen sammelten die Daten vor Ort, durch Beobachtungen und halbstrukturierte Interviews, also etwa durch Fragen wie „Erzählen Sie mir etwas über Sicherheit“.

Was zeigte sich in der IT-Abteilung?

Der IT-Leiter gab an, seine Abteilung sei

teamorientiert und nicht-hierarchisch

aufgebaut. Die Untersuchung der tatsächlichen Arbeitsstrukturen ergab jedoch

einen streng hierarchischen Aufbau mit einer strikten Befehlskette.

Das wurde von den Mitarbeitern erst einmal gar nicht als so negativ wahrgenommen: Sie lobten, dass jeder Neuling in einer Art Lehrlingsverhältnis von den Älteren in den Schwerpunkten seiner Wahl (beispielsweise Windows oder Mac) geschult würde – und zeigten sich auch stolz, wenn sie selbst den Neulingen dann etwas beibringen durften.

Informationsfluss entlang der Hierarchie

Der Informationsfluss war so denn auch von oben nach unten gerichtet: Anweisungen werden von Senior- zu Junior-Rollen weitergereicht. Hier bedauerten dann schon einige Mitarbeiter im Interview den Mangel an Transparenz und Selbständigkeit, lobten aber, dass es bei Fragen stets einen klar zuständigen Vorgesetzten gebe. Unter Kollegen auf gleicher Hierarchiestufe, so berichteten sie, laufe die Kommunikation informell: Oft mündlich oder per Instant Messaging oder Post-it-Zettelchen.

So weit also die gut geölte interne Kommunikation. In der externen Kommunikation – also mit den Nutzern aus anderen Abteilungen – taucht dann aber schnell ein Flaschenhals auf: Nur der Leiter der IT-Abteilung und die Leiter der Unterabteilungen sind befugt, außerhalb des Teams zu kommunizieren.

Und über IT-Sicherheit kommunizieren sie am liebsten gar nicht – nicht mit ihren Untergebenen und erst recht nicht mit externen Nutzern. Stattdessen wird jüngeren IT-Mitarbeitern beigebracht, dass IT-Sicherheit für sie noch zu komplex sei, und die Jüngeren übernehmen diesen Glauben.

Schulung von Nutzern: Hoffnungslos?

Die Aufklärung von Nutzern über Risiken in der IT-Sicherheit wird geradezu als kontraproduktiv wahrgenommen:

Educating the user is perceived as time consuming with dubious results. Users will have a breach sooner or later and there is not much IT can do

Als viel erfolgversprechender als die Sensibilisierung und Information der Nutzer wird die Investition in technologische Lösungen wahrgenommen:

Security technology is the only real safeguard.

Auch die Wirtschaftsinformatiker hielten den Nutzer für das schwächste Glied in der Kette der IT-Sicherheit. Doch anders als unter den Mitarbeitern der IT-Abteilung war auch der Glaube an die Effektivität von technischen Security-Lösungen wenig ausgeprägt:

Everything can be hacked

Mythen in der und über die IT-Sicherheit

Schließlich machten die Anthropologinnen ihrem Fach noch einmal alle Ehre und identifizierten die wichtigsten Mythen, an die die Communities of Practice der ITler und die der Nicht-ITler glaubten und die an der mangelnden Umsetzung von IT-Sicherheitsmaßnahmen schuld waren.

Für die Nutzer außerhalb der IT waren das:

  • „Bedrohungen im Cyberspace richten sich gegen Organisationen, nicht gegen Einzelpersonen.“
  • „Apple-Produkte sind sicher.“
  • „Die IT-Abteilung wird uns alle beschützen.“

Die ITler (IT-Services und Wirtschaftsinformatiker) hingen dagegen folgenden Glaubenssätzen an:

  • „Kommunikation über IT-Sicherheit muss technisch sein.“
  • „Nutzer sind die Schwachstelle, die die ganze Organisation in Gefahr bringen.“
  • „Es ist kontraproduktiv, mit Nutzern über IT-Sicherheit zu kommunizieren.“

Und weiter?

Squires und Shade sind der Meinung:

Effektive Maßnahmen in der Cybersicherheit müssen [zuerst] Perspektiven und Kommunikationsstile der IT auf der einen und der Nutzer auf der anderen Seite identifizieren.

Ein kleiner Spoiler: Wir arbeiten zusammen mit einer Ethnologin gerade an einem Konzept, wie genau dies im Gesundheitssystem funktionieren kann. Mehr dazu lesen Sie bald hier im Blog!