Dr. Rainer Janßen, CIO der Munich Re, über Security Awareness Fokus in allen Sicherheitsbemühungen muss der Mensch sein

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Angriffe auf Unternehmen werden heute genau vorbereitet und so personalisiert, dass nur noch die Aufmerksamkeit des Adressaten schützen kann. Unternehmen sind also darauf angewiesen, dass die Mitarbeiter Teil der Sicherheitsstrategie sind. Security-Insider.de hat sich mit Dr. Rainer Janßen, CIO der Munich Re, über Security Awareness unterhalten.

Firma zum Thema

Dr. Rainer Janßen, CIO der Munich Re meint: "Auf Security Awareness wird man niemals verzichten können. Die Technik werden wir weiter stetig verbessern, aber der Mensch mit all seinen Schwächen wird so bleiben, wie er ist."
Dr. Rainer Janßen, CIO der Munich Re meint: "Auf Security Awareness wird man niemals verzichten können. Die Technik werden wir weiter stetig verbessern, aber der Mensch mit all seinen Schwächen wird so bleiben, wie er ist."
(Bild: Munich Re)

Security-Insider.de: Vor Jahren noch war Security Awareness in vielen Unternehmen ein Baustein im Security-Konzept. Doch diese Zeiten sind anscheinend vorbei. Heute ist dieser Baustein reduziert oder fehlt teilweise ganz. Was sind nach Ihrer Meinung die Ursachen, Budgeteinsparungen oder eine fehlende Wirksamkeit (ROSI) von Security Awareness?

Dr. Janßen: Es gibt zwar immer wieder einmal Berichte über Hackerattacken, aber der letzte große Virenalarm, der flächendeckend Unternehmen lahmlegte, ist doch einige Zeit her. Aber im Empfinden vieler scheint die Kontrolle sich doch stetig zu verbessern.

Darüber hinaus überschätzen Manager tendenziell das Gedächtnis ihrer Mitarbeiter beim Thema Security Awareness wie bei den meisten anderen Change-Programmen. Sie meinen immer wieder, dass es doch reicht, wenn man es einmal gesagt hat!.

Security-Insider.de: Wieso tun sich die Mitarbeiter so schwer, Security-Maßnahmen in ihre tägliche Arbeit umzusetzen? Befindet sich der Mitarbeiter heute in einer Komfortzone, in der er erwartet, dass die Technik ein Rundum-Sorglos-Paket schnürt, welches den Mitarbeiter vor allen Problemen zuverlässig schützt?

Dr. Janßen: Zunächst einmal ist Security einfach lästig. Es kostet doch nur Zeit, den PC abzumelden. Was bringt das? Wir sind doch unter uns?

Wie Bewohner von idyllischen Dörfern lassen sie ihre Terrassentür offen, denn „bei uns“ passiert so etwas ja nicht. Dabei ist es oft weniger die Komfortzone als die Vertrauenszone, die für Unsicherheit sorgt. Obwohl bekannt ist, dass bei den meisten Banküberfällen ein interner Mitwisser beteiligt ist und auch die CDs mit den Bankdaten deutscher Steuerzahler sicher von Internen an die Steuerbehörden verkauft wurde, haben viele gegenüber dem Kollegen grenzenloses Vertrauen.

Auch die Security am Eingang zum Bürogebäude vermittelt ihnen, dass sie ab hier in einem sicheren Bereich sind.

Dr. Rainer Janßen ist CIO der Munich Re. Das Unternehmen wurde vor 132 Jahren gegründet und ist heute der größte Rückversicherer der Welt.
Dr. Rainer Janßen ist CIO der Munich Re. Das Unternehmen wurde vor 132 Jahren gegründet und ist heute der größte Rückversicherer der Welt.
(Bild: Munich Re)
Security-Insider.de: Trotz technischer Maßnahmen, braucht es den Mitarbeiter, der z.B. wie eine Phishing-Attacke auf seine Identität erkennt. Auf welche Schwerpunkte sollte heutzutage Security Awareness besonderen Wert legen, um einen maximalen Nutzen zu bieten? Was können Sie empfehlen?

Dr. Janßen: Während früher allgemeine Spam-Mail an alle verschickt wurde, werden die betrügerischen Mails heute mit Hilfe der von mir veröffentlichten Daten im Internet so personalisiert, dass manche wirklich glauben, sie seien persönlich angesprochen.

Die persönliche Ansprache kann auch in persönliche Bedrohung wechseln. Aber am wenigsten sind unsere MitarbeiterInnen im Vergleich zu vielen eher technischen Angriffen auf die Bedrohung durch nicht-technische Angriffe – das sog. Social Hacking – vorbereitet. Jeder will ja freundlich und hilfsbereit zu scheinbaren Kunden sein, die sich am Telefon melden. Das notwendige Misstrauen geht dabei leider oft komplett verloren.

Security-Insider.de: Wie sehen Sie die Zukunft von IT Sicherheit. Wird man auf Security Awareness irgendwann verzichten können oder muss man immer die menschlichen und technischen Aspekte berücksichtigen?

Dr. Janßen: Nein, niemals. Die Technik werden wir weiter stetig verbessern, aber der Mensch mit all seinen Schwächen wird so bleiben, wie er ist.

Die Evolution schreitet leider nur sehr langsam voran! Der zentrale Fokus in all unseren Sicherheitsbemühungen muss deshalb auf lange Zeit der Mensch sein: Security Awareness wird deshalb auf Sicht ein unverzichtbarer Aspekt aller Arbeit von Security-Organisationen bleiben.

(ID:36863090)