Wie sich das Sicherheitsbewußtsein entwickelt IT-Security-Awareness in Zeiten von Social Media und Datenverlusten

Autor / Redakteur: Dr. Sebastian Broecker, (ISC)²-zertifizierter CISSP / Stephan Augsten

Um das Thema IT-Security-Awareness ist es merklich still geworden. Sucht man bei Amazon nach deutschen Büchern, die sich ausschließlich mit IT Security Awareness befassen, findet man 2008 zwei Veröffentlichungen, 2009 nur noch eine und 2010 bisher keine. Was ist also aus dem Thema geworden? Ist Awareness am Ende?

Firmen zum Thema

Bewusstseinsänderung: Die Security Awareness ist mittlerweile ein positiver Nebeneffekt des täglichen Umgangs mit der IT.
Bewusstseinsänderung: Die Security Awareness ist mittlerweile ein positiver Nebeneffekt des täglichen Umgangs mit der IT.
( Archiv: Vogel Business Media )

IT-Security-Awarness war Beginn des neuen Jahrtausends noch ein absolutes In-Thema, mit dem man jeden Vorstand begeistern konnte. Doch jetzt sind IT-Awareness Kampagnen eher in Vergessenheit geraten und zu einem ungeliebten Thema geworden. Das hat mehrere Gründe.

Zum einen haben in der „Goldrauschzeit der IT- Awareness-Kampagnen“ die Firmen zwar Maßnahmen zur Erhöhung der Security-Awareness durchgeführt, aber nicht verstanden, dass dieses Thema Nachhaltigkeit erfordert und somit auch Kosten und Mühen über die Anfangsphase hinweg. Zum anderen kommt hinzu, dass sich unsere IT Welt gewandelt hat.

In einer Zeit, in der jeder dritte Facebook-Nutzer sich keine Gedanken mehr über die Sicherheitseinstellungen macht und in der tägliche Meldungen zu Datenpannen bei vielen großen Firmen zur Tagesordnung gehören, verändert sich auch unser Interesse an IT-Awareness. Das Thema ist nicht mehr „sexy“. Oder etwa doch?

Das Bewusstsein ändert sich

Kosteneinsparungen sind seit einigen Jahren in jeder Firma ein zentrales Managementthema. Wenn man Anfang 2000 eine große, meist mit viel Kosten und Mühen behaftete, Awareness Kampagne gemacht hat, warum soll man dann jetzt noch Geld in weitere Maßnahmen stecken? „Wir haben doch unsere Leute geschult“ wird so mancher Manager sagen.

Dieses Denken greift natürlich zu kurz. Schließlich muss man sich auch mit seinem Kind (genauso wie mit den Mitarbeitern) beschäftigen, nachdem es die Grundschule durchlaufen hat. In wirtschaftlich schwierigen Zeiten scheint es weniger sinnvoll Geld in weiche, meist nicht im Erfolg konkret messbare Maßnahmen, wie Awareness Kampagnen zu stecken.

Gleichzeitig scheinen elementare Verstöße gegen die Grundanforderungen Vertraulichkeit, Integrität und Verfügbarkeit heutzutage nichts Besonderes mehr zu sein. Leicht kommt der Gedanke auf, dass ja alles nicht so schlimm ist, denn den anderen Firmen passieren ja auch solche „Missgeschicke“.

Seite 2: Scheinbar ist Datenschutz out

Scheinbar ist Datenschutz out

Viele große Firmen hatten 2010 mit schweren Datenschutzpannen zu tun. Und aufgrund der Häufigkeit solcher Meldungen gewöhnen wir uns dran. Warum soll man denn die Mitarbeiter zum Thema Awareness schulen, wenn es doch irgendwie normal ist, dass solche Pannen passieren. Es kommt ja nur selten zu wirklich hohen Strafen durch den Bundes- oder Landesdatenschutzbeauftragten.

Doch es gibt noch weitere Gründe, warum Awareness an Bedeutung verloren zu haben scheint. Im Zeitalter des Social Exhibitionsm, sind wir es gewohnt, unsere Daten offen zu tragen. So glauben Jugendliche ihre Fotos vom letzten Trinkgelage bei Facebook zeigen zu müssen. Freundesnetzwerke werden bei Wer-kennt-wen durchleuchtet. Wie diese Beispiele zeigen, scheinen wir einfach kein Interesse mehr an dem Schutz unserer Daten und somit auch an Awareness Kampagnen zu haben.

Ich sage bewusst, „scheinen wir kein Interesse mehr zu haben“. Denn mit der Zunahme der alltäglichen Meldungen von Sicherheitsverletzungen ist auch ein neues Interesse an der Frage zu beobachten, wie man sich schützen kann.

Das Interesse an selbstbestimmter Awareness steigt

Kaum ein Tag vergeht, an dem Social Medien nicht durch negative Presse auffallen, große Firmen nicht von Hackern angegriffen und nicht irgendwo Daten verändert oder ausspioniert werden. Erstmals dringt das Thema „Gefahren der IT“ soweit in unser Bewusstsein vor, dass wir die Augen nicht mehr verschließen können.

Erste Schulen nehmen Awareness-Themen in den Unterricht auf. Viele Menschen beginnen sich zu fragen, „wie schütze ich meinen Laptop oder mein WLAN?“ Jugendliche fangen an zu verstehen, dass nicht wirklich alle persönlichen Daten für jeden einsehbar sein müssen. Selbst Verbraucherschutzministerin Ilse Aigner trug zur Awareness bei, als sie wegen der Datenschutz-Ansichten von Facebook das Soziale Netzwerk verlassen hat.

Ist nun das Zeitalter von Awareness vorbei, oder nicht? Ja, aber im Sinne von „Der König ist tot, es lebe der König“. Die alte Form der Awareness Kampagnen ist tot. Damit meine ich die vom Arbeitgeber wie eine Medizin verordnete Awareness, die nur durchgeführt wurde, weil das Thema auf Managerebene „in“ war. Nun haben wir Awareness 2.0. Eine Bewusstseinsbildung, die zwar noch in den Anfängen steckt, aber funktioniert. Nicht verordnet, sondern gewollt. Von denen, die es betrifft – uns allen!

Dr. Sebastian Broecker

Dr. Sebastian Broecker, (ISC)²-zertifizierter CISSP, arbeitet bei einer großen Firma in der Air-Traffic-Management-Branche als CISO (Chief Information Security Officer). Nebenberuflich ist er als freier Journalist tätig.

(ID:2046521)