Der menschliche Faktor Das Dilemma der IT-Sicherheitsbeauftragten
Awareness- und Phishing-Simulationen bringen nicht viel Sicherheit in Unternehmen. Wichtiger wäre eine gute Einbindung der Sicherheitsbeauftragten.
Beauftragte für IT-Sicherheit in Unternehmen haben es schwer: Sie verlangen dem Personal zusätzlichen Aufwand ab und müssen dem Management in Zahlen belegen, dass sie erfolgreich sind. Dabei sind sie wenig in Unternehmensstrukturen eingebunden und auf eingekaufte Werkzeuge angewiesen, die nur wenig zum sicheren Verhalten der Mitarbeitenden beitragen. Das hat eine Workshopreihe über acht Monate mit 30 schweizerischen Chief Information Security Officers (CISO) ergeben, die ein Team des Exzellenzclusters Cyber Security in the Age of Large-Scale Adversaries, kurz CASA, durchgeführt hat. Sie stellten ihre Ergebnisse bei der 32. Usenix-Konferenz in den USA im August 2023 vor.
Mangel an Einfluss
Die Forschenden arbeiteten heraus, dass die CISOs zu wenig in die Unternehmensstrukturen eingebunden sind und dass es ihnen an direkten Einfluss- und Gestaltungsmöglichkeiten mangelt, um notwendige Maßnahmen bei der Belegschaft durchzusetzen. „Sie neigen dazu, die Verantwortung daher einerseits dem Management zuzuschieben, indem sie mehr Unterstützung fordern, oder auf die Mitarbeitenden abzuwälzen, die sie als Sicherheitsrisiko ansehen“, so das Forschungsteam. Aus dem Blick gerät dabei, dass Mitarbeitende mit ihrem eigentlichen Job ausgelastet sind, und IT-Sicherheitsaufgaben zulasten dieser Tätigkeiten gehen. „Das erzeugt Reibungen, die berücksichtigt werden müssen“, so Prof. Dr. Angela Sasse, Inhaberin des Lehrstuhls für Human Centered Security der Ruhr-Universität Bochum.
„Um die Ergebnisse der Forschung zur menschenzentrierten Sicherheit mit den Praktiken in Unternehmen in Einklang zu bringen, braucht es mehr Zusammenarbeit zwischen der Unternehmensleitung und den CISOs, um Blockaden auszumachen und anzugehen“, ergänzt Prof. Dr. Annette Kluge, Inhaberin des Lehrstuhls Arbeits-, Organisations- & Wirtschaftspsychologie. Die Forschenden schlagen vor, CISOs zum Beispiel in Multi-Stakeholder-Risikoausschüsse einzubeziehen. Zudem sei mehr Forschung zur Perspektive der Vorstandsmitglieder und des Top-Managements auf Sicherheit notwendig, zum Beispiel indem man CISOs und Vorstandsmitglieder in einem ähnlichen Workshop-Setting zusammenbringe.
