Security Policies als Garant für hohe Informationssicherheit? Dieses Denkmuster kann nach hinten losgehen. Wir sagen Ihnen warum das so ist und wie Sie vorbeugen.

Liest man Studien über Unternehmenssicherheit, dann findet man häufig ein wiederkehrendes Argumentationsmuster im Schwarz-Weiß-Stil. Hat ein Unternehmen Sicherheitsrichtlinien etabliert, ist das grundsätzlich positiv. Oder anders ausgedrückt: Damit wäre der größte Teil geschafft. Fehlen solche Security Policies, ist das ungünstig.

Zwar ist es richtig, dass nicht existierende Sicherheitsrichtlinien für ein Unternehmen mehr als ungünstig sind – deren bloßes Vorhandensein sagt jedoch prinzipiell erst einmal nichts über deren Qualität aus. Der größte Brocken kommt nämlich noch, denn die Beschäftigten müssen mitgenommen werden und letztlich die Richtlinien mit Leben füllen – das ist die eigentliche Herausforderung.

 

Richtlinien-Balance für mehr Sicherheit

Gute Security Policies sollten die Balance zwischen Richtlinien-Etablierung und Mitwirkungsverantwortung der Mitarbeiter finden. Werden die Sicherheits-Policies zu eng gefasst und lassen zu wenig Spielraum, können sie unter Umständen zum Hemmnis für notwendige Innovationen werden. Dienen die Richtlinien hingegen als Argument gegen bestimmte Applikationen oder Services, die von den Fachabteilungen gefordert werden, werden sie zum Bremsklotz der Unternehmensentwicklung. Solche Restriktionen dulden ohnehin immer weniger Fachabteilungen: Sie sehen die IT zunehmend in der Rolle des Dienstleisters, dessen Aufgabe es ist, die benötigten Anwendungen bereitzustellen und abzusichern. Sind die IT-Sicherheits-Richtlinien hingegen zu breit gefasst und lassen zu viel Interpretationsspielraum, können sie ihren eigentlichen Zweck – nämlich die Grundlage für ein möglichst hohes Sicherheitsniveau zu legen – nicht erfüllen.

 

Keine Security ohne Mitarbeiter

Ohne eine Mitwirkungspflicht der Mitarbeiter kann diese Gratwanderung nicht gelingen. Mit der Verabschiedung von Security Policies muss ein fortlaufender Prozess der Bewusstseinsbildung in Gang kommen, um die Mitarbeiter über deren Inhalt zu informieren, ihnen die Gründe für die Ausgestaltung zu erläutern und ihnen Hilfestellungen und Handlungsanweisungen zu geben. Letzteres benötigen sie, weil Sicherheitsrichtlinien eben kein genaues Regelwerk sein können, das nach dem Wenn-Dann-Prinzip funktioniert.

Security Policies können nur als Leitplanken dienen, die die Grenzen definieren, innerhalb derer sich die Mitarbeiter im Bewusstsein der drohenden Gefahren durch die virtuelle Welt bewegen – nicht mehr und nicht weniger können solche IT-Sicherheits-Richtlinien leisten. Jedem CISO sollte deshalb bewusst sein, dass ein Regelwerk alleine nicht genügt. Die Einbeziehung der Mitarbeiter und die richtige Kommunikation muss eine zentrale Säule in Ihrem Sicherheitskonzept darstellen – was enorme Anstrengungen nach sich zieht. Unter Umständen mehr, als für die Erstellung der Richtlinien selbst.