Mechanische Sicherheitsvorkehrungen reichen nicht aus
Bei allem Verständnis für die Nöte der kleinen und mittelständischen Unternehmen: "IT-Sicherheit", meint die IDC-Analystin in ihrer 2010 erschienenen IT Security-Studie, "ist zunehmend eine ganzheitliche Aufgabe". Zwar stehe - gleichsam als Pflicht - die Technik im Vordergrund. Die Kür einer umfassenden Sicherheitsstrategie erfordere aber zudem auch "organisatorische Maßnahmen wie Unternehmens- und Nutzerrichtlinien sowie Zertifzierungen". Ist ja auch logisch: Wo potenziell die Mitarbeiter - ob bewusst oder unbewusst - die Urheber von Datenverlusten sind, sind rein mechanische Sicherheitsvorkehrungen wichtig, reichen aber nicht aus.
Zu allererst, da sind sich Lynn-Kristin Thorenz und Peter Maucher einig, gehe es darum, die Awareness für das Thema Sicherheit zu erhöhen. "Viele Mitarbeiter sind sich einfach nicht über die möglichen Gefahren bewusst", meint Thorenz. Hier gehe es also vor allem um Aufklärung sowie um die Vermittlung von verbindlichen Regeln und Umgangsformen.
Meistens empfänden die Mitarbeiter Sicherheitsregeln als lästige Pflicht, deren Erfüllung ihre Arbeit behindere und aufhalte. Solche Maßnahmen, so Thorenz, könnten aber nur greifen, "wenn die Sicherheitskonzepte auch gelebt werden". Die Sensibilisierung der Mitarbeiter sei unumgänglich, um einen wirksamen Schutz des Unternehmens zu gewährleisten. Hier sollte man vor allem auf die betriebswirtschaftlichen und rechtlichen Konsequenzen hinweisen, "auf überzogene Schreckensszenarien" aber verzichten, rät die IDC-Analystin.
Stattdessen müsse man, ergänzt Peter Maucher, die Mitarbeiter unbedingt davon überzeugen, dass nicht nur die Firma, sondern auch sie selbst von den Richtlinien profitierten, "sonst funktioniert es nicht". Wer etwa wisse, dass zum Beispiel auch die eigenen persönlichen Daten zum schützenswerten Gut gehören - Vertragsdaten, Gehaltsdaten, eventuell in den Personalakten auch Daten über Fehlverhalten oder Krankheiten - der werde sich viel nachhaltiger am Datenschutz beteiligen.
Zudem hat ein einfacheres Leben, wer sich an die Regeln hält: Die verbindlichen Vorschriften entlasten den Mitarbeiter davon, sich bei jeder Aktion neu Gedanken machen zu müssen, ob er sich gerade regelkonform verhält. "Und wenn sich herausstellt, dass die Regeln falsch oder unvollständig waren, dann war es nicht mein Fehler, wenn trotzdem mal was schief geht", erläutert HP-Sicherheitsexperte Maucher einen weiteren Vorteil verbindlicher Vorschriften.