Ebenen der IT-Sicherheit – deshalb gibt es keine 100%ige Sicherheit

Eine vollständige IT-Sicherheit kann nur dann theoretisch gelingen, wenn neben den technischen Voraussetzungen auf der Ebene Umgebung noch sechs weitere Ebenen berücksichtigt werden. Dieses Modell der Ebenen beschreibt die Einflussfaktoren für ein Unternehmen, ein Team oder eine Person und wird nun kurz vorgestellt.

Ebene  Beispiele
Umgebung Firewall, starke Passwörter, gesicherte Serverräume, Redundanzen, Sicherheitskonzepte, Zertifizierung, …
Verhalten Die IT-Sicherheit unterstützendes Verhalten durch Aufklärung, Beachtung von IT-Sicherheitsrichtlinien, …
Fähigkeiten Fähigkeiten schulen und verstärken, negative Auswirkungen von Sicherheitslücken verdeutlichen.
Überzeugungen Mitarbeiter davon überzeugen, dass die IT-Sicherheit als Wert und Erfolgsfaktor eines Unternehmens mitentscheidend ist. Risiken im Umgang mit IT aufzeigen.
Identität Die Identität des Unternehmens (wer sind wir?) vermitteln und auf die IT-Sicherheit übertragen (Strategie, Kultur und Struktur beachten bzw. anpassen).
Vision Die Vision des Unternehmens (wofür stehen wir?) vermitteln. Wichtigkeit/Bedeutung der IT-Sicherheit zur Verwirklichung der Vision mitteilen.
Systemgesetze Motivierte Zusammenarbeit mit Anerkennung und Respekt.

 

Tabelle 1: Ebenen der Veränderung mit Beispielen, die für eine gelingende IT-Sicherheit benötigt werden.

Es sind also erfahrungsgemäß zusätzliche Ebenen für eine wirksame IT-Sicherheit zu berücksichtigen, als die üblicherweise auf der Ebene ‚Umgebung‘ durch Audits beruhenden Bewertungen der Faktenlage. Dies legt den Schluß nahe, dass wir uns dem wichtigsten Risikofaktor widmen müssen.

Risikofaktor Mensch in der IT-Sicherheit

Die IT-Sicherheit lässt sich auf der Ebene, in der Technik und Organisation eine übergeordnete Rolle spielt, weitestgehend bereitstellen (Ausnahmen NSA u.a.). Daher ist es sinnvoll, organisatorische Regelungen zu treffen und sie technisch zu flankieren. Und trotzdem bleibt der Mensch in seinem Verhalten das größte Sicherheitsrisiko.

Das Modell der Ebenen hilft uns dabei, ebenfalls die Risiken zu verdeutlichen.

 Ebene Beispiele für den Risikofaktor Mensch
Umgebung unsichere Passwörter, unzureichend geschützte Serverräume, veraltete und damit störanfällige Hardware, Investitionsstau, Prozess- und Dokumentationslücken,..
Verhalten Zu wenig Aufklärung, IT-Sicherheitsrichtlinien nicht bekannt oder werden nicht beachtet (zu viel Aufwand, ohne deren Einhaltung sind Arbeitsergebnisse scheinbar schneller und einfacher zu erreichen), ausbleibende Kommunikation, Fehlinterpretationen…
Fähigkeiten Negative Auswirkungen von Sicherheitslücken nicht im Bewusstsein.
Überzeugungen Die IT-Sicherheit wird nicht als Erfolgsfaktor eines Unternehmens gesehen. IT-Risiken nicht ausreichend bekannt. Vertrauen in Dienstleister nicht hinterfragt.
Identität Die Identität des Unternehmens (wer sind wir?) ist nicht bekannt (das Zusammenspiel von Strategie, Kultur und Struktur wird nicht beachtet).
Vision Die Vision des Unternehmens (wofür stehen wir?) ist nicht bekannt. Wofür dann IT-Sicherheit? Grundlegende Motivation fehlt.
Systemgesetze Systemgesetzverletzungen wie Ausschluss, fehlende Anerkennung und Respekt führen zu einer Demotivation. Je nach Stärke der Verletzung kann es zu unbewussten oder bewussten sicherheitskritischem Verhalten kommen (‚Meldefaulheit‘, Datenweitergabe, Extremfall: Saboteure).

 

Tabelle 2: Risikofaktor Mensch – Ebenen der Veränderung mit Beispielen, die für Risiken stehen.

Der größte Risikofaktor in der Tabelle ist die Ebene der Systemgesetze.

Die Systemgesetze wirken. Sie sind den Menschen normalerweise nicht bewusst. Der Mensch spürt jedoch die Wirkung bei Einhaltung der Systemgesetze in positiver und bei Verletzung in negativer Form.

Werden die Systemgesetze eingehalten, so ist das ganze System (z.B. Team, Familie, Organisation, Unternehmen) motiviert. Die Beziehungen stimmen, jeder Einzelne fühlt sich unterstützt und gestärkt.
Werden die Systemgesetze missachtet, so ist die Konsequenz, dass das System und jeder Einzelne geschwächt oder demotiviert werden.

Typische Symptome für die Verletzung von Systemgesetzen in Organisationen sind überraschend kündigende Mitarbeiter und Kunden, interne Machtkämpfe, Sabotage, massive Umsatzeinbrüche, lähmende Stagnation oder Demotivation.

Die Einhaltung der Systemgesetze ist die Basis für eine gelebte IT-Sicherheit.

Das wichtigste Systemgesetz ist die „Zugehörigkeit zum eigenen System“, denn das bedeutet Überleben. So ist es heute noch im Tierreich. Wir bringen dieses Erbe aus unserer Entstehungsgeschichte mit, das in unseren Verhaltensprogrammen gespeichert ist.
Das zweitwichtigste Systemgesetz ist „Anerkennung, Wertschätzung und Respekt“. Kein System kann ohne Anerkennung langfristig funktionieren.

Das wichtigste Systemgesetz ist die „Zugehörigkeit zum eigenen System“, denn das bedeutet Überleben. So ist es heute noch im Tierreich. Wir bringen dieses Erbe aus unserer Entstehungsgeschichte, das in unseren Verhaltensprogrammen gespeichert ist, mit.
Das zweitwichtigste Systemgesetz ist „gegenseitige Anerkennung, Wertschätzung und Respekt“. Kein System kann ohne Anerkennung langfristig funktionieren.
Die weiteren Systemgesetze sind: „Recht auf Gleichgewicht zwischen Geben und Nehmen“, „Früher vor später hat Vorrang“, „Höhere Verantwortung / höherer Einsatz hat Vorrang“, „Höhere Kompetenz / höheres Wissen hat Vorrang“, „Neues System hat Vorrang vor altem System“, „Gesamtsystem hat Vorrang vor Einzelperson / Untersystem“, „Aussprechen / anerkennen, was ist“ und „Ausgleich schaffen“.

Nicht eingehaltene Systemgesetze führen erfahrungsgemäß zu Demotivation und Mobbing mit allen daraus entstehenden Konsequenzen.

Die Systemgesetze gelten nicht nur für zwischenmenschliche Beziehungen sondern sie sind auch das Fundament für die Organisations- und Unternehmensentwicklung. Ein Unternehmen hat normalerweise eine Vision mit der passenden Strategie, eine Struktur sowie eine Kultur. Werden bei einer Unternehmensnachfolge, einer Fusion oder einer Umstrukturierung nicht die Systemgesetze beachtet, so kommt es dort zu Konflikten.

Sind nun diese Systemgesetze verletzt, so kann dieses zu einer bewussten oder unbewussten Verhaltensänderung führen, so dass die Sicherheit gefährdet wird. Die Motivation für Sicherheit und Wichtigkeit schlägt um in Demotivation. Es kann sogar zur absichtlichen Schädigung des Unternehmens kommen, je nach der Stärke der Verletzung.

Deshalb ist unser Fazit, dass die IT-Sicherheit nur dann gelebt werden kann, wenn neben den technischen Faktoren der Risikofaktor Mensch auf ein Minimum reduziert ist. D.h. dass die Systemgesetzebene mit Zugehörigkeit und Anerkennung gelebt wird und vorhandene Systemgesetzverletzungen aufgelöst werden bzw. wurden.

Consent Management Platform von Real Cookie Banner