Schlechte interne Kommunikation gefährdet IT-Sicherheit

Das sagen nicht nur wir: In diesem Ton lässt sich auch der DATEV-Chef und aktuelle BITKOM-Präsident Dieter Kempf in dem IT-Portal Heise-Online zitieren. Dabei gibt es verschiedene Ebenen dieser Aussage:

Unwissentliche Fehler von Mitarbeitern
Da mittlerweile fast jeder Mitarbeiter in einem Unternehmen mit IT in Berührung kommt, können auch entsprechend viele Fehler passieren. Hier hilft natürlich eine gute IT mit sauberen Prozessen, Rechten und Rollen. Mehr noch hilft aber, alle Mitarbeiter entsprechend aufzuklären und evtl. sogar zu schulen.

Missbrauch von Unkenntnis
Mitarbeiter werden von anderen Menschen direkt oder über Trojaner, Viren und anderen digitale Angreifer missbraucht. Hier helfen die klassischen IT-Werkzeuge kaum, wenn ein Unternehmen sich nicht vollständig vom “Rest der Welt abkapseln” möchte. Hier zählt besonders: Aufklärung und Schulung.

Nachlässigkeit von Mitarbeitern
Der Alltag schleift Prozesse glatt, macht sich unscharf und damit manchmal auch zu einem Sicherheitsrisiko. Bei vielen Prozessen darf diese Unschärfe nicht als Feind gesehen werden. Vielmehr ist sie das Schmieröl, dass “Dinge flutschen” lässt und einfache Anpassungen an neue Situationen ermöglicht. Es gilt also, das richtige Maß bei den richtigen Prozessen und Strukturen zu finden und auf der Ebene der Meta-Strukturen für die notwendige Schärfe an den Stellen zu sorgen, für die es wichtig ist.

Boshaftigkeit
Nicht jeder ist seinem Unternehmen gegenüber freundlich gesonnen. Es gibt zahlreiche Gründe, warum ein Mitarbeiter stillschweigend etwas beobachtet oder sogar selbst zu “Feind im eigenen Bett” wird. Nach dem Schaden ist das Vertrauen auf beiden Seiten zerstört und dann hilft oft nur noch die Trennung mit gerichtlicher Klärung. Die in jeder Hinsicht günstigste Lösung ist, vor dem Schaden einzugreifen. Aus Sicht des Unternehmens und des Managements gibt es hier weitreichende Möglichkeiten. Nicht zuletzt die, die eine interne Kommunikation zur Verfügung stellen kann.

Was muss man tun?
Zunächst: Die interne Kommunikation ist keine Aufgabe der IT. Sie ist eine Aufgabe des Managements, der Kommunikation, der Personalabteilung, des Betriebsrats usw. Ihre technische Realisierung erfolgt in Teilen durch die IT, nicht aber ihre Konzeption. Die IT bekommt die technische Infrastruktur sicher, nicht aber die Gehirne, die diese benutzen.

Heise zitiert in dem oben verlinkten Artikel Dieter Kempf mit den Worten:

Die Lösung liegt nicht darin, noch mehr zu kontrollieren, ganz im Gegenteil: Wir müssen bewusst machen, wie verantwortungsvoll bestimmte Aufgaben in diesem Kontext sind

Daher gehören “weiche” Faktoren mit zu den größten Sicherheitsaspekten eines Unternehmens:

Weitere Details finden sich in folgenden Artikeln:

Leave a comment