• > NAGYs
• > MeisterKlasse
• > TrauerWeile
• > Autogenese
• > eisberg:group
  • > IS Coaching
  • > IS Fachberatung
  • > IS Schulungen
  • > IS Training
  • > Publikationen
• > :MOMENTO Newsletter

• > Aktuelles
• > Persönliches
• > Team
• > Links
• > Impressum
• > AGB's

Die eisberg:group - Informationssicherheit zwischen Bedürfnis und Bedarf

Kennzeichen der Informationssicherheit

Die ISO 17799, welche in die ISO 27000er-Reihe übergeggangen ist, begleiten durch diese Thematik und durch die Publikationen. Sie definiert Informationen als "Vermögenswerte, die genauso wie die übrigen geschäftlichen Vermögenswerte wertvoll für eine Organisation sind und infolge dessen in geeigneter Weise geschützt werden müssen ... Informationen können in unterschiedlicher Form vorliegen. Sie können ausgedruckt, auf Papier geschrieben, elektronisch gespeichert, auf dem Postweg oder elektronisch übertragen, in Filmen gezeigt oder in Gesprächen mündlich weitergegeben werden ..."

Die etwas hölzerne Normensprache soll uns nicht den Blick auf das Wesentliche verstellen: Informationen sind existenzielle Werte für jedes Unternehmen. Ohne Know-how hat eine Firma keinen substanziellen Wert - Maschinen, Betriebsmittel und Werkzeuge sind austauschbar, das >Gewusst wie< sichert Unverwechselbarkeit und Wettbewerbsvorsprung.

Die für die Informationssicherheit zuständige ISO-Norm versteht darunter die Wahrung der
a) Vertraulichkeit: Sicherstellen, dass Informationen nur für autorisierte Benutzer zugänglich sind;
b) Integrität: Sicherung der Richtigkeit und Vollständigkeit der Informationen und Verarbeitungsmethoden;
c) Verfügbarkeit: Sicherstellen, dass autorisierte Benutzer bei Bedarf jederzeit Zugang zu Informationen und verbundenen Vermögenswerten haben.

Schutz von Werten

In der ISO 17799 steht: "Informationen sollen immer unabhängig von ihrer Form, der Art der gemeinsamen Nutzung oder Speicherung angemessen geschützt werden."

Wertgegenstände werden in der Regel angemessen verwahrt, indem man sie in einen Safe verschließt, an einem sicheren Ort versteckt, hinter einbruchsicheren Türen verwahrt oder auf andere Weise dafür sorgt, dass sie nicht in falsche Hände geraten.

Firmengeheimnisse, Formeln, Herstellungsverfahren u.a. sind allerdings ideelle Werte, die man nicht so einfach angreifen kann. Elektronische Dokumente nehmen oft nur wenig Speicherplatz ein und sind in Sekundenschnelle übertragbar, auf Datenträger speicherbar, veränderbar und auch löschbar. Sie sind physisch oft nicht fassbar und entziehen sich dadurch unserer konkreten Vorstellungskraft.

Während ein Goldbarren durch seinen Glanz und sein Gewicht fasziniert, fällt es uns schwer, den großen Wert einer Information zu erkennen, die wohl durch die geistige Schaffenskraft eines Menschen entstanden, aber elektronisch als Bits und Bytes gespeichert ist. Ob das wohl auch an der Nutzung von Computern für den Konsum von Unterhaltungsprogrammen liegen kann?

Hinzu kommt die Problematik der Wertschätzung. Ist diese in einem Unternehmen minder entwickelt, so entwickeln die Mitarbeiter auch kein besonderes Bewusstsein für den Schutz von betrieblichen Werten. Ganz im Gegenteil, in der Missachtung von Sicherheitsbestimmungen sehen frustrierte Mitarbeiter oft die >Revanche< für persönlich erlebte Missachtung.

Auf eine Tatsache sei an dieser Stelle hingewiesen: Die größten Gefahren gehen nicht von Saboteuren, Hackern oder anderen organisierten Verbrechern aus, sondern von der eigenen Belegschaft - inklusive der Firmenleitung. In rund zwei Drittel aller Fälle ist der Faktor Mensch das größte Sicherheitsrisiko.

Sicherheit als menschliches Grundbedürfnis

Woran liegt es, dass zu wenig auf die Informationssicherheit in Organisationen geachtet wird? Wohl nicht am Grundverständnis der Menschen. Dazu sei das viel zitierte Modell des US-amerikanischen Psychologen Abraham Maslow eine hilfreiche Grundlage. In fünf Stufen einer Pyramide bildet er die Bedürfnisse der Menschen ab, um so Motivationen anschaulich zu erklären. Die einzelnen Stufen sind hierarchisch angeordnet, das bedeutet, dass zunächst die niedrigen Stufen befriedigt werden müssen, bevor ranghöhere angestrebt werden.

Die unterste Stufe enthält körperliche Grundbedürfnisse: Hunger, Durst, Sex ...

Bereits an zweiter Stelle steht die Sicherheit!

Danach folgen die sozialen Bedürfnisse (zwischenmenschliche Kontakte, Kommunikation ...) und an vierter Stelle die Wertschätzungsbedürfnisse: Bestätigung, Anerkennung, Lob ...).

Die ersten vier Stufen nennt man Defizitbedürfnisse, weil man so lange nach Befriedigung strebt, bis sie erfüllt sind.

Die fünfte Stufe - und zum Teil auch die vierte - heißt Entwicklungsbedürfnis und umfasst Selbstentfaltung und Selbstverwirklichung. Das sind Wachstumsbedürfnisse, die nicht stillbar sind.

Gehört Informationssicherheit nicht zu den Sicherheitsbedürfnissen? Welche Rolle spielt die häufig praktizierte mangelnde Wertschätzung?

Wesen von Bedürfnis und Bedarf

Betrachten wir zunächst die entsprechenden Definitionen:

Bedarf entsteht, wenn ein vorhandenes oder gewecktes Bedürfnis durch Nachfrage nach einer konkreten Leistung gestillt wird.

Bedürfnis bezeichnet einen physiologischen oder psychologischen Mangel- und Erlebniszustand, der mit dem Streben nach einer entsprechenden Bedürfnisbefriedigung verbunden ist.

Daran lässt sich die Problematik der Informationssicherheit erkennen: Es gibt zu viel Angebot (Beratung, Schulungen ...) und zu wenig Nachfrage. Warum? Weil entweder kein Bedürfnis vorhanden ist oder es noch nicht gelungen ist, ein solches zu wecken.

Awareness beschreibt den Zustand gesteigerter Aufmerksamkeit. Vor diesem Hintergrund sind Informationsveranstaltungen, Firmenevents, Förderprogramme und das Engagement jedes einzelnen Informationssicherheitsberaters ein wichtiger Beitrag zum Schutz von Werten in Organisationen.

Menschliche Reaktionen

Wie reagiert man auf Gefahr? Man meidet sie, geht ihr aus dem Weg oder leugnet sie. Was nicht sein darf, soll auch nicht sein.

Wie reagiert man auf Dinge, die einen überfordern? Man verharmlost sie, stellt sie in Abrede und schmälert ihre Bedeutung.

Wie reagiert man auf Druck, der ausgeübt wird? Man reagiert mit Reaktanz - mit Widerstand als komplexe Abwehrreaktion.

"Was man nicht weiß, macht uns nicht heiß", sagt das Sprichwort. Deshalb gehen wohl auch viele Entscheidungsträger in Unternehmen sehr gelassen mit den Gefahren um, die sich gegen die Informationssicherheit richten.

Bedarfsanalyse statt Zwangsbeglückung

Wenn ein Kind Spinat nicht mag, dann helfen auch die besten Hinweise darauf nichts, dass er so gesund sei (was aktuelle Forschungsergebnisse ohnehin in Frage gestellt haben). Gesundes Sicherheitsempfinden kann nicht zwangsverordnet werden, sondern entsteht durch Einsicht. Also gilt es, nicht nur die Sinnhaftigkeit, sondern auch den persönlichen Nutzen und Nahebezug zu vermitteln.

Oft werden Gründe vorgeschoben, die es zu erkennen gilt, um die richtige Argumentation zu landen. Gegenargumente gehören in berechtigte Einwände und in unbegründete Vorwände eingeteilt. Auf alle Fälle ist der Entscheidungsträger ernst zu nehmen und als kundiger Kundezu behandeln.

 

NAGY’s internet und marketing GmbH

 Büro:
Biragogasse 18
3400 Klosterneuburg

Telefon: ++43 / 2243 / 28 311
Fax: 11 DW, Email: nagys@immer.at

Praxis:
Josef-Brenner-Straße 6
3400 Klosterneuburg

Gesundheitszentrum "The Tree"
Fasholdgasse 3/7
1130 Wien

Terminvereinbarung: 0664 / 840 53 40