Aber wenn doch jeder FÜR mehr Sicherheit ist, wieso

Allgemein Geplauder aus dem Alltag
1

Ein kleiner Nachtrag zur gestrigen Veranstaltung, zur Wichtigkeit der Sensibilisierung der Leitung.

Hier ist ein etwas älterer Artikel, der sehr schön illustriert was ich sagte.

Die Beschäftigten haben sehr feine Antennen dafür was ihrer Leitung von ihnen sehen will. Das ist nicht unbedingt auch das, was die Leitung auf den Lippen bekennt. Niemand ist gegen mehr Sicherheit… wenn ich als Berater der Chefetage gegenüber betone wie wichtig ihre Unterstützung ist… natürlich sagen die ja, das verstehen sie und das machen sie auch. Wenn der Auditor mit der Geschäftsleitung spricht, und die Geschäftsleitung auf den Termin gut vorbereitet ist, dann hat sie eigentlich überhaupt kein höheres Ideal mehr als für umfangreiche Sicherheit zu sorgen.

Aber danach ist die Realität halt, dass fortwährend andere Prioritäten gesetzt werden. Lob, Gehalterhöhung oder Beförderung bekommen dann die, die Abkürzungen genommen haben. Die sich Arbeit mit nach Hause genommen haben obwohl das laut Richtlinie verboten ist. Die Probleme im Schnellverfahren lösen, und die vorgesehenen Wege ignorieren. Den Anschiss holt sich die IT vom Chef auch nur ein einziges mal ab, wenn sie darauf hinweist dass die Anweisung so nicht umgesetzt werden darf, danach weiss jeder woher der Wind weht.

Oder wie es in dem Artikel steht:

The people whose compensation depends on your opinion have ample time to remember and analyze your past words and decisions – more time than you, in fact, and a stronger incentive.

Und deswegen ist die Sensibilisierung ein so wichtiges Thema im ISMS, und deswegen ist es mit Newslettern und Web-Based-Training nicht getan… man kann und muss die persönliche Ansprache nutzen, um sich Unterstützung und Anerkennung aufzubauen, bis ein Punkt erreicht ist wo Leute dich als ISB nicht mehr ignorieren können, weil du nicht mehr der einzige bist der das Lied von der Sicherheit trillert, sondern so viele in der Einrichtung es verstehen… dass auch alle Ebenen der Leitung merken sie müssten sich nun langsam für ihr Verhalten rechtfertigen.

Das macht den Unterscheid aus zwischen einem Managementsystem mit steter Verbesserung, und „Wir streuseln ein paar Maßnahmen über den Salat“.

1 „Gefällt mir“
2

Und wie durch Zauberhand ist auch der andere Punkt aus dem Vortrag erledigt… kleine FollowUp Aktionen nach der Veranstaltung zur Verfestigung des Gesagten :wink:

1 „Gefällt mir“
3

Inhaltlich bin ich voll dabei! Das Thema muss/sollte in der gesamten Organisation Verbreitung UND Akzeptanz finden. Es sollte nur nicht den Anschein erwecken, dass die Strategie dadurch verfolgt wird, dass man „das Lied so lange trillert, bis auch der letzte es begriffen hat“ und das mit unbedingter Durchsetzung von oben herab geschieht.

Die Aufgabe ist es, dass alle daran arbeiten eine Sicherheitskultur in der Organisation zu etablieren und zu leben, die Fehler zulässt (also eine gesunde Fehlerkultur) und auf allgemeine Akzeptanz der Notwendigkeit setzt. Daher ist die Vielfalt der eingesetzten Mittel sehr wichtig, die jeden und jede in der Organisation abholt.

Ein Zitat dazu: Security must become a cultural norm in the organization, not an afterthought - Art Coviello (ehemals RSA Security)

Aber wie stelle ich überhaupt fest, dass es uns gelungen ist eine Sicherheitskultur zu etablieren?

1 „Gefällt mir“
4

Hi in die Runde, jetzt weiß ich nicht, ob ich mich mit meinen Gedanken beliebt mache. Schaunwermal. Diese Frage nach Akzeptanz und dem daraus abgeleiteten, im besten Fall gutwilligen und vor allem überzeugten, intrinsisch motivierten Handeln jedes Mitglieds einer Organisation, beantwortet in der Regel nicht allein die Beratungsfirma bzw. die Fachabbteilung bei der Einführung eines ISMS. Ich habe da die vielen Schulungen, Texte etc. im Hinterkopf, die mich beeinflusst haben, als ich noch CISIS12 fürs Cluster betreut habe. Da ging mir durch den Kopf, dass die wesentlich notwendige kulturelle Begleitung meist fehlt. Letztes Jahr sprach ich mit einem Verantwortungsträger eines großen German Corporate, der mir verriet, dass etwa die Identifikation mit dem Unternehmen alles andere als gewünscht sei. Da frage ich mich, wie ich morgens etwa zur Arbeit gehen soll, um dann auch noch Verhaltensweisen zu internalisieren, die normalerweise nicht zu meinem Range of work gehören. Ich haue das einfach mal raus: Was wäre denn, wenn man neben der technobürokratischen Implementierung eines IS-Standards mal über eine Systemerweiterung in Richtung Unternehmenspsychologie/-coaching etc. nachdächte? Das nur einmal in den Raum gestellt. So cool sich manche Standards/Normen lesen, so perfekt sie adressieren, was in der Informationssicherheit notwendig ist, sie können niemals gegen einen Typen um die 62, der sagt: „Ist mir doch egal, was mit der Bude ist. Soll sie doch abfackeln, bin eh bald in Rente.“ (NUR ein Beispiel). Ich hoffe, ich bekomme das mal projektiert.

1 „Gefällt mir“
5

Ich war ja lange Zeit Controller in einem großen Konzern, und das heißt für mich ist neben der reinen Lehre (z.B. ISMS nach Norm) halt auch interne Politik als Mittel um Einblicke und Handlungsfreiheiten in der Einrichtung zu bekommen schon immer Kernthema gewesen.

Es gibt keine Organisation, in der ein ISB-förmiges Loch existiert, dass nur darauf wartet gefüllt zu werden. Ab einer gewissen Größe ist jede Organisation wieder auf Abhängigkeiten und Einzelinteressen zu reduzieren, die nichts mit der Aufgabenerfüllung oder irgendwelchen Leitmotiven zu tun haben. Da ist man wieder auf der Ebene von „Ich mag den nicht“ und „Wenn ich mich hier querstelle, kann ich woanders ein Zugeständnis bekommen“ angekommen. Das verklausuliert man dann nur anders… „Das kriege ich beim Vorstand nicht durch“, „Das überfordert die Belegschaft“ oder natürlich „Dafür sind keine Mittel da“. Das ist auch die Ebene, auf der man manche Bereiche, die einem unlieb sind, dann halt verhungern lässt… Anweisung keine Zuarbeit zu leisten, oder mit Mehraufgaben überfrachten.

Ich denke es ist keine Seltenheit, dass Organisationen den Aufbau von ISB als Stabsstelle ganz einfach sabotieren, weil sie keinen Bock haben dass in dieses Geflecht in dem sie gut positioniert sind ein neuer Player auftaucht… einer, dem man nicht weisungsbefugt ist, und der quer durch die Organisation wirken soll? Nicht, solange ich mitreden kann.

Es ist natürlich nicht überall so, und nicht überall in gleicher Ausprägung, aber ich habe noch keine Situation erlebt, wo eine oder ein ISB heute nicht gut beraten wäre sich Unterstützung und Netzwerke aufzubauen, die auch dann tragfähig sind wenn mal eine Leitung wechselt, die Stimmung kippt oder Mittel knapp werden.

Und das ist auch der Part, den ich weiter oben meinte und in dem Vortrag dargelegt hatte… dein 62jähriger… nennen wir ihn einfach mal „Meyer“. Meyer hat nen Posten wo man nicht an ihm vorbeikommt, er hat keine Anreize sich zu bewegen und lässt sich auch nichts von irgendwelchen Neuankömmlingen sagen… er ist vermutlich gut vernetzt, und wenn man ihn nicht mag, dann respektiert man ihn zumindest. Und wenn man ihn nicht respektiert, dann scheut man zumindest die Konfrontation mit ihm.

Meyer kriegt man nicht bewegt. Aber man bekommt Leute bewegt die Meyer zur Rechtfertigung einer Blockade heranzieht. Meyer kann vielleicht den oder die ISB ignorieren, aber Meyer hat ne schwere Zeit sich Leuten gegenüber zu rechtfertigen, die er argumentativ als Grund vorschiebt.
„Die Beschäftigten wären damit überfordert“ oder „Krieg ich nicht am Vorstand/Bürgermeister/etc vorbei“ zieht halt dann nicht mehr, wenn man die im Rahmen der Sensibilisierung … oder bei welchen Veranstaltungen und Treffen auch immer… auf die Seite „Ohne Informationssicherheit geht es nicht“ gezogen bekommen hat.

Die Idee bei Widerständen ist immer, dass sie sich nur dann gegen etwas stellen können, wenn sie argumentieren dass ihr Widerstand etwas anderes schützt. Das muss man verstehen und einschätzen können. Da muss man als Mensch dran gehen, mit Leuten reden, Unterstützung geben und einfordern können.

Das kriegst natürlich in keine Norm formalisiert, und es atmet so ein bisschen den Geist von „Ein ISB muss ein Alleskönner sein“, und es wird natürlich auch nie perfekt ablaufen… aber Stabsstelle heißt dass man mit Leuten nun mal reden muss um etwas zu bewegen. Und wenn man sich dabei geschickt anstellt, dann werden auch Widerstände wegschmelzen… wenn Leute dann irgendwann mit dir reden WOLLEN, bevor sie etwas entscheiden… weil du die Person bist, an der man nicht vorbeikommt, dann hat das nichts mit einem Organigramm zu tun gehabt, sondern weil der Weg über dich der Weg für andere zum Weg des geringsten Widerstandes geworden ist.

Da will man hin, dabei sind dicke Bretter zu bohren… aber ich glaube aus tiefstem Herzen dass es nicht anders machbar ist.

1 „Gefällt mir“
6

Dicke Bretter bohren: Ja, ich denke, dass sich die Gegenwart genau dadurch auszeichnet, dass überall die Bretter dicker werden. Und dazu braucht man nicht einmal nach Thüringen und auf Herrn Treutner zu schauen. Es ist verrückt: In Einzelgesprächen erlebe ich viele Menschen in unserem Sektor, denen bestimmte Strukturmomente in den Organisationen, wie sie sich etwa in unserem Meyer manifestieren bzw. „materialisieren“, zuwider sind. Die Frage ist aber: Reichen unsere Instrumente, die wir in Anschlag bringen (wenn wir uns schon einig sind), um auch die Meyers und alle ihre Spielarten von nicht einmal bös gemeinter Verweigerung oder Sperrigkeit dazu zu bewegen, ein wenig mehr Anteilnahme zu zeigen? Ihr seid vor Ort, ich nicht. Frei nach Burt Lancaster in „Local Hero“: Ihr seid meine Augen. Daher mögen meine Betrachtungen naiv sein. Ich möchte mich jedoch angesichts der Lage nicht damit abfinden, dass Informationssicherheit am Mindset von sich sträubenden Mitarbeitenden scheitert. Kann doch nicht sein! Sollte auch nicht. Sonst kann man’s ja gleich bleiben lassen. Halb- oder viertelherzig an die Sache heranzugehen, kann im Zweifel brutal enden. Neulich habe ich einen Titel angelesen. IT-Sicherheit, erschienen 1992 (David Allan Curry, Unix System Security. Addison-Wesley). Im Prinzip steht da schon alles technisch relevante im Groben, was auch heute in Spielarten das vernetzte Arbeiten gefährdet. Die Luft heute ist jedoch rauer, und die Gefährdungen entfalten sich wesentlich stärker in die Breite. Daher mein Gedanke, es einmal anders zu versuchen, als nur mit Standards/Normen. Ein ISMS kann techno-/bürokratisch eingesetzt und eingeführt werden, wenn es eine prinzipielle Zustimmung gibt. Wenn nicht? Was dann? Wir arbeiten an Games zur Awareness. Neulich hatten wir ein Probespiel bei uns in der TechBase. Das hat schon einmal gewirkt, etwa bei dem GF eines Kleinstunternehmens, der dabei war. Aber in einer größeren Organisation, das sagen mir Coaches, das hast Du auch noch einmal bestätigt, regeln andere unausgeschriebene Gesetze das Zusammenarbeiten. Da kommt man doch mit Normen nicht weiter. Und auch die Kanutour auf dem Regen hilft nicht jedem aus seiner Haut. Ich habe Freunde, die Coaches sind und teils mittleres bis oberes Management als Kunden haben. Die gehen eben anders ran, als etwa CISIS12-Beratende. Kann man etwas lernen? Sollte man vielleicht einmal eine Blaupause für die kombinierte Arbeit aus Coaching und ISMS-Beratung zeichnen?

7

Man muss sich der fast schon subversiven Seite von drei Aspekten bei CISIS12 (oder halt auch anderen Normen) bewusst machen, und diese dann aus der grauen Theorie des Wortlauts in die Praxis beleben - dann hat man eigentlich schon alles, was man braucht.

• Die Leitlinie
Ja, vielfach ist das da draußen einfach eine Vorlage, aus dem Netz kopiert und als Formalie unterzeichnet… aber bereits da setze ich gerne hoch an. Betrachtet sie mal weniger als Pflicht, und mehr als Kür… eine Mischung aus Kriegs- und Unabhängigkeitserklärung. Je nach Situation empfehle ich regelrecht da Passagen unterzubringen, über die man mit der Leitung feilschen wird… jederzeitiges und überall geltendes Zutrittsrecht im Rahmen der Tätigkeit… jederzeitiges und überall geltendes Weisungsrecht im Rahmen der Tätigkeit. Regelungen dass dieses Recht im Notfall auf Dritte übertragen werden kann. Klar muss der oder die ISB sich hinterher dafür vor der Leitung erklären, und es wird vermutlich nicht alles akzeptiert, und man ist ja gut daran beraten in eine Forderung direkt auch Aspekte unterzubringen, die man sich rausverhandeln lassen möchte…

Aber alleine schon dass daraus dann eine Information an alle Beschäftigten erfolgen muss, dass sie wissen hier ist jemand, der darf ihnen Anweisungen erteilen… und nicht „Hm, ja ich kläre das lieber nochmal vorher ab“, sondern klipp und klar - wenn der ISB dir etwas sagt, ist mit der Leitlinie bereits beantwortet ob er oder sie das darf.

• Die Stabsstelle
Auch als Formalie im Organigram schnell dahingeklickt, aber was bedeutet es denn in der Praxis? Die Idee ist dass die Stabsstelle operativ aus dem Gefüge der Organisation ausgeklammert ist… sie ist neutral, sie hat keine nachgelagerte Struktur, sie ist nicht weisungsgebunden, außer gegenüber der obersten Leitung, sie ist nicht betriebsergebnisorientiert, sie „spielt das Spiel nicht mit“ dass alle anderen Bereiche spielen, wenn es da um Kostenstellenverteilungen, Personalüberlassungen oder „Wer hat denn hier den Hut auf?“-Diskussionen geht.

Aus Schritt 1 gilt nur - wenn nötig, darf sie einschreiten… in den Köpfen der Organisation verdeutlicht sich daraus… wir kommen um die Person nicht drum herum, sie ist bei allen möglichen Themen zu beteiligen, und wenn wir sie ignorieren kann es nur Probleme geben. Dafür muss der oder die ISB aber auch willens sein dieses scharfe Schwert auch mal zu schwingen, und die Rückendeckung der Leitung haben… hilfsweise die Deckung der Leitlinie, wenn die Leitung mal wechselt oder die Stimmung dreht.

Dann muss einmal die Inbetriebnahme einer Maschine untersagt werden, bis Zuarbeit erfolgt ist. Dann wird mal ein Zugangskonto auf Anweisung der oder des ISB gesperrt, wenn lax mit den Zugangsdaten umgegangen ist. Diesen Test muss die Beauftragung zum/zur ISB aushalten können.

Hier will man regelrecht die Situation aufkommen lassen dass irgendjemand sagt „Was bildet der oder die sich eigentlich ein!?“ und wir brauchen dann umstehende Leute die sagen „Naja was hast du erwartet - er oder sie darf das… der Fehler ist DEINER gewesen“. Es braucht diese Präzedenz, damit Meyer realisiert dass er keinen Konsens hinter sich stehen hat… und damit alle anderen sehen dass Meyer sich hier nicht durchsetzen konnte

Und DAFÜR braucht es dann vorab den dritten Schritt.

• Die Sensibilisierung der Leitung
Als Stabsstelle ist man für die offene Aussprache mit der Leitung autorisiert… man hat diese Position bekommen, damit man mit einer gewissen Narrenfreiheit aus dem üblichen, höfischen Verhalten hervortritt. Es kann gut sein dass die Leitung das im 4-Augen-Gespräch nicht nur gutheißt, sondern die Stabsstelle auch gezielt benutzt um Dinge umzusetzen, die sie nicht selbst vertreten will… aber dann sind es halt Sachzwänge… es ist kein großer Unterschied ob „das Controlling sagt“ oder „der ISB sagt“.
Dafür muss es ein Vertrauensverhältnis geben, klare Kommunikation in beide Richtungen, und natürlich kann und soll es da auch Absprachen geben bevor man etwas initiiert.
Deswegen sensibilisiert man die Leitung ja vorab und separat - um zu verdeutlichen dass man ihnen den Job abnimmt und verantwortungsvoll umsetzt, aber dafür muss diese Beauftragung nach außen belastbar sein… sie müssen dem oder der ISB am Anfang den Rücken stärken, wenn Meyer anruft und sich beschwert. Ohne Wandel geht es nicht, und dieser braucht eine Initialzündung und diese wird definitiv, das ist so sicher wie das Amen in der Kirche, Leute dazu bringen sich über den ISB zu beschweren.

Und das ist der wichtigste Augenblick im Leben eines neuen ISB… wenn hier die Ansage an den ISB kommt er oder sie soll mal runterdrehen, dann kann man dort an Ort und Stelle seine Kündigung schreiben und sich einen besseren Job suchen. Die Leitung muss an dieser Stelle, am Anfangs, hinter dem oder der ISB stehen. Das ist die Signalwirkung ins Unternehmen, damit steht fest… „Mit Gewalt kommen wir am ISB nicht vorbei… lass uns mal mit der Person reden…“ Man will sich ja gegenseitig nichts böses, und dann beginnt es dass der oder die ISB sich ein Netzwerk aufbauen kann, Leute wollen es vermeiden dass aus der Richtung unerwartet Probleme aufkommen deren Ausgang sie nicht absehen können, also spricht man mit einander.

Und wenn man dabei ein gewisses Geschick hat, und den Leuten zeigt dass man vermitteln kann, dann fängt der ISB an von der Rolle, gegen die man sich wehren will, zur Rolle zu werden mit der man gerne zusammenarbeitet.

Und genau so erzähle ich das auch ganz offen neuen ISB oder Leitungen, falls ich dort mal eine Sensibilisierung vornehme. Die technische Seite der Informationssicherheit kann man in die Hände weniger Leute legen - aber dass ausgerechnet manche Branchen besonders einfache Ziele für Angreifer sind… Krankenhäuser… öffentliche Verwaltung… Kommunen…, das liegt nicht daran dass die Technik dort anders funktioniert, sondern weil die Organisation blockiert… weil man sich auf Machtstrukturen zurückzieht, die diesen Aspekt nicht betrachten. Wir müssen nicht eine bessere Firewall kaufen… wir müssen Meyer davon abhalten sich erfolgreich durchzumeckern weil seine Lieblingswebseite nicht mehr erreichbar ist.