Ich habe die Tage einige Gespräche mit sehr faszinierenden Menschen geführt, die in der Informationssicherheit oder angrenzenden Bereichen tätig sind, und mir ist dabei etwas klar geworden dass ich unbewusst schon irgendwie auf dem Schirm hatte, aber ich vorher nicht in Worte fassen konnte.
Die, mit denen ich gesprochen habe, waren durch die Bank weg Leute die sich Problemen wirklich annehmen. Kein „Das ist nicht Teil meiner Aufgaben“, „Darum muss sich jemand anders kümmern“ oder ähnliches.
Leute, die aufblühen wenn man sie einfach machen lässt, und die es zu Tode nervt wenn sie blockiert werden.
Viele waren vorher selbstständig, haben eigene Projekte gestartet, egal ob das ein Verein, ein Podcast, ein Youtube-Kanal war… haben Bücher geschrieben, Blogs geführt… Leute, die wenn man sie fragt ob sie einem helfen würden sagen „Ja klar!“.
Eine Freundin hat mich letztes Jahr mal gefragt was man da eigentlich in der Informationssicherheit so macht, sie hätte sich da schon mal schlau machen wollen, aber das sieht aus drehte sich da irgendwie alles um Normen… Richtlinie… Prozessbeschreibungen… ?!
Die Sache ist doch die - Angreifer kümmern sich nicht um irgendwelche Vorgaben oder Normen… wenn es da eine vielversprechende Vorgehensweise gibt, dann wird die knallhart durchgezogen. Wenn die nicht weiterbringt, probiert man eine andere. Genau dieselbe Haltung empfehle ich auch Kunden. Die jährliche Klickstrecke zur Sensibilisierung mag vielleicht die Anforderung der Norm erfüllen, aber sie bringt halt im Endeffekt nichts… man will doch an der Stelle keine CISO die sagen „Ich hab das erfolgreich wegautomatisiert, prima!“ sondern Leute, die gucken wie sie die Leute wirklich erreichen. Wenn man keine Zuarbeit von einer Abteilung bekommt, dann will man doch niemanden haben der sagt „Ja doof, ist halt so, ist aber nicht meine Aufgabe mich darum zu kümmern.“ sondern vielleicht Leute die das eskalieren, die einfach mal vorbeilaufen und beim Kaffee oder in der Zigarettenpause und fragen woran es liegt. Die im Zweifel selbst versuchen Wege zu finden wie man an die Zuarbeit kommt, selbst wenn man am Ende selbst mehr machen muss.
Am Ende des Tages sind wir beauftragt uns um ein Problem in der Informationssicherheit zu kümmern. Nirgendwo steht geschrieben dass zur Lösung des Problems nur die Mittel erlaubt sind, die alle anderen machen.
- Klar kann ich ans schwarze Brett schreiben dass ich mein eigenes kleines Team aufbaue, und frage wer da Bock drauf hat
- Klar kann ich Leute dafür rekrutieren, die vielleicht besser Vorträge halten können, oder die besser in der Mediengestaltung sind
- Klar kann ich Leute ansprechen die länger in der Organisation sind, besser vernetzt sind als ich, und die mir helfen zu verstehen warum irgendwas nicht läuft
- Klar kann ich Awareness auch außerhalb von Web-Based-Training, Death-By-Powerpoint oder Newslettern schaffen
Niemand verlangt dass wir nur Allround-Genies einsetzen sollen, aber wenn es darum geht Widerstände in der Organisation zu identifizieren und abzubauen, hilft eine Geisteshaltung sich im Zweifel auch mal abseits plattgetretener Pfade durchs unerforschte Gestrüpp und Unterholz zu schlagen… es geht am Ende darum ein Problem zu lösen, alles andere… jede Norm, jedes Dokument, jeder gelesene Artikel und jeder spendierte Kaffee ist dafür nur ein Mittel zum Zweck.
Sehe ich das falsch? Wie seht ihr das?