Open Source im professionellen Einsatz

GUUG-Fachgespräch: IT-Security psychologisch implementieren

14.03.2008

Beim Frühjahrsfachgespräch der German Unix User Group (GUUG) behandelte Stefan Schumacher die psychologischen Faktoren, mit denen Berater und Admins IT-Security zur Sache der Firmenmitarbeiter machen.

493

Mit seinem Vortrag "Design und Implementation einer Security-Awareness-Kampagne" wollte Stefan Schumacher dem GUUG-Publikum Einsichten vermitteln, wie man IT-Sicherheit den Mitarbeitern eines Unternehmens nahe bringen könne. Er stellte den Ansatz vor, mittels Psychologie und Pädagogik bei den Benutzern eine Bewusstseinsveränderung zu bewirken. "Admins und Anwender leben in ihren eigenen Realitäten", setzte der Bildungswissenschaftler an: Der Admin wolle Sicherheitsmaßnahmen durchsetzen, der Anwender wolle sie jedoch umgehen, zum Beispiel aus Bequemlichkeit. Man könne zwar niemanden dazu bringen, etwas gegen seinen eigenen Willen zu tun, führte Schumacher aus. Aber der eigene Wille sei beeinflussbar, so Schumacher weiter: Man könne Leute dazu bringen, zu tun, was man selbst will.

Der Referent stellte dafür konkrete Maßnahmen vor. Um Mitarbeitern Security-Themen näher zu bringen, sei es zum Beispiel nützlich, Kommunikationsbereitschaft bei ihnen zu wecken. Das tut man, indem man sich ihrer eigenen Lebenswelt annähert, zum Beispiel über das Thema Sicherheit beim Online-Banking. Über diese Brücke, die in der Lebenswelt des Anwenders vorkommt, könne man zum Beispiel Verständnis für die Relevanz von Sicherheitsmaßnahmen wecken. Weiterhin könne man einem Mitarbeiter seine Wichtigkeit vor Augen führen, so dass er sich als wirksamen Rollenträger wahrnimmt und einen Sinn in einer Sicherheitshandlung sieht, die er vollziehen soll.

Sicherheitsmaßnahmen betreffen außerdem das Unternehmen als Ganzes, betonte der Bildungswissenschaftler. Auch Manager müssten demnach bereit sein, zum Beispiel Identitätskontrollen willig mitzumachen. Und auch die Reinigungskraft müsse wissen, dass sie sich beispielsweise als Besitzerin des Büroschlüssels nicht einfach von Einlass begehrenden "Anzugträgern" verunsichern lassen solle: Sie sollte sich stattdessen als Entscheiderin begreifen, ob zum Beispiel der Fragende tatsächlich ein MItglied des Unternehmens ist.

Zentral ist für Schumacher die Kompetenzentwicklung auf Seiten des Anwenders. Kompetenzentwicklung ist ein eigener Forschungsbereich etwa für Soziologen oder Psychologen. Schumacher stützt sich erstens auf den Lehrsatz aus der Psychologie: "Der Einfluss, den ein Kontext auf eine Person ausübt, wird durch die Bedeutung bestimmt, die sie ihm beimisst." Daran anknüpfend ergibt sich für Schumacher zweitens die Notwendigkeit für Berater oder Admins, die Perspektive des Mitarbeiters einzunehmen. Damit ein Mitarbeiter beispielsweise ein sicheres Passwort wählt, muss er wissen, warum er das tun soll. Damit sich der MItarbeiter darum ernsthaft Gedanken macht, braucht er eine Motivation, erläuterte Schumacher. Denn sich mit einem Thema zu befassen, erfordert Arbeit, und Arbeit wolle sich niemand umsonst machen. Als Motivation für den Mitarbeiter könne zum Beispiel die Freude oder der Stolz dienen, wenn er sich selbst als sicherheitsbewusst wahrzunehmen beginnt und als handelndes Mitglied an den Sicherheitsmaßnahmen teilnimmt.

Der Referent ist Student der Bildungswissenschaften und Psychologie in Magdeburg. Außerdem ist er als Entwickler und Security-Berater selbständig. Er ist auch Mitveranstalter des Magdeburger Open-Source-Tags.

Das Frühjahrsfachgespräch läuft noch heute an der Hochschule München (vormals Fachhochschule München).

Ähnliche Artikel

comments powered by Disqus

Ausgabe 04/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.