Information Technology Reference
In-Depth Information
Je nach Typ kann auch Arbeitsinhalt ein vielversprechender Motivator für Chefs
sein. Chefs müssen ihren Interessen entsprechend in die Arbeitsprozesse
eingebunden werden. Der Verwaltungstyp will organisatorisch eingebunden
werden, der Techniker lieber in die kleinen Spielereien, die vielleicht auch zuhause
zu gebrauchen sind. Dabei ist vor allem nötig, die eigenen Problemfelder in die der
Chefs zu übersetzen und sie für Sicherheit im Allgemeinen zu begeistern - der Rest
kommt dann fast von selbst. Um den folgenden Beispielen ein wenig
vorwegzugreifen: Für den Verwaltungstyp ist der Live-Hacking-Event vor allem
von seiner organisatorisch, rechtlichen Seite interessant, während man den
technikbegeisterte Chef am besten die Rolle des Hackers übernehmen lässt, der die
Befehle für die Man-In-The-Middle-Attacke mittels ARP-Spoofing eintippt und
abends dem Junior erzählen kann, dass er ein Hacker ist.
Es lohnt sich darüberhinaus, die Motivatoren persönliche Entwicklung und Erfolg
anzusprechen, insbesondere in einer globalisierten Wissens- und
Kommunikationsgesellschaft. Wer als Chef auch in fünf oder zehn Jahren noch
mithalten will, muss sich mit dem Wachstumsmarkt Sicherheit auseinandersetzen.
Ein routiniertes Standing in einer globalisierten und vernetzten Welt ist für
Entscheider ein wichtiger Erfolgsfaktor. Was sich nach allen gängigen Theorien zur
Motivationspsychologie in keinem Fall lohnt, sind Anstrengungen, die die
Hygienefaktoren betreffen. Kein Chef dieser Welt lässt sich für Sicherheit
begeistern, weil er sich dann mit dem Sicherheitsteam besser versteht.
„Gebranntes Kind scheut das Feuer“
, sagt der Volksmund und drückt damit aus, dass
es eine Sache ist, von einer Gefahr zu wissen, und eine andere, eine Gefahr gespürt
zu haben. Was das Sprichwort beschreibt, lässt sich auch an konkreten Zahlen
festmachen. In einer Studie zur Wirtschaftskriminalität 2009 gaben die Befragten
aus Unternehmen, die bereits Opfer von Datendiebstählen wurden, eine erheblich
höhere Risikoeinschätzung für sich und andere Unternehmen ab: Während in nicht
geschädigten Unternehmen nur 10% das Risiko für das eigene Unternehmen als
hoch einschätzen, sahen das in geschädigten Unternehmen hingegen 34% der
dass in den betroffenen Unternehmen Maßnahmen gegen eine Wiederholung der
Vorfälle getroffen wurden. Auch wenn Vorfälle deutliche Auswirkungen auf die
Risikoeinschätzung haben, wird man sie sich doch nicht herbeiwünschen.
Die Frage lautet also, wie man dem Kind das Feuer möglichst anschaulich macht,
ohne das es dabei Verletzungen davon trägt. Ein kleiner Schreck ist dabei durchaus
erlaubt: Zwei mögliche Ansätze sind Live-Hackings und Penetrations-Tests.
63
Martin-Luther-Universität
Wittenberg
und
PricewaterhouseCoopers;
