Information Technology Reference
In-Depth Information
loben, wenn sie sich an die Standards halten, weil das vielen in der konkreten
Situation gar nicht bewusst ist - und wenn doch: Umso besser.
Berichten Sie über umgesetzte Sicherheitsmaßnahmen - auch dann, wenn sie Ihnen
nicht nennenswert erscheinen. Der Microsoft Patch-Day zum Beispiel kann
gleichzeitig als gute Nachricht dienen, ohne dass dabei vergessen wird, dass damit
nicht alle Sicherheitsprobleme gelöst sind:
„Microsoft Patch-Day: X Sicherheitslücken geschlossen.
Ein Hersteller-Patch für die Y-Schwachstelle lässt trotzdem weiter auf sich warten.“
Wenn man sich seiner Sache einigermaßen sicher ist, kann man versuchen einen
weitreichenden Schritt zu gehen und eine Zertifizierung anstreben. Damit schafft
man eine Möglichkeit, sich die guten Nachrichten von externer Seite Schwarz auf
Weiß bestätigen zu lassen. Man muss hierbei zwei Arten von Zertifikaten
unterscheiden: Solche für Personen und solche für Organisationen.
Die Zertifizierung von Organisationen bietet sich vor allem für kleinere
Teilbereiche im Unternehmen oder der Behörde an, zum Beispiel das
Rechenzentrum. Man sollte jedoch nicht dem Irrtum unterliegen, auf diese Weise
einfach zu positiven Nachrichten zu kommen. Im Gegenteil: Zertifizierungen sind
mit großen Anstrengungen verbunden - selbst dann, wenn sie nur einen
abgegrenzten Teilbereich betreffen. Der Weg von der Idee bis zum Zertifikat ist
steinig und kann sich schnell bis zu einem Jahr oder darüber hinaus hinziehen. Als
Person kann man ebenfalls Zertifizierungen anstreben, die ein gewisses Maß an
fachlicher Expertise bescheinigen und ebenfalls geeignet sind, mit guten
Nachrichten aufzufallen.
Das folgende Fallbeispiel soll einen Ansatz liefern, wie man sich im
Sicherheitsteam gezielt darauf konzentrieren kann mehr positive Nachrichten zu
generieren und diesen auch Gehör zu verschaffen. Die Sicherheitsexperten der
ExAmple AG, Alice, Bob und Dave führen dazu ein Brainstorming der guten
Nachrichten durch.
4.2.1.1 Fallbeispiel: Alles bestens in der ExAmple AG
In der ExAmple AG hat sich eine schlechte Stimmung gegen das Sicherheitsteam
zusammengebraut. Mitarbeiter und Management können nichts mehr von
Virenwarnungen, Sicherheitsvorfällen und sonstigen schlechten Nachrichten
hören. Bei manch einem haben sich wegen der vielen schlechten Nachrichten der
letzten Zeit die Ohren schon auf Durchzug gestellt: Datenskandal hier, schwache
Passwörter da.
