Information Technology Reference
In-Depth Information
vielleicht, entgegen der Sicherheitsvorschriften, auf die Idee ein vertrauliches
Papier mit in die U-Bahn zu nehmen, um es dort auf dem Nachhauseweg zu lesen.
In seine
„drive-by“
-Risikoanalyse fließt nicht ein, dass er das Papier in der U-Bahn
vergessen könnte oder ähnliches. Auf seiner Liste der Risiken steht auf den ersten
drei Positionen: Scheidung, Scheidung und nochmal Scheidung.
Entscheidend ist, welche Security-Policy gilt: Will man Vorfälle verhindern, oder
gibt man sich mit einem Schuldigen zufrieden. Wer als Sicherheitsexperte Vorfälle
verhindern will, kommt nicht umhin, sich mit den Problemfeldern der einzelnen
Mitarbeiter auseinanderzusetzen, sich ihnen zumindest anzunähern. Für den
Anfang reicht ein Gespür dafür, welche Abteilung unter Zeitdruck arbeitet und
welche genügend Zeit für alle Sicherheitsanforderungen hat. Wenn Sie Vorfälle
verhindern wollen, müssen Sie für die Mitarbeiter als Ansprechpartner greifbar
sein und ein Vertrauensverhältnis aufbauen. Immerhin müssen die Mitarbeiter
damit rechnen, in Schwierigkeiten zu geraten, wenn sie bei Ihnen ihr Fehlverhalten
thematisieren. Das darf unter keinen Umständen geschehen. Diese Art von
Kommunikationsgeschick fordert sogar der IT-Grundschutz von den IT-
Sicherheitsbeauftragten:
„Mitarbeiter (müssen) davon überzeugt werden, dass ehrliche
Abbildung 1-17:
Vertrauen ist Alles, wenn Sie wissen wollen, wo der Schuh drückt
