Wenn ich mir die Augen zuhalte, kann mich auch keiner sehen
Aus der Reihe “Erlebnisse eines Sicherheitsberaters”
Im April 2010 führte ich gerade ein Security Audit in der europäischen Außenstelle eines Kunden durch. Am späten Nachmittag setzte ich mich an einen Schreibtisch im Großraumbüro, um Abweichungen von den Richtlinien zu dokumentieren. Eine Mitarbeiterin neben mir steht auf und verlässt ihren Arbeitsplatz, ohne Ihren Rechner zu sperren. Als ich auch diese Erkenntnis gerade zu Papier bringen will, erinnert sie sich urplötzlich meiner Anwesenheit und kommt hektischen Schrittes zurück zu ihrem Arbeitsplatz. In der Hoffnung, mir wäre ihr Lapsus nicht aufgefallen, versucht sie die Situation zu retten, geht an ihren Rechner – und schaltet den Monitor aus.
Meinen fragenden Blick beantwortet sie mit einem erleichterten Gesichtsausdruck, der vermutlich sagen soll: “Zum Glück hat mich der Security Auditor heute nicht erwischt, schließlich habe ich die „Clear Screen Richtlinie“ vorbildlich umgesetzt”.
Was lernen wir aus so einer Situation bzw. wie können wir darauf reagieren?
Das Verhalten der Mitarbeiterin kann in zwei Richtungen interpretiert werden:
- Bequemlichkeit: Für die meisten Security Experten ist dies vermutlich der augenscheinliche Grund für ihr Verhalten. Statt sich durch die Prozedur des Rechner sperrens und entsperrens begeben zu müssen, wird der deutlich kürzere Weg des Monitor ausschaltens gewählt. In diesem Fall haben nachweislich alle bisherigen Schulungs- und Sensibilisierungsmaßnahmen kläglich versagt. Die Mitarbeiterin hat nicht erkannt, dass sie die Informationen auf Ihrem Rechner zum Wohle des Unternehmens und damit auch direkt zu Ihrem eigenen Wohle schützen muss und nicht, um einem Security Auditor einen Gefallen zu tun. Eine geeignete Maßnahme, um auf dieses Verhalten zu reagieren, wäre ein Sondertraining, bei dem explizit die Bedeutung der Informationssicherheit nochmals erklärt wird und anhand von Beispielen gezeigt wird, wie einfach es ist, innerhalb kürzester Zeit enorme Datenmengen von einem ungesperrten Rechner zu entwenden. Bei wiederholtem Fehlverhalten, müssen auch personalrechtliche Konsequenzen gezogen werden.
- Unkenntnis: In Abhängigkeit vom Ausbildungs- und Qualifizierungsniveau der Mitarbeiterin kann es aber auch durchaus sein, dass sie fest der Überzeugung ist, den Anforderungen aus der Clear Screen Richtlinie genüge getan zu haben. In diesem Fall sollten die Security-Schulungsmaßnahmen dahingehend überprüft werden, ob sie in ihrer Klarheit und Eindeutigkeit eventuell verbessert werden können. Eine baldige Nachschulung aller Mitarbeiter dieses Standortes ist darüber hinaus eine gute Möglichkeit, das Basiswissen aufzufrischen bzw. zu korrigieren und neue Securitythemen zu adressieren.
Fragen Sie uns, wenn Sie ihr Unternehmen umfassend schützen wollen.
