„Woher komme ich? Was bin ich? Wo gehe ich hin? Mehr noch: Auf welche Weise? Auf welchen Wegen?“ Die heute von der EnBW, known_sense, Pallas, SAP, SonicWALL, Steria Mummert Consulting und Trend Micro publizierte tiefenpsychologische Security-Studie ‚Aus der Abwehr in den Beichtstuhl – qualitative Wirkungsanalyse CISO & Co.’ zeigt, dass sich die existenziellen Fragen der Sicherheitsverantwortlichen auf den ersten Blick nicht von den klassischen Reflexionen anderer Berufstätiger unterscheiden. Dennoch steckt im Detail das große Besondere, das gerade Sicherheitsverantwortliche so unverwechselbar macht – etwa die paradoxe Anforderung, mit der CISOs (Chief Information Security Officers) in ihrer Arbeit konfrontiert werden. Sie agieren in einer Spaltung, weil sie spüren, dass Sicherheitsrisiken eingegangen werden müssen, um insgesamt für eine stabilere Sicherheitskultur zu sorgen. Denn – das zeigt die aktuelle Forschung ebenso wie die Vorgängerstudie ‚Entsicherung am Arbeitsplatz’ – Entsicherungen produzieren Sicherheit. An welchen Stelle jedoch Entsicherung vertretbar ist, hängt von der jeweiligen Strategie des CISOs ab und z.davon, ob eher der Typus „Columbo“, der Typus „Mutter Teresa“ oder der Typus „Fräulein Rottenmeier“ ausprägt ist.
Zunächst reagierten die meisten Probanden allerdings recht ungläubig auf das Forschungsvorhaben. „Was? Es interessiert sich jemand für unseren Beruf“, heißt es in der Regel erstaunt beim Erstkontakt der Sicherheitsbeauftragten mit den Psychologen. Andererseits wird aber auch ein ausgesprochenes Mitteilungs- und Verstehensbedürfnis der CISOs spürbar. „Es fällt auf“, berichtet die Projektleiterin, Diplom-Psychologin Ankha Haucke, „dass die Probanden durchaus mit einem Anliegen in das Interview kommen. Fast alle scheinen etwas über sich und ihren Berufsstand sagen, aber auch erfahren zu wollen.“ Man wolle sich offenbar als CISO behaupten, erhoffe sich eine Würdigung des eigenen Handelns und zeige gleichzeitig eine deutliche Neugier zur Sichtweise anderer. Ein O-Ton: „Ich bin sehr gespannt auf das Interview. Es soll ja wohl mehr um das Persönliche beim Job gehen. Vielleicht kann ich zu der Sache beitragen und hinterher auch erfahren, wie es anderen damit ergeht.“
Als Schwierigkeit ihrer Aufgaben sehen viele CISOs, selber nichts Konkretes zu produzieren, das vorzeigbar wäre und an dem man die eigene Wirksamkeit erleben und demonstrieren könnte. IT-Sicherheit ist zwar unbestritten notwendig, erzeugt aber keinen offenkundigen Mehrwert. Eine frustrierte Aussage lautet: „Selbst die Putzfrau trägt dazu mehr bei, indem sie dafür sorgt, dass das Gebäude nicht schmutzig ist und die Kunden sich wohl fühlen.“
Leiden im Untergrund
Diese Unzufriedenheit überrascht nicht: CISOs, das zeigt die Studie deutlich, werden als Vertreter einer anderen, einer unbekannten und unfassbaren Welt mit eigener Sprache und Ordnung betrachtet. Diese Sonderstellung geht mit einer gewissen Form der Entrückung vom Unternehmensbetrieb einher. Die Herkunft des CISOs lässt sich als ‚Digitaler Untergrund’ bezeichnen. Die Tätigkeit als CISO und damit das Abtauchen in den Untergrund führt teilweise zu einer Digitalisierung menschlich-paradoxer Verhaltens- und Erlebensweisen der Sicherheitsverantwortlichen. Spontanes, Impulsives, Hitziges, Triebhaftes, Menschliches hat hier offenbar kaum noch Platz.
Während die Mitarbeiter in Wirkungen, Bildern und Geschichten denken, so die Studie, und hiermit ein ‚analoges Prinzip’ pflegen, ist der CISO beauftragt, die Gesamtheit der Unternehmensprozesse in Sicheres und Gefährliches zu ordnen. Was aus Sicht des CISOs ein Risiko darstellt – z.B. das (Zwischen-) Menschliche –, bedeutet für den User umgekehrt Inspiration und Förderung der Arbeitsfähigkeit. Der CISO sieht sich nämlich mit der Aufgabe konfrontiert, eher ein ‚digitales Prinzip’ umzusetzen und zugleich einen Umgang mit den gegensätzlichen, menschlich-paradoxen Tendenzen zu finden. Dies führt zu einer inneren Spaltung des CISOs, so dass die Mitarbeiter zu ihm entweder ängstlich auf Distanz gehen oder aber ihn und sein Anliegen nicht ernst nehmen. Der CISO hat dann häufig das Gefühl, wie ein Sonderling behandelt zu werden: „Ich bin die ärmste Sau im Betrieb. Freunde habe ich da nicht“.
Die Sicherung gegen Angreifer von außen scheint also für den CISO weniger ein Problem darzustellen als der gleichberechtigte Austausch mit den eigenen Mitarbeitern. Sein Grundproblem ist nicht das Leben im ‚digitalen Untergrund’, sondern der Austausch mit der ‚analogen Wirklichkeit’.
Vor dem Hintergrund des Umgangs mit diesem Grundproblem beschreibt die Studie unterschiedliche (menschliche) CISO-Strategien, die wiederum unterschiedliche Wirkungen im Unternehmen hinterlassen und zahlreiche bekannte Images und eben Typen zu Tage fördern. Durch die Typisierung der CISOs lässt sich die Lösung des Grundproblems darstellen, wobei die Psychologen betonen, das sämtliche Typen nicht in der dargestellten Reinform existieren, sondern als ‚verschiedene (strategische) Gesichter’ eines CISOs zu verstehen sind. Das so genannte ‚digitale Prinzip’ wird durch den eher divenhaften Typus ‚Zentrale Kontrollinstanz’ alias ‚Fräulein Rottenmeier’ repräsentiert, das ‚analoge Prinzip’ durch den ‚Sicherheits-Service’, der sich durch ein ‚Helfer-Syndrom’ (‚Mutter Teresa’), auszeichnet. Der dritte Typus ‚Streetworker’ (oder auch ‚Columbo’) versetzt sich in die Lage der Mitarbeiter und versucht, seine Interessen auf dieser Ebene zu vermitteln. Er entsichert sich sogar selbst, weil er durchaus bereit ist, Risiken in Kauf zu nehmen, um der analogen Sichtweise der Mitarbeiter zu begegnen. Er lebt das Paradox. Diese Strategie setzt – anders als die die beiden anderen – nicht auf Spaltung, sondern auf ein Verzahnen der beiden unterschiedlichen Prinzipien. Das vermittelnde Verhalten erzeugt Eigenart und Profil, Akzeptanz und Loyalität. Dr. Kurt Brand, Geschäftsführer der Pallas GmbH sagt: „Aus der Studie habe ich gelernt, dass die IT-Security auf drei Beinen steht: Technik, Organisation und Unternehmenskultur. Gerade die kulturelle Komponente prägt dabei das Wirken des CISO. Mich beschäftigt nun, wie ich den CISO dabei unterstützen kann, seine Wirksamkeit wahrnehmbar zu machen. Dazu liefert die Studie eine ordentliche Menge Stoff .“
Prinzessin oder Frosch
Im Fazit der CISO-Studie beschreiben die Psychologen eine Analogie zum ‚Froschkönig’. Der Umgang zwischen Prinzessin und Frosch bebildert ein Gefüge, das der Situation des CISOs ähnelt. Nach diesem Prinzip werden zwei zueinander gehörende Seiten als getrennt voneinander dargestellt. Und dennoch drängt eine (unsichtbare) Kraft auf einen Austausch. Der Psychologe Udo Eichstädt sagt: „Die Prinzessin steht dabei für das rein Digitale, das Unnahbare, den Eindruck des Besonderen, kultiviertes Verhalten, Kontrolle und ‚unbedarfte’ User – der Frosch symbolisiert banale Wirklichkeit, versteckt in seiner eigenen Welt, aber zugleich hilfsbereit, und außerdem Mitarbeiter, die nur die analoge Perspektive leben.“
Die Psychologen wünschen sich analog zum ‚Froschkönig’ für die Konstruktion wie auch für die Vermittlung von Sicherheitskultur einen stärkeren Austausch und Wandel zwischen ‚analogem’ und ‚digitalem Prinzip’. Darüber hinaus betonen sie die Notwendigkeit von Führung, Involvement und einer Übersetzung von Sicherheitsthemen zugunsten eines breiteren Verständnisses auf Seiten der Mitarbeiter. In diesem Zusammenhang empfehlen sie den berühmten Blick von außen. Mittel können z.B. ein intensiverer Austausch mit Kollegen sowie speziell für CISOs entworfene Kommunikationsbriefings oder Coachings sein.
Modernes Sicherheitsmanagement mit strategischen Vorgaben
„Die Studie zeigt, dass das Verhalten der CISOs nicht nur rational, sondern auch durch emotionale Impulse bestimmt wird“, sagt Wolfgang Nickel, Senior Manager Competence Center IT-Security Steria Mummert Consulting AG. Und weiter: „Ein modernes Sicherheitsmanagement basiert auf strategischen Vorgaben und führt zu geplantem Verhalten mit messbaren Ergebnissen. Der Aufbau eines Sicherheitsmanagementprozesses steckt in vielen Unternehmen noch in den Kinderschuhen und ist auch mit Blick auf Compliance Anforderungen dringend voranzutreiben.“
Profilierung und Aufmerksamkeit durch professionelle Kommunikation bilden einen weiteren Baustein im Puzzle um das Ringen nach Wirksamkeit der Security: „Wirksame und nachhaltige Sicherheit heißt nicht nur, dass man die Compliance erfüllt“, schreibt Dietmar Pokoyski, Geschäftsführer der Kommunikationsagentur known_sense und Initiator dieser Studie, den CISOs ins Pflichtenheft: „CISOs müssen es schaffen, in Ihrem Unternehmen eine Marke zu bilden. Gerade internes IT- oder Security-Marketing kann, wenn Sicherheit lebendig visualisiert wird, hohes Involvement schaffen. Und eine gute Awareness-Kampagne ist stets auch ein Pro-CISO-Marketing.“
known_sense, Dietmar Pokoyski, Kaiser-Wilhelm-Ring 30-32 , D-50672 Köln
sense(at)known-sense.de, www.known-sense.de
Die Herausgeber
Die EnBW Energie Baden-Württemberg AG mit Hauptsitz in Karlsruhe ist mit rund fünf Millionen Kunden das drittgrößte deutsche Energieunternehmen. Mit derzeit rund 17.800 Mitarbeiterinnen und Mitarbeitern hat die EnBW 2005 einen Jahresumsatz von 10.769,3 Millionen Euro erzielt. Die Kernaktivitäten konzentrieren sich auf die Geschäftsfelder Strom, Gas sowie Energie- und Umweltdienstleistungen. Die EnBW ist föderal organisiert, die Organhaftung liegt bei den Gesellschaften. www.enbw.com
Der Studien-Initiator known_sense aus Köln ist eine Agentur für integrierte Kommunikation und Beratung mit Fokus auf Kreation/Produktentwicklung sowie Change Management und Corporate Identity. 2004 wurde das Virusquartett, ein Klassiker unter den Awareness-Tools, herausgegeben. 2007 wurde eine known_sense-Awareness-Kampagne und das Analyse- und Management-Tool ‚askit – awareness security kit’ für einen besonders vorbildlichen Beitrag zur Informationssicherheit mit dem IT-Sicherheitspreis NRW 2007 ausgezeichnet. Mitte 2008 wird das „Musée de Sécurité“, eine mobile Ausstellung zum Thema, die u.a. Awareness-Tools sowie Security-Artefakten umfasst, eröffnet. www.known-sense.de
Die Brühler Pallas GmbH sorgt für professionelle und bedarfsgenaue Internet-Sicherheit zur Miete. Vom Basis-Mailschutz bis hin zur umfassenden, mehrstufigen Sicherheitslösung mit Firewall und VPN – Pallas
bietet alles, was für die Internet-Sicherheit eines Unternehmens gebraucht wird. IT-Sicherheitsberatung, Betrieb mehrfach abgesicherter Internet-Server und -Applikationen, herkömmliche Abwehrmaßnahmen und proaktiven Schutz, der bei Ausbruch eines neuen Virus oder einer neuartigen Spamwelle umgehend wirkt. Der Security Service der Pallas GmbH ist TÜV-zertifiziert, und wurde bereits mehrfach ausgezeichnet. www.pallas.com
Seit mehr als 35 Jahren bürgt der Name SAP (Systeme, Anwendungen, Produkte in der Datenverarbeitung) für Innovation, Erfolg und Kreativität. Als führender Anbieter von Unternehmenssoftware und drittgrößter unabhängiger Softwarelieferant der Welt entwickelt SAP mit ihren mehr als 43.000 Mitarbeiter maßgeschneiderte Unternehmenslösungen für über 46.000 Kunden rund um den Globus. Mit Niederlassungen in mehr als 50 Ländern erzielte die SAP im Geschäftsjahr 2007 einen vorläufigen Umsatz von 10,3 Milliarden Euro. Die SAP AG ist an verschiedenen Börsen einschließlich der Frankfurter Wertpapierbörse und der New Yorker Wertpapierbörse (NYSE) unter dem Tickersymbol „SAP“ gelistet. www.sap.com
SonicWALL wurde 1991 gegründet und entwickelt seitdem Lösungen für die Netzwerksicherheit, sicheren Remote-Zugriff, Web- und E-Mail-Sicherheit und kontinuierlichen Datenschutz sowie Richtlinien- und Managementlösungen. Das umfangreiche Angebot von SonicWALL-Lösungen, das sowohl hardwarebasierte Produkte als auch hochwertige Abonnementservices umfasst, bietet erstklassige Internet- und Datensicherheit ohne Beeinträchtigungen bei der Netzwerk-Performance. Die Lösungen von SonicWALL werden von mehr als 15.000 Fachhändlern und Distributoren auf der ganzen Welt angeboten.
www.sonicwall.com
Die Steria Mummert Consulting AG zählt zu den zehn führenden Anbietern für Management- und IT-Beratung im deutschen Markt. Seit mehr als 45 Jahren verbindet das Unternehmen seine anerkannte Branchenexpertise mit einem umfassenden Prozess- und Technologie-Know-how. Das Unternehmen begleitet seine Kunden ganzheitlich über die gesamte Wertschöpfungskette von der Beratung über Systemintegration bis hin zur Übernahme von IT- und Geschäftsprozessen. In Deutschland und Österreich beschäftigt das Unternehmen ca. 1.700 Mitarbeiter. Steria Mummert Consulting ist Teil der französischen Steria Gruppe, die mit einem Umsatz von rund 1,4 Milliarden Euro und mehr als 18.000 Mitarbeitern zu den europäischen Top 10 der IT-Serviceanbieter gehört. www.steria-mummert.de
Trend Micro Incorporated, gelistet im Nikkei 225, ist ein weltweit agierender Anbieter von Software und Dienstleistungen in den Bereichen Virenschutz für Netzwerke, Anti-Spam und Internet Content Security.
Trend Micro wurde 1988 in Kalifornien von dem gebürtigen Taiwaner Steve Chang gegründet und hat seinen Hauptsitz in Tokio. In 30 Ländern arbeiten über 3.200 Angestellte für das Unternehmen (2007). 2007 betrug der Umsatz 848 Millionen US-Dollar. Die deutsche Niederlassung hat ihren Sitz in Unterschleißheim. www.trendmicro.com
Quelle (openPR)