IT-Sicherheit ist wie Radrennen auf Weltklasseniveau: Wer glaubt, ein Einzelfahrer könne das solo gewinnen, hat noch keine Grand Tour geschaut. Neben den Fahrerinnen und Fahrern braucht es das gesamte Team: Köchinnen und Köche, Mechanikerinnen und Mechaniker, Managerinnen und Manager, und viele weitere.
Was hat das mit IT-Sicherheit zu tun?
Wenn ein Unternehmen nur das IT-Team die IT-Sicherheit umzusetzen lässt, ist das der Versuch, das Fahrerteam ohne das Betreuerteam loszuschicken.
Annahme: In einem mittelständischen Unternehmen von 500 Mitarbeitenden sind ca. zehn Personen für die IT zuständig. Davon sind etwa fünf Personen mit Stabsstellen für die IT-Sicherheitsstrategie und deren Umsetzung verantwortlich. Dieses Gremium muss einen Kompromiss finden zwischen „gesetzlichen Vorgaben“, „Was wirklich der IT-Sicherheit hilft“ und vorhandenem Budget. Einigen ITlern wachsen hier schon die ersten grauen Haare. Jetzt noch Anwenderinnen und Anwender zu involvieren, ist weiterer Aufwand und scheint unnötig. Es gibt ja bereits genug Vorschläge (=Vorgaben).
Aufgrund des Drucks von allen Seiten - von dem Gesetzgeber, der Geschäftsführung und der akuten Gefahr für die IT - werden Richtlinien festgelegt, die Anwenderin und Anwender teilweise direkt betreffen. Die Richtlinie legt Passwortlänge und Komplexität fest, welche Programme eingesetzt werden oder wie Update- und Backupzyklen aussehen. Ein Notfallkonzept muss auch geschrieben werden.
Das Gremium entscheidet häufig auch über „Security-Awareness“: was muss eine Anwenderin bzw. ein Anwender im Laufe eines Jahres durchführen, damit das Unternehmen als sicher gilt. Häufig entscheiden auch Security-Awareness Kampagnen und abgeschlossene Trainings mit ihren Erfolgsquoten darüber, ob ein Unternehmen konform gemäß ISO 27001, DORA, NIS2, etc. ist. Userinnen und User geben jedoch selten Rückmeldung, ob der Passwortmanager oder das Schulungsportal im Alltag helfen oder einfach nutzbar sind. Den Frust über schlecht funktionierende Software kennt jeder.
Um auf das Rennradfahren zurückzukommen: Niemand käme auf die Idee, allen Fahrerinnen und Fahrern dieselbe Radgröße zu verpassen. Die Fahrerinnen und Fahrer werden ausgemessen und es werden intensive Tests, teilweise im Windtunnel, zum richtigen „Sitzen“ auf dem Rad durchgeführt. Warum nicht auch in der IT-Sicherheit mehrere Werkzeuge vor dem produktiven Einsatz testen?
Wenn Angriffe beim Menschen starten und Vorgaben von oben kommen
Anwenderinnen und Anwender sind weiterhin das einfachste Angriffsziel in der IT-Sicherheitskette. Zugangs- und auch MFA-Daten können abgefischt werden. Die Angreifenden brauchen nur einen Zugang, um sich in die IT-Umgebung des Unternehmens einzuklinken. Der Zugang reicht, um sich durch Schwachstellen weiter vorzuarbeiten. Die IT-Abteilung muss sich gegen JEDEN Angriff verteidigen. Der Anreiz ist groß alle Anwender gleich zu behandeln und die angebotenen Werkzeuge „out of box“ unmodifiziert zu nutzen.
Geht es nicht besser?
In Rennradteams spielen die Rennradfahrerinnen und -fahrer die wichtigste Rolle, aber ohne das Team rundherum könnten sie nicht gewinnen. Bei einem Unternehmen ist es ähnlich. Die IT- Mitarbeitenden sind wichtig. Sie sorgen dafür, dass die IT funktioniert und entscheiden, wie Sicherheit durchgesetzt wird. Aber ohne Zuarbeit vom Gesamtteam - also von allen Mitarbeitenden - können sie nicht „gewinnen“ und die IT am Laufen halten oder das Unternehmen absichern.
Man kennt es aus jedem anderen Bereich. Projekte, Strategien, Ziele, aber auch einzelne Entscheidungen werden deutlich besser akzeptiert und angewandt, wenn auch Anwenderinnen und Anwender verstehen, warum sie da sind und idealerweise an der Ausarbeitung beteiligt waren. Von Beginn an die Anwenderinnen und Anwender an der IT-Sicherheit zu beteiligen, ist der Idealzustand. Das kostet Zeit und damit Budget. Aber es ist möglich!
Nachfolgend einige Beispiele von IT-Sicherheitsmaßnahmen, unter denen Anwender „leiden“.
Beispiel 1: "Passwort-Policy"
Bis heute steht auf der Webseite vom BSI für ein gutes Passwort die folgende Regel:
- Min. 8 Zeichen aus 4 Zeichengruppen, z.B. o5H,Rt7$
- Das Passwort soll regelmäßig gewechselt werden.
Zusätzlich gibt es seit einiger Zeit eine ganz andere Regel:
Mehrere Wörter ohne Zusammenhang aneinanderreihen und damit ein weniger komplexes, aber längeres Passwort erzeugen, wie z. B. „Tanne Eisenbahn Boden Giraffe“. Das Beispiel hat 30 Zeichen, die man sich relativ einfach merken und tippen kann. Für Anwenderinnen und Anwender ist das deutlich angenehmer. Selbst für ITler ist das eine gute Alternative, spätestens dann, wenn man ein langes Passwort mit 4 Zeichengruppen manuell eintippen muss, weil „Copy+Paste“ nicht funktioniert.
Dieser Ansatz Passwörter zu generieren, ist bereits 2011 in einem xkcd Comic vorgestellt worden. Viele ITler kennen xkcd. Der Autor schafft es immer wieder IT-Probleme interessant und lustig in Bildern darzustellen.
Beispiel 2: "Sicherheitstrainings"
Eine neue Studie zeigt, dass die Effektivität von Phishing-Trainings stark anzuzweifeln ist. Die sehr kurze Zusammenfassung ist, dass „jährliche Sicherheitstrainings“ wenig bringen. „Embedded Training“, also eine kurze Schulung nachdem eine Anwenderin bzw. ein Anwender auf eine Phishing-Simulation geklickt hat - hilft aber nur, wenn die Person das Training aktiv nutzt und nicht „nur“ durchklickt: „[…] any attempt to improve training must find a way to achieve the uptake of mandatory training, without losing the ‘teachable moment’ experience of embedded training.“
Eine Beteiligung der Userinnen und User in der Auswahl von Sicherheitstrainings hilft. Weiß die Person warum sie diese Maßnahme durchführt oder fühlt sie sich „gegängelt“?
Motivation schlägt Vorschrift
Die Motivation ist entscheidend. Im Radsport ist das Ziel klar und einfach zu überprüfen. Wenn eine Fahrerin oder ein Fahrer auf dem Treppchen steht, hat das gesamte Team gewonnen.
Ein „erfolgreiches Rennen“ in der IT-Sicherheit ist die Abwesenheit von Vorfällen. Das Unternehmen gewinnt, wenn Sicherheitsvorfälle NICHT erfolgreich oder die Auswirkungen minimal waren. Dafür braucht es alle: die ITler, die Geschäftsführung und die Mitarbeitenden. Lasst uns deshalb gemeinsam daran arbeiten, IT-Sicherheit im Alltag einfach und verständlich zu gestalten, ohne dabei an Schutzwirkung zu verlieren.
Dieser Blog-Beitrag ist motiviert durch meine Leidenschaft fürs Radfahren und Teil meiner neuen Kolumne zur IT-Security-Praxis. Fortsetzung folgt. Nächstes Mal beschäftige ich mich mit dem Thema „Ist IT-Sicherheit bezahlbar?“
Über Marc Winkelmann
Marc Winkelmann ist IT-Security-Experte mit langjähriger Erfahrung in den Bereichen IT-Sicherheit, Linux und Fahrrädern (auch ein ITler braucht Ausgleich). Was ihn besonders auszeichnet: Für ihn ist Security nicht nur Technik, sondern immer auch Mensch. Er beschäftigt sich leidenschaftlich damit, wie Verhalten, Gewohnheiten und Zusammenarbeit die Sicherheit eines Unternehmens prägen – und warum wirkungsvolle IT-Security nur gemeinsam gelingt. Er freut sich auf die Tour de France 2026, die sehr dicht an Deutschland eine Etappe haben wird.
Sie haben Fragen zum Artikel oder wünschen detaillierte Informationen? Dann kontaktieren Sie gerne Marc Winkelmann direkt per E-Mail oder über unser Kontaktformular.