In einer Zeit, in der sich Politik, Nachrichten und soziale Medien immer stärker polarisieren, sehnen sich viele danach zurück, ihre Standpunkte und unterschiedliche Meinungen sachlich und zivilisiert zu diskutieren. Und zwar, ohne von Emotionen übermannt zu werden und die eigene Überzeugung lautstark hinauszuposaunen. [...]
Doch nicht nur bei aktuellen politisch oder gesellschaftlich relevanten Themen wäre ein ziviler Diskurs angebracht, auch in punkto IT-Sicherheit ist es sehr vorteilhaft, wenn Halbwahrheiten, persönliche Angriffe und Themenwechsel durch Tatsachen und logische Argumente abgelöst werden. Warum ein ziviler Diskurs gut für die Sicherheit ist, Risiken und Schwachstellen zuverlässig identifiziert und ein Mangel an ihm schadet, zeigen diese fünf Aspekte:
1. Organisatorische Interessen verstehen
In der Regel haben Sicherheitsexperten gute Absichten. Sie wollen zuallererst die Probleme erkennen, die ein Risiko für das Unternehmen darstellen und diese lösen. Denn ihr Kernziel ist es, die Sicherheitslage der Organisation zu verbessern. Höflichkeit und ein sachlicher Austausch ermöglichen es, Probleme sicher und ohne Angst vor Strafen anzusprechen, was die Problemlösung erheblich verbessert. Organisationen, die einen solchen professionellen, zivilen Diskurs fördern, haben meist ein besseres Verständnis für ihre Sicherheitsinteressen und sind besser ausgestattet und in der Lage, diese zu schützen.
2. Feedback einbeziehen
Sicherheitsbestrebungen reifen und lassen sich erheblich verbessern, wenn Feedback eingeholt und dieses berücksichtigt wird. Natürlich ist nicht jede Rückmeldung hilfreich und auch nicht immer relevant. Ein intelligentes Sicherheitsteam sammelt alle Rückmeldungen, die die Beteiligten geben, ohne diese zu bewerten oder abzulehnen. Das Feedback kann dann später bei Bedarf noch sortiert und gefiltert werden. Haben die Beteiligten jedoch das Gefühl, dass das Forum, in dem sie ihr Feedback geben, nicht höflich und fair ist, werden sie künftig keines mehr geben. Das verringert zwar die Zahl der irrelevanten und wenig hilfreichen Rückmeldungen, aber auch die Anzahl des aufschlussreichen und wertvollen Feedbacks, das für die Verbesserung der Sicherheitslage sehr wichtig ist.
3. Erkennen von Unterschieden
Haben Sie schon einmal darüber nachgedacht, was die Ursachen für Differenzen und Debatten innerhalb einer Organisation sind? In seltenen Fällen werden sie von böswilligen Akteuren und egoistischen Motiven verursacht. Meistens sind sie jedoch auf unterschiedliche Prioritäten und Schwerpunkte zurückzuführen. Denn jedes Team innerhalb des Unternehmens hat seine eigene Aufgabe, während es für einen oder mehrere Bereiche zuständig ist. Diese unterschiedlichen Perspektiven führen dazu, dass verschiedene Teams ein und dasselbe Problem ganz unterschiedlich sehen. Oftmals führt das zu hilfreichen Erkenntnissen darüber, wo ein vorgeschlagener Ansatz möglicherweise unvollständig ist oder bestimmte Überlegungen fehlen. Vorausgesetzt, die Organisation pflegt einen entsprechenden höflichen Umgangston, der diese Art von Diskurs zulässt. So lässt sich das Potenzial von Sicherheitsbestrebungen voll ausschöpfen.
4. Dem Prozess folgen
Auch wenn viele Sicherheitsexperten nicht gerne Prozessen folgen – insbesondere in großen Unternehmen – können diese durchaus hilfreich sein. Es mag hart klingen, aber wenn Prozesse zeitnah, relevant und gut durchdacht sind, tragen sie dazu bei, potenzielle Schwierigkeiten auszumerzen, bevor sie zu großen Problemen werden. Denn ein guter Prozess stellt sicher, dass die Bemühungen im Einklang mit den Richtlinien erfolgen und dass alle relevanten Interessengruppen die Möglichkeit haben, sich einzubringen und zur Problemlösung beizutragen. Werden Prozesse eingehalten, sind die Beteiligten meistens deutlich besser in der Lage, die Sicherheitsverantwortlichen dabei zu unterstützen, Probleme frühzeitig zu erkennen. Auf diese Weise kann das Sicherheitsteam Probleme viel leichter angehen, als dies später möglich gewesen wäre.
5. Konsensbildung
Das Sicherheitsteam sollte Initiativen vorantreiben, die Veränderungen herbeiführen und die sich positiv auf die Sicherheitslage des Unternehmens auswirken. Ist dies der Fall und ein gut durchdachter Prozess wird eingehalten, haben alle Beteiligten die Möglichkeit, mehr über eine Initiative zu erfahren, sie zu verinnerlichen und sich daran zu beteiligen. Hat das Sicherheitsteam seine Hausaufgaben gemacht und das Feedback mit einbezogen, wird es einen Konsens herstellen und die Akzeptanz aller Beteiligten gewinnen. Um Initiativen voranzubringen, ist ein gewisser Konsens erforderlich. Das mag bürokratisch erscheinen, aber es erzwingt einen zivilen Umgang und stellt gleichzeitig sicher, dass diejenigen, die von einer Initiative betroffen sind, auch mit im Boot sitzen. Dies wiederum führt zu robusteren Sicherheitsinitiativen, die einen größeren Teil des relevanten Problemfeldes abdecken.
Während ein ziviler Diskurs in verschiedenen Medien heutzutage ein Wunschtraum sein mag, muss dies in einer Organisation nicht der Fall sein. Durch die Schaffung eines höflichen Umfelds stellen Unternehmen sicher, dass wertvolle Beiträge diejenigen erreichen, die diese nutzen, um die Sicherheitslage des Unternehmens zu verbessern. Unhöflichkeit hingegen unterbricht den Dialog, unterdrückt Ideen und führt zu einer schlechteren Informationssicherheitslage.
*Der Autor Roman Borovits ist Sicherheitsexperte bei F5.
Be the first to comment