Technische Probleme löst man durch Technik - eine Grundannahme, die für jeden Ingenieur und Informatiker im Verlauf seiner Ausbildung zum festen Glaubenssatz wird. Ein fataler Irrglaube. Denn Technik wird von Menschen genutzt - die Fehler machen. Entwickler von Benutzerschnittstellen können davon ein Lied singen: Kein Bedienungsverhalten, so irrational und unwahrscheinlich es auch erscheinen mag, das in der Praxis nicht vorkäme (man erinnere sich an das Beispiel vom Mikrowellenherd als "Katzentrockner").
Nicht anders ergeht es der Informationstechnik: Menschen nutzen die Systeme, und ihr angemessener Umgang damit kann nicht erzwungen werden. Das gilt auch für Schutzmechanismen wie Zugangscodes oder Zugriffsbeschränkungen. Versucht man, das gewünschte Verhalten technisch durchzusetzen, erreicht man oft das Gegenteil des
Gewünschten: Sind die Passworte so gut, dass der Nutzer sie sich nicht merken kann, stehen sie auf einem Aufkleber am Bildschirmrand; darf er auf eine Datei nicht zugreifen, lässt er sie sich von einem Kollegen zusenden; verlangsamt der Virenscanner seine Dokumentbearbeitung zu stark, deaktiviert er den Schutzmechanismus.
Daraus hat die Informationssicherheit inzwischen gelernt. Denn der Schutz von informationstechnischen Systemen beginnt im Kopf: Nur, wenn Mitarbeiter von der Erforderlichkeit einer Sicherheitsmaßnahme, einer Regelung oder eines Schutzprogramms überzeugt sind, werden sie sich angemessen verhalten - angesichts des wachsenden Wettbewerbs und der zunehmenden Bedrohung durch Schadsoftware eine drängende Herausforderung für jedes Unternehmen.
Viele mittelständische Firmen und Großunternehmen haben darauf mit der Durchführung von internen "Sensibilisierungskampagnen für Informationssicherheit" reagiert. Dabei sind vor allem Ideen gefragt:
Wie überzeuge und motiviere ich meine Mitarbeiter? Als Forum für den Austausch kreativer Ideen und Erfahrungen mit der Konzeption und Durchführung solcher Security Awareness Kampagnen hat sich inzwischen das "Security Awareness Symposium" etabliert, das jährlich von den Karlsruher Security-Spezialisten der Secorvo Security Consulting GmbH durchgeführt wird.
Nach Erfahrungsberichten von BASF, BMW, Bosch, DAK, FinanzIT, Münchener Rück, Novartis, RWE, SAP, Swiss Re und T-Systems in den Vorjahren stehen beim diesjährigen fünften Symposium vom 12. bis
13.06.2007 u. a. die "Lessons Learned" des Bundesamtes für Sicherheit in der Informationstechnik (BSI), von Carl Zeiss, e.on Ruhrgas, European Investment Bank, Fiducia und M. Dumont Schauberg auf dem Programm.
Die Veranstaltung wird in den stilvollen Räumlichkeiten der Buhlschen Mühle in Ettlingen bei Karlsruhe stattfinden. Die Teilnahmegebühr beträgt 490 Euro (zzgl. MwSt.) und schließt Teilnehmerunterlagen und ein festliches Abendessen am 12.06. ein. Programm, Online-Anmeldung und Anfahrtskizze unter:
http://www.security-awareness-symposium.de
Nicht anders ergeht es der Informationstechnik: Menschen nutzen die Systeme, und ihr angemessener Umgang damit kann nicht erzwungen werden. Das gilt auch für Schutzmechanismen wie Zugangscodes oder Zugriffsbeschränkungen. Versucht man, das gewünschte Verhalten technisch durchzusetzen, erreicht man oft das Gegenteil des
Gewünschten: Sind die Passworte so gut, dass der Nutzer sie sich nicht merken kann, stehen sie auf einem Aufkleber am Bildschirmrand; darf er auf eine Datei nicht zugreifen, lässt er sie sich von einem Kollegen zusenden; verlangsamt der Virenscanner seine Dokumentbearbeitung zu stark, deaktiviert er den Schutzmechanismus.
Daraus hat die Informationssicherheit inzwischen gelernt. Denn der Schutz von informationstechnischen Systemen beginnt im Kopf: Nur, wenn Mitarbeiter von der Erforderlichkeit einer Sicherheitsmaßnahme, einer Regelung oder eines Schutzprogramms überzeugt sind, werden sie sich angemessen verhalten - angesichts des wachsenden Wettbewerbs und der zunehmenden Bedrohung durch Schadsoftware eine drängende Herausforderung für jedes Unternehmen.
Viele mittelständische Firmen und Großunternehmen haben darauf mit der Durchführung von internen "Sensibilisierungskampagnen für Informationssicherheit" reagiert. Dabei sind vor allem Ideen gefragt:
Wie überzeuge und motiviere ich meine Mitarbeiter? Als Forum für den Austausch kreativer Ideen und Erfahrungen mit der Konzeption und Durchführung solcher Security Awareness Kampagnen hat sich inzwischen das "Security Awareness Symposium" etabliert, das jährlich von den Karlsruher Security-Spezialisten der Secorvo Security Consulting GmbH durchgeführt wird.
Nach Erfahrungsberichten von BASF, BMW, Bosch, DAK, FinanzIT, Münchener Rück, Novartis, RWE, SAP, Swiss Re und T-Systems in den Vorjahren stehen beim diesjährigen fünften Symposium vom 12. bis
13.06.2007 u. a. die "Lessons Learned" des Bundesamtes für Sicherheit in der Informationstechnik (BSI), von Carl Zeiss, e.on Ruhrgas, European Investment Bank, Fiducia und M. Dumont Schauberg auf dem Programm.
Die Veranstaltung wird in den stilvollen Räumlichkeiten der Buhlschen Mühle in Ettlingen bei Karlsruhe stattfinden. Die Teilnahmegebühr beträgt 490 Euro (zzgl. MwSt.) und schließt Teilnehmerunterlagen und ein festliches Abendessen am 12.06. ein. Programm, Online-Anmeldung und Anfahrtskizze unter:
http://www.security-awareness-symposium.de
