teissTalk: Ganz schön stressig! Der richtige Umgang mit der Verantwortung.

Was sind Sicherheitsvorfälle in der Informationssicherheit?

 

Wichtig ist die Unterscheidung, dass es nicht nur IT-Sicherheitsvorfälle, also z.B. klassische Systemfehler) gibt, sondern auch Vorfälle wie z.B. Social-Engineering-Attacken. Es geht sowohl um analoge wie auch digitale Aspekte. Es ist besonders wichtig, dass Unternehmen geeignete Verfahren haben, um schnell und effektiv reagieren zu können.

 

„Einmal mehr melden ist besser als einmal weniger melden“, das ist ein guter Grundsatz im Unternehmen.

Warum melden Mitarbeitende Vorfälle nicht?

 

Die Herausforderungen beim Meldeprozess sind, dass die Mitarbeiter*innen nicht wissen, was sie melden sollen und wie sie es melden sollen. Viele Unternehmen sind nicht in der Lage, die festgelegten Prozesse operativ umzusetzen.

 

Im günstigsten Fall gibt es diese Prozesse und sie funktionieren. Wenn nun ein Vorfall gemeldet wird, was bedeutet es für den, an den der Vorfall gemeldet wird?

 

Karin erzählt, dass sie diese Situation gut aus der Mitarbeiterberatung kennt. „Wir hatten schon mehrfach die Situation, dass Mitarbeitende uns eine Unterschlagung gemeldet haben. Warum haben die sich an uns gewandt, einen externen Dienstleister und nicht an jemanden im Unternehmen selbst? Weil das ein Risiko ist. Wenn ich im Unternehmen nicht Personen habe, denen ich vertrauen kann. Es gibt die Angst, dass derjenige, der einen Vorfall meldet, hinterher Probleme bekommt. Wir brauchen Anlaufstellen in den Unternehmen, die mit solchen Vorfällen vertraulich umgehen und wissen, was sie damit tun sollen.“

 

Asiye ergänzt, dass es durchaus stressmindernd ist, wenn Prozesse existieren, die strukturiert sind.

 

Was setzt Menschen unter Stress? Was unterscheidet Stress von normaler Belastung?

 

Stress an sich ist ein neutraler Begriff, es bedeutet, wir sind in einem bestimmten Anspannungsniveau, weil wir uns konzentrieren. Es kommt ganz auf das Stressniveau an. Stress, und Arbeit an sich, macht nicht nur krank - sondern auch gesund, weil wir dadurch viele Erfolgserlebnisse haben und viele Sozialkontakte. Das Problem ist krankmachender Stress.

 

Wann wird Stress eine Gefahrenquelle für die Gesundheit? Das ist immer dann der Fall, wenn etwas in Schieflage gerät, z.B. die Arbeitsmenge nicht zur Arbeitszeit passt, Arbeitsaufgaben passen nicht zusammen oder es gibt ein hohes Anspannungsniveau im privaten Bereich. Anzeichen sind Nervosität, die Gelassenheit fehlt und die Fehlerhäufigkeit nimmt zu.

 

Wie sieht es aus mit Stress im IT oder im Cybersecurity-Bereich?

 

Michaela distanziert sich davon: „Ich denke nicht, dass in der IT oder im Cybersecurity-Bereich ein verändertes Stresslevel herrscht. Ich persönlich möchte lieber auf den Menschen schauen, der vor dem Bildschirm sitzt. Wir sind Menschen, wir machen Fehler. Und Menschen haben eine Persönlichkeit und reagieren unterschiedlich auf Stress.“

 

Asiye gibt Michaela recht, der Mensch sei individuell. „Ich beobachte jedoch, dass wir die technischen Lösungen immer als Unterstützung wahrnehmen, obwohl diese Systeme auch anfällig sind und Schwachstellen haben. Der Faktor Mensch wird sehr oft in der Sicherheitskette als Schwachstelle angesehen. Dieser Punkt benötigt einen Wandel, denn der Faktor Mensch ist meiner Meinung nach eher die Stärke und muss als tragende Säule der Informationssicherheit verstanden werden.“

 

Was kann ich als Manager*in eines Teams, das sich um Sicherheitsvorfälle kümmert, tun, damit das Team nicht unter Stress leidet?

 

Michaela sagt, dass man vor allem die Teambildung fördern muss und die Teams divers gestaltet werden sollten. Bei der Auswahl muss man sich die einzelnen Persönlichkeiten ganz genau anschauen (z.B. mit Hilfe von Tests wie 16 Personalities). Im Team sollte man auf den Stärken aufbauen, nicht nur die Schwächen korrigieren.

 

Karin ergänzt, dass Prävention sehr wichtig ist, das Team soll nicht ausfallen, z.B. nach einer Cyberattacke, also nach einem Stressvorfall.

 

Was hält ein Team gesund in so einer Phase?

 

Es gibt ganz viele Unsicherheiten, deshalb sind Leitplanken wichtig. Hier hilft das Modell der Salutogenese (Wissenschaft von der Entstehung und Erhaltung der Gesundheit). Es gibt 2 Pole, den krankmachenden Faktor und den gesundmachenden Faktor, man sollte sich immer im mittleren Bereich bewegen. Ein Schlüsselkonzept ist das Kohärenzgefühl, das sich im Laufe des Lebens auf der Basis von Ressourcen entwickelt und aussagt, ob das eigene Leben als verstehbar, bewältigbar und sinnhaft erlebt wird. Ein hohes Kohärenzgefühl führt zu positiver Gesundheit, ein geringes Kohärenzgefühl zu negativer.

 

Auf einen Cybervorfall bezogen, heißt das:

• Verstehbarkeit: Haben wir Prozesse, die klar geregelt sind in all diesen Unsicherheiten? Z.B. wie soll die Kommunikation laufen?
• Machbarkeit: Welche Ressourcen stehen zur Verfügung? Gibt es ausreichend Expertise oder kann man diese zukaufen? Gibt es ausreichend finanzielle Ressourcen? Stehen Entscheidungsträger jederzeit zur Verfügung?
• Sinnhaftigkeit: Das ist eine Kulturfrage. Lohnt es sich? Für welche Werte gelten im Unternehmen, aber auch, ob der Einsatz von Mitarbeitenden in der Vergangenheit honoriert wurde.