3.2.1. Domäne eins: “Program and Boundaries”

In der Implementierungsdomäne „Program and Boundaries“ werden die organisatorischen Maßnahmen, sowie die beiden in der Befragungen und den Gesprächen am häufigsten genannten Anforderungen „Awareness“ und „Metrik“ aufgeführt. Diese Domäne entspricht damit im Wesentlichen der Business-Sicht in der Implementierungs-Ebene des Architekturmodells (siehe Abbildung 3). Auf den konkreten organisatorischen Vorschlag zur Security-Organisation wird detailliert an anderer Stelle eingegangen (siehe 3.3.1). Im Folgenden wird auf die Begriffe der Awareness geklärt und auf Überlegungen der Metrik eingegangen.

Der am häufigsten genannte Wunsch des Managements der Gesellschaften war die Schaffung einer Security-Awareness. Der Begriff der Security Awareness ist weder inhaltlich scharf definiert noch lässt sich der Nutzen einer gesteigerten Awareness aus betriebswirtschaftlicher Perspektive darstellen. Dennoch wird intuitiv die Security-Awareness als wichtigster Erfolgsfaktor für Maßnahmen der Informationssicherheit genannt. Es geht hier letztendlich um den menschlichen Faktor, der mit einem niedrigen Sicherheitsbewusstsein ein Risiko darstellt.

Aufgabe der Security-Awareness ist daher zweifellos eine Sicherheitskultur zu erzeugen, die Bestandteil der gesamten Unternehmenskultur ist. Security-Awareness darf sich dabei nicht nur auf klassische Trainingsmaßnahmen, Darstellungen wie Intranet-Seiten oder gedruckten Flyern und Poster beschränken. Maßnahmen dieser Art reduzieren das Thema Awareness auf den Faktor Wissen, Awareness ist aber „Einstellungssache“.

Obwohl es prinzipielle Empfehlungen für das Aufsetzen von Security-Programmen gibt, z.B. (Carpenter, Noakes-Fry, & Walls, 2008) und (Walls, Carpenter, & Noakes-Fry, 2009) ist das Thema Awareness ein komplexer und systemischer Prozess um Verhalten zu verändern. In jüngerer Zeit wurde der Begriff der Security-Awareness 2.0 geprägt z.B. (Beyer, 2009). Dieser Ansatz referenziert als probate Medien auf Web2.0 Technologien, z.B. Microblogging in Unternehmen (Böhringer, Richter, & Koch, 2009). Demnach muss eine moderne Awareness-Kampagne folgende Komponenten enthalten:

• Unternehmenskulturelle Aspekte und deren methodische Umsetzung in praktische Maßnahmen.
• Blended Learning, um Vorteile von Präsenz- und e-Learning Methoden zu kombinieren.
• Klassisches und innovatives Marketing
• Integrierte und systemische Kommunikation
• Psychologische Grundlagen und Change-Management

Security-Awareness wird damit zur kontinuierlichen Aufgabe; einem stetigen Prozess. Da der Nutzen der Maßnahmen nur schwer zu belegen ist, sie aber mit Geld und Aufwand verbunden sind, gehört die Herstellung von Awareness zu einer eher undankbaren Aufgabe. Im Vergleich zu anderen Fragestellungen des operativen Geschäftes wird das Thema Security-Awareness rasch als niedrige Priorität eingestuft und mangels unmittelbar messbaren und vorzeigbaren Nutzens auch als entbehrlich gesehen.

Deshalb gewinnt die Frage nach einer Metrik, die den Nutzen der Aufwände für Informationssicherheit darstellt, an Bedeutung. Mit Hilfe eines Fragenkatalogs wurden erste Ansätze für eine „Security Balanced Scorecard“ als Mittel zur Messung und Darstellung des Nutzens entwickelt (siehe Kapitel 3.5.3). Neben der Berechnung eines „ROIs“ für Einzelaufwände im Risiko-Management gilt das Prinzip der Kosten-Nutzen-Abschätzung. Die Frage zum Nutzen bzw. Business Case (BC) der Information-Security ist zentral und wird im Kapitel 3.5.3) ausführlich dargestellt.