Bundesamt für Sicherheit in der Informationstechnik

G 3.77 Mangelhafte Akzeptanz von Informationssicherheit

Verschiedene Umstände können dazu führen, dass in einer Institution oder auch in Teilen einer Institution die Informationssicherheit nicht akzeptiert wird und damit auch keine Einsicht in die Notwendigkeit besteht, Sicherheitsmaßnahmen umzusetzen. Dies kann beispielsweise bedingt sein durch

  • die Behörden- oder Unternehmenskultur (nach dem Motto: "Das war schon immer so!", "Unseren Mitarbeitern können wir vertrauen, hier muss nichts weggeschlossen werden.", "Was soll hier schon passieren?", "Diese Sicherheitsmaßnahmen stören doch nur die Arbeitsabläufe."),
  • fehlende Vorbilder, wenn beispielsweise die Vorgesetzten nicht mit gutem Beispiel vorangehen, oder
  • ein anderes soziales Umfeld oder einen anderen kulturellen Hintergrund ("andere Länder, andere Sitten"). Typische Probleme können dadurch entstehen, dass bestimmte Benutzerrechte oder auch die Ausstattung mit Hard- oder Software als Statussymbol gesehen werden. Einschränkungen in diesen Bereichen können auf großen Widerstand stoßen.

Beispiele:

  • Im militärischen Umfeld gehen Vorgesetzte häufig davon aus, dass die Umsetzung von Sicherheitsmaßnahmen befohlen werden kann. Allerdings zeigt auch hier die Erfahrung, dass Mitarbeiter, die nicht über Sinn und Zweck von Sicherheitsmaßnahmen informiert sind, diese umgehen, wenn sie diese nur als Behinderung ihrer eigentlichen Aufgabe ansehen.
  • Ein Befehl, nur sichere Passwörter zu verwenden, führte bei einem militärischen IT-System dazu, dass ein Passwort-Generator implementiert wurde. Dieser erzeugte 16-stellige zufällige Passwörter, die einmalig 10 Sekunden am Bildschirm angezeigt wurden. Diese Zeitspanne reichte aus, um die Passwörter aufzuschreiben. Da es vielen Leuten schwer fällt, sich Passwörter der Form "aN§3bGP?tz1BuH89" zu merken, wurden diese Zettel entgegen der Anweisungen nicht vernichtet, sondern häufig in der Nähe der Rechner aufbewahrt.
  • Gerade Smartphones oder Tablets werden als Statussymbol angesehen, wodurch die Bereitschaft sinkt, Anweisungen zur Informationssicherheit zu befolgen, wie beispielsweise die Geräte nicht für private Zwecke zu benutzen. So gibt es Fälle, in denen Mitarbeiter die Sicherungsmaßnahmen der IT-Abteilung durch "rooten" beziehungsweise "jailbreaking" aktiv umgingen, um gesperrte Applikationen zu installieren. Diese hatten dann allerdings das Recht, das Telefonbuch auszulesen, wodurch die dort gespeicherten Kundendaten in unbefugte Hände gerieten.

Stand: 14. EL Stand 2014