IT-Sicherheit verbinden die meisten Menschen mit einer geschützten Internetverbindung, sicheren Netzwerken, Firewalls und guter Hardware. Doch in ihrer Arbeit als Berater für Informationssicherheit machten die Mitarbeiter der bee security GmbH die Erfahrung, dass es häufig gar keine Cyberkriminellen sind, die sich aufwändig in Systeme von Unternehmen hacken. Oftmals besteht der sicherheitsrelevante Fehler darin, dass ein Mitarbeiter Sicherheitsmaßnahmen nicht beachtet und Hackern bildlich gesprochen die Tür ins Unternehmen öffnet. Das geschieht in den seltensten Fällen mit böser Absicht, sondern eher aus Unwissenheit oder Bequemlichkeit. Das Passwort wird auf einen Haftzettel aufgeschrieben, um es sich nicht merken zu müssen, oder die Datenverschlüsselung wird deaktiviert, weil sie den PC so langsam macht. Die Unachtsamkeit eines Einzelnen kann jedoch das gesamte Sicherheitskonzept eines Unternehmens zu Fall bringen. Das zeigen auch immer wieder Untersuchungen, die belegen, dass das größte Sicherheitsrisiko in vielen Unternehmen von der Unachtsamkeit der Mitarbeiter ausgeht – und nicht durch Angriffe von außerhalb.

IT-Sicherheit funktioniert nur gemeinsam

Die Berater von bee security wissen aus Erfahrungen mit ihren Kunden, dass Mitarbeiter Sicherheitsanwendungen vor allem dann nutzen, wenn sie einfach und verständlich gestaltet waren. „IT-Sicherheit setzt immer ein Mitwirken der Nutzer und Administratoren voraus. In der Unternehmenswirklichkeit erweisen sich viele Maßnahmen als ineffektiv, weil sie aus Nutzersicht sehr anspruchsvoll oder umständlich sind“, erläutert Dr. Lars Fink von bee security. Um die Kunden mit Blick auf die Usability, also Nutzerfreundlichkeit und Gebrauchstauglichkeit von Sicherheitslösungen noch besser beraten zu können, belegte bee security im Rahmen des Mittelstand-Digital-Projekts USecureD einen Workshop bei der Projektgruppe der TH Köln. USecureD hat ein Modell für die Entwicklung nutzerfreundlicher und gleichzeitig sicherer IT-Systeme entwickelt und stellt dazu konkrete Methoden und Werkzeuge zur Verfügung.

„USecureD gibt Softwareentwicklern Designempfehlungen und Checklisten an die Hand, um ein gleiches oder höheres Sicherheitslevel bei besserer Usability zu erreichen. Viele Unternehmen setzen auf individuell erstellte Softwarelösungen, die häufig von sehr vielen Mitarbeitern genutzt werden und in denen hochsensible Daten verarbeitet werden. Berater können die Richtlinien von USecureD dazu nutzen, diese Lösungen so zu verbessern, dass das Sicherheitsniveau steigt“, erklärt Hartmut Schmitt von der HK Business Solutions GmbH. Das Unternehmen entwickelt Software für kleine und mittlere Unternehmen und hat als Projektpartner von USecureD selbst viel Erfahrung in der Umsetzung von benutzerfreundlichen Sicherheitsfunktionen.

Der Laie als Ausgangspunkt

Bei der Entwicklung von nutzerfreundlichen IT-Sicherheitskonzepten müssen sich Betriebe in die eigenen Mitarbeiter hineinversetzen, die meist über keine Vorkenntnisse verfügen. Das System muss immer so intuitiv wie möglich zu bedienen sein, denn für die Lektüre von Handbüchern oder Anleitungen fehlt im Arbeitsalltag die Zeit. In die Entwicklung sollten Modelle aus der Psychologie, Erkenntnisse aus der Designforschung und der Mensch-Computer-Interaktion einfließen. Bei einem guten Endprodukt, also einem bestimmten Anwendungsprogramm, sollen auch Laien und technikferne Anwender in der Lage sein, Sicherheitselemente zumindest grundlegend zu verstehen und sie wie vom Unternehmen vorgesehen zu verwenden.

Um IT-Sicherheitsfunktionen von vorherein nutzerfreundlich zu gestalten, bieten die Forschungsergebnisse von USecureD Werkzeuge für den gesamten Softwareentwicklungsprozess. „Für Unternehmen lohnt es sich, neue IT-Systeme strategisch anzugehen und etwas Zeit in die Entwicklung zu investieren: Denn wenn Mitarbeiter in den Entwicklungsprozess einbezogen werden und merken, dass auf ihre Bedürfnisse Rücksicht genommen wird, sind sie motivierter, Sicherheitstechnologien korrekt anzuwenden – was im Zweifelsfall vor großem Schaden bewahrt“, resümiert Hartmut Schmitt.

Bei dem Text handelt es sich um die überarbeitete Version eines Artikels aus dem Themenheft „IT-Sicherheit und Recht“.