Sicherheitskultur und Konfliktkultur
August 19, 2010admin No Comments »Die Sicherheitskultur einer Organisation und die in ihr bestehende Konfliktkultur bedingen sich auf vielfältige Art und Weise, so ist beispielsweise ein Großteil der Angriffe auf die Informationsbestände großer Unternehmen auf nur unzureichend oder gar nicht gelöste Konflikte zurückzuführen.
Grundsätzlich gibt es verschiedene Möglichkeiten Konflikte, die Informationssicherheit einer Organisation betreffend, zu klassifizieren. Zunächst lässt sich fragen, ob es sich bei den Parteien um Einzelpersonen, Gruppen, Teams, Abteilungen, Suborganisationen oder ganze Organisationen handelt. Dann lässt sich grob danach unterscheiden, ob es sich um interne Konfliktparteien handelt oder ob ein Konflikt mit einer externen Partei besteht. Letztere Unterscheidung wird insbesondere dadurch verkompliziert, dass Parteien zum Teil extern sein können, zum Teil aber auch interne Merkmale aufweisen können. So ist beispielsweise eine Mitarbeitergruppe aus Gewerkschaftsmitgliedern zugleich intern, wie auch Teil einer externen Organisation, die den Konflikt ebenfalls beeinflussen kann. Darüber hinaus lässt sich danach fragen, ob sich die Konfliktparteien überhaupt zu erkennen geben. Gerade im Bereich der Informationssicherheit operieren viele Gruppen und Individuen verdeckt, sei es aus strategischen Interessen, wie im Beispiel der (Industrie-)Spionage oder einfach aufgrund von zu geringer öffentlicher Stimme (Microsoft, Apple etc. kennen nicht jeden, der etwas gegen ihre Produkte hat). Ein weiterer Punkt nach dem sich vorwiegend interne Konflikte auch klassifizieren lassen, ist die Frage, ob Konflikte auf gleichen oder unterschiedlichen Hierarchie-Ebenen bestehen. Ebenso können Konflikte nach der Art unterschieden werden, wie sie ausgetragen werden, was wiederum zu einer Unterscheidung in heiße und kalte Konflikte führt.
Wenngleich auch all diese Konflikte völlig unterschiedlich geartet sind, so haben sie gemeinsam alle das Potential die Informationssicherheit einer Organisation erheblich zu schwächen. Gleichgültig, ob ich in der Zielscheibe von Hacktivisten, NGOs, Whistleblower-Networks oder auch einfach nur eines frustrierten Mitarbeiters stehe, wenn bei mir Konflikte bestehen, habe ich als Organisation zumeist auch ein Sicherheitsproblem.
Zwar kommt es nicht selten vor, dass der gekündigte Administrator eine Backdoor hinterlässt oder eine Hackergruppe aus Protest gegen die Geschäftsmethoden einer Organisation die Webserver umgestaltet, ungleich häufiger sind aber aufgrund von Konflikten frustrierte Mitarbeiter einfach nur unmotiviert sichere Passwörter zu verwenden, ihre Büros abzuschließen oder sich selbst aktiv Gedanken über die Sicherheit ihrer Arbeitsumgebung zu machen.
Es ist immer davon auszugehen, dass sich unzureichend oder gar ungelöste Konflikte auf die Motivation auswirken, in der Regel positiv beim Angreifer und negativ beim Mitarbeiter.
Im Rahmen dieses Blogs versuche ich daher verschiedene Konfliktlösungsverfahren vorzustellen und ihre Auswirkungen auf die Informationssicherheit hin zu untersuchen.
Join the discussion