Stellen Sie sich folgendes Dilemma vor: Ein Mitglied des IT-Teams bemerkt eine Datenschutzverletzung, meldet den Vorfall jedoch nicht, weil es fürchtet, dafür verantwortlich gemacht zu werden. Betrachten Sie nun eine Alternative: Das Teammitglied meldet den potenziell kritischen Vorfall, weil es weiß, dass dies die entsprechenden Korrekturmaßnahmen auslöst, ohne dass ihm die Schuld dafür gegeben wird. Das ist der Unterschied zwischen einer Kultur der Schuldzuweisung und einer Kultur der Gerechtigkeit.
Das ist nicht Big Brother
IT-Administratoren fühlen sich oft von der Vorstellung erdrückt, dass das Unternehmen ihre Aktivitäten aufzeichnet.
Es fühlt sich wie ein Eingriff in die Privatsphäre an: Jemand kann jeden Ihrer Schritte und jede Ihrer Aktionen verfolgen. Aber das ist nicht Big Brother … Niemand will seinen Tag damit verbringen, Ihnen bei der Arbeit zuzusehen. Gute Manager sind ergebnisorientiert und interessieren sich nicht für jeden einzelnen Befehl, der zur Lösung eines Tickets erteilt wird, und haben auch nicht die Zeit, alle durchgeführten Schritte noch einmal zu überprüfen.
Interne Übeltäter
Der Zweck, Computeraktivitäten von IT-Administratoren aufzuzeichnen, ist zu deren eigenem Vorteil. Hier ein Beispiel: Laura ist Mitglied des IT-Teams und hat ein Konto, das Zugriff auf die meisten Unternehmensdaten hat – ein privilegiertes Konto. Eines Nachts arbeitet Laura bis 3 Uhr morgens und führt privilegierte Befehle aus, als sie versehentlich eine falsche Datei löscht.
Eines dieser Probleme sollte durch Schulungen behoben werden, das andere ist ein ernstes Problem für die Personalabteilung. Wie können wir ohne Aufzeichnungen dieser Aktivität wissen, wer was getan hat, und zwischen böswilliger Absicht (Frank) und einem echten Fehler (Laura) unterscheiden?
Verantwortlichkeit, nicht Schuldzuweisung
Bei einer Gerechtigkeitskultur geht es um notwendige Verantwortlichkeit statt um Schuldzuweisungen. Es geht darum, aus Mustern und Fehlern zu lernen und negative Folgen wie Franks Verhalten im obigen Beispiel wirksam zu erkennen und zu kontrollieren. Die plötzliche Einführung konkreter Sicherheitsmaßnahmen könnte jedoch bei Nutzern, die sich überwacht fühlen, für Unmut sorgen.
Die Implementierung von Privileged Access Management (PAM)-Lösungen muss auf menschlicher Ebene ansetzen, denn am Ende des Tages sind es oft die Lauras und Franks da draußen, die entweder gutwillige Mitarbeiter oder böse Akteure, die das System manipulieren wollen, sind.
Automatisieren Sie Sicherheitsmaßnahmen
Durch die Aufzeichnung des Verhaltens von Benutzern wie Laura und Frank kann Ihr Unternehmen die erforderlichen Korrekturmaßnahmen ergreifen. Lauras nächtliche Aktionen könnten eine Benachrichtigung an den Manager auslösen, der überprüfen kann, ob Laura nur eine kleine Nachteule ist. Franks rachsüchtige Datenlöschung könnte eine automatische Kontosperre auslösen, um irreparablen Schaden zu verhindern, ohne dass die Reaktion eines Managers erforderlich wäre, was Korrekturmaßnahmen verzögern würde.
Damit IT-Administratoren nicht glauben, ihr Manager würde jedes Wort ausspionieren, das sie am Computer eingeben, muss ein Kulturwandel herbeigeführt werden, um ihnen die Vorstellung zu vermitteln, dass Sicherheitsmaßnahmen ihnen und dem Unternehmen Schutz bieten. Anstatt unnötige Schuldzuweisungen zu machen, ist PAM dazu da, das Risiko eines Sicherheitsvorfalls zu mindern. Jeder kann Fehler machen, die durch Schulungen und Weiterbildungen der IT-Mitarbeiter behoben werden können. Leider kommt es vor, dass interne Benutzer in böser Absicht handeln, und in diesem Fall sollten Maßnahmen ergriffen werden.
Kontaktieren Sie einen unserer Berater, um mehr über das Thema kultureller Wandel zur Sicherung Ihres Unternehmens zu erfahren.