Mit <kes>+ lesen

Quo vadis, Informationssicherheits-Kultur?

Während sich im Hinblick auf die Security-Awareness in den meisten Unternehmen inzwischen ein Standardkatalog an unterschiedlichen Maßnahmen etabliert hat, steht man dem Begriff der Informationssicherheits-Kultur in der Praxis noch recht ratlos gegenüber. Da hilft auch wenig, wenn man – wie es einige Unternehmen versuchen – Security-Awareness einfach als Informationssicherheits-Kultur bezeichnet und weiterhin lediglich Awarenessthemen adressiert. Vielmehr bedarf es hier eines generellen Umdenkens, neuer Messgrößen und vor allem auch anderer Maßnahmen.

Security-Management
Lesezeit 14 Min.

Von Gerrit Aufderheide, Berlin

Wenn es in Audits und Assessments um die Frage der Informationssicherheits-Kultur geht, verweisen Organisationen in der Regel stolz auf ihre Onlinetrainings, die marketing- und eventlastigen Awarenessaktionen und zu guter Letzt auf die durchgeführte Phishing-Kampagne, die mit großartigen Tortendiagrammen vermeintliche Verbesserungen aufzeigen soll. All diesen Maßnahmen ist aber gemein, dass man mit ihnen zwar das angestrebte Häkchen im Audit erlangt, nicht jedoch die Informationssicherheits-Kultur nachhaltig verbessert – für Letztere sind derartige Maßnahmen sogar oft kontraproduktiv-

Individuum versus System

Grundsätzlich lassen sich Maßnahmen zur Weiterentwicklung einer Informationssicherheits-Kultur in Individuums-orientierte (IoM) und System-orientierte Maßnahmen (SoM) unterteilen. IoM zielen, wie der Name schon sagt, auf das Individuum, die Entwicklung seiner Kenntnisse und Fähigkeiten sowie seiner inneren Einstellung ab. Sie sind üblicherweise in Pädagogik, Marketing und Werbepsychologie beheimatet und umfassen fast alle Maßnahmen, die wir heute am Markt finden. Hierzu gehören beispielsweise alle Arten von Trainings, Security-Awareness-Kampagnen und -Events, Sanktionsmodelle, aber auch verschleierte Prüfungen wie Phishing-Kampagnen oder Passwort-Audits.

SoM hingegen zielen auf die Gestaltung des Umfelds ab und richten sich damit auf eine Veränderung der Rahmenbedingungen für sicheres Verhalten. Sie entstammen vielfältigen Fachgebieten wie den Arbeitswissenschaften, der Ergonomie, dem Prozess- und User-Experience-(UX)-Design und können auch aus rein technischen IT-Sicherheitslösungen bestehen, die sicheres Verhalten fördern, erzwingen oder sogar überflüssig machen.

Wenn man die Landschaft der Informationssicherheits-Kulturen in der Praxis derzeit betrachtet, so fällt auf, dass sowohl am Markt als auch in der tatsächlichen Implementierung die IoM stark dominieren – SoM hingegen findet man im Informationssicherheitsbereich weder am Markt noch in der Praxis, jedenfalls sofern es sich nicht um rein technische IT-Sicherheitsmaßnahmen handelt.

IoM-Schwächen

Das ist vor allem deshalb problematisch, weil IoM zahlreiche Schwächen aufweisen, die sich im schlimmsten Fall, wie eingangs erwähnt, sogar kontraproduktiv auf die Informationssicherheit auswirken – die wichtigsten Schwächen sind im Folgenden näher dargestellt.

Verantwortungsverlagerung auf die Mitarbeiter

Immer wieder beobachtet man, dass vermeintlich aufwendig umzusetzende IT-Sicherheitslösungen durch aufmerksame Mitarbeiter substituiert werden sollen. Statt eine aufwendige Lösung zur Multi-Faktor Authentifizierung (MFA) einzuführen, wird beispielsweise einfach eine neue Passwort-Richtlinie erlassen und mittels eines Trainings publiziert – in der Annahme oder Hoffnung, dass sich fortan ja alle Mitarbeiter daran halten und man die teurere technische Lösung nicht umsetzen muss.

Das führt letztlich aber dazu, dem einzelnen Mitarbeiter die Verantwortung für das Erreichen eines Sicherheitsniveaus aufzuerlegen, das mit den richtigen technisch-organisatorischen Maßnahmen (TOM) viel effektiver zu erreichen wäre.

Exponentielles Vorgabenwachstum

Auch wenn wir es in der Informationssicherheits-Community nicht wahrhaben wollen: Wir sind nicht die Einzigen, die Mitarbeitern bei der Ausführung ihrer Tätigkeit „im Wege“ stehen. Gegenwärtig prasselt eine Vielzahl an Anforderungen auf nahezu alle Geschäftsprozesse in Unternehmen ein, die von Mitarbeitern neben ihrer eigentlichen Tätigkeit ebenfalls zu berücksichtigen sind – etwa Datenschutz, Anti-Geldwäsche- und Anti Korruptionsvorgaben, Nachhaltigkeitsanforderungen und vieles mehr.

Das führt dazu, dass die Zahl der internen Pflichttrainings und Zusatzprozesse in den letzten Jahren massiv gestiegen ist und im schlimmsten Fall die unterschiedlichen Compliance-Domänen gleichsam in einen Wettstreit um die Aufmerksamkeit der Mitarbeiter geraten. Und das hat im Endeffekt zur Folge, dass man derartige Trainings oft einfach nur noch per „Trial and Error“ durchklickt, die Lösungen der Lernerfolgskontrollen als Screenshots auf allgemein zugänglichen Netzlaufwerken abgelegt sind oder Videotrainings einfach bis zur letzten Minute vorgespult oder mit zehnfacher Geschwindigkeit abgespielt werden. Viele Mitarbeiter reagieren genervt auf Schulungen und Maßnahmen und gewinnen letztlich eine negative Einstellung dem Trainingsgegenstand gegenüber.

„Dopingeffekt“ von Marketingmaßnahmen

Ein weiterer Aspekt, wieso medien- und eventlastige Maßnahmen zumindest mittelfristig ineffektiv sind beziehungsweise werden, ist der Dopingeffekt: Wenn man einmal damit beginnt, Mitarbeiter an besonders witzige oder spannende Werbemaßnahmen zu gewöhnen, geht es schnell nicht mehr um die Inhalte, sondern nur noch ums Entertainment – man schafft eine Erwartungshaltung, die mittelfristig nicht mehr oder nur noch mit erheblichem Aufwand zu erfüllen ist, während die inhaltlichen Aspekte immer stärker in den Hintergrund treten. Wenn das darüber hinaus in mehreren Compliance-Domänen gleichzeitig geschieht, ist es kaum noch möglich, selbst in akuten Hochrisikosituationen die notwendige Aufmerksamkeit zu erlangen.

Exkulpationswirkung der Sichtbarkeit

So traurig es ist: Eine auffällige Awarenesskampagne gaukelt der Geschäftsführung und den Mitarbeitern vor, dass man ja schon „eine ganze Menge“ für die Informationssicherheit getan hat und sich um das Thema hinreichend gekümmert wurde. Das kann im schlimmsten Fall dazu führen, dass dringend benötigte technische Maßnahmen, die wirklich ein Plus an Sicherheit brächten, depriorisiert werden und so alle Mitarbeiter zwar überzeugt sind, dass man gut geschützt sei, es aber auf technischer Ebene ganz anders aussieht.

Nichtberücksichtigung systemischer Maßnahmen

Das wohl größte Problem von IoM zeigt sich, wenn man nicht zugleich auch systemische Maßnahmen umsetzt, obwohl diese erforderlich wären, um die in den IoM propagierten Verhaltensweisen im Arbeitsalltag auch realistisch umsetzen zu können. Es ist zum Beispiel wenig förderlich, einer HR-Abteilung vorzubeten, dass sie bitte keine Dateien von unbekannten Absendern öffnen soll, wenn diese in ihrem Arbeitsalltag Lebensläufe von Bewerbern in mannigfaltigen Formaten anschauen muss. Gerade diese Situation der einseitigen Konzentration auf IoM stellt heute jedoch leider den Regelfall dar.

Gründe für die IoM-Dominanz

Die Ursachen der aktuellen Entwicklung sind vielfältig: Zum einen hat sich in der Informationssicherheit wie auch in der Operational Security im Gegensatz zur Safety zunächst der Awarenessbegriff durchgesetzt, sodass von Anfang an eine stark auf den Gesichtspunkt des Sicherheitsbewusstseins fokussierte Perspektive in der Informationssicherheit vorherrschte. Das führte dazu, dass der Markt zunächst von spezialisierten Marketing-und Kommunikationsagenturen bedient wurde, die nur entsprechende Produkte verkaufen konnten und wollten. Darüber hinaus liegt es in der Natur der Sache, dass griffige Marketingmaßnahmen sich bereits von Haus aus gut verkaufen und somit einen Vorteil gegenüber – oft erklärungsbedürftigen – systemorientieren Maßnahmen haben.

Besonders deutlich wird diese Entwicklung, wenn man die häufig am Markt vertretenen Analyseverfahren näher betrachtet: In der Regel folgen diese Verfahren dem Muster, dass eine vom Menschen verursachte Schwachstelle aufgedeckt wird (z. B. mittels Phishing- oder Red-Teaming-Kampagne) und man auf Basis der Ergebnisse dann den Schluss zieht, dass die Mitarbeiter sich fehlerhaft verhalten und es eben mehr Awareness brauche. Eine wirkliche Ursachenanalyse unterbleibt hingegen.

Möchte man aber die Informationssicherheits-Kultur eines Unternehmens verändern, interessiert nicht nur, ob ein Fehlverhalten vorliegt, sondern ganz besonders auch warum. Diese Frage wird aber nicht beantwortet, wenn man bereits aus dem Vorliegen des Fehlverhaltens auf den Bedarf von Awareness- und Trainingsmaßnahmen schließt.

Nehmen wir zum Beispiel die Feststellung, dass Mitarbeiter ihre E-Mails nicht verschlüsseln. Das kann unter anderem die folgenden Ursachen haben: Mitarbeiter wissen nicht, warum sie ihre E-Mails verschlüsseln sollten. Mitarbeiter wissen nicht, wie sie ihre E-Mails verschlüsseln können. Das Verfahren, um E-Mails verschlüsseln zu können, ist sehr aufwendig gestaltet. Das Tool zum Verschlüsseln der E-Mails ist kompliziert zu bedienen. Die Verschlüsselungsverfahren der Kommunikationspartner sind inkompatibel.

Wenn man hier keine umfassende qualitative Ursachenanalyse durchführt, kann das zur Folge haben, dass man zwar sensibilisiert, aber das eigentliche Problem eben nicht behebt. Letzteres wäre jedoch deutlich effektiver.

Interessanterweise erhält man zwar ohne eine umfassende Fragebogen-basierte Studie keine großartigen Tortendiagramme, kann aber durch die richtigen Fragen recht schnell ermitteln, wo das eigentliche Problem liegt. Wer nicht nach der Ursache für ein Fehlverhalten fragt, wird allerdings kein Problem sehen.

Ausweg: Qualitative Analyse

Insofern ist es von zentraler Bedeutung die Frage nach dem „Warum“ zu stellen, wenn es um menschliches Verhalten geht, da dies im Zweifel einen deutlich größeren und effektiveren Maßnahmenkatalog eröffnen wird als es quantitative Verfahren zu leisten vermögen. Der Analyseprozess für den Umgang mit menschlichem Fehlverhalten – sei es in spezifischen Audits, im Monitoring oder auf anderem Wege identifiziert worden – muss von daher immer den Schritt der Ursachenanalyse vorsehen.

Durchführung von Ursachenanalysen

Wichtig ist, die Analyse nicht allein auf das Verhalten als Ursache für eine Schwachstelle abzustellen, was man leider recht oft sieht, sondern vor allem nach der Ursache für das Verhalten selbst zu fragen. Hierzu empfiehlt es sich, zumindest die folgenden Aspekte in die Betrachtung mit einzubeziehen:

Information: Ist ein Mangel an Information für das Fehlverhalten verantwortlich? Dabei kann es sich entweder um Informationen handeln, die zu einer Fehleinschätzung der Gefährlichkeit des eigenen Verhaltens führen (z.B.: „Ich wusste nicht, dass unverschlüsselte E-Mails ein Sicherheitsrisiko darstellen.“) oder um Informationen, welche die richtige Anwendung der vorgesehenen Gegenmaßnahme betreffen (z. B.: „Ich wusste nicht, wie man eine E-Mail verschlüsseln kann.“)

Ergonomie: Sind unergonomisch gestaltete Maßnahmen für das Fehlverhalten verantwortlich? Darunter fallen sowohl Aspekte, welche die prozessuale (z. B. aufwendige manuelle Beantragungs- und Freigabeprozesse) oder die technische Ausgestaltung von Sicherheitsmaßnahmen (z. B. Positionierung von Buttons) betreffen.

Arbeitslast: Ist das Fehlverhalten einer zu umfangreichen Arbeitslast geschuldet? Eine hohe Arbeitslast und besonders der damit oft zusammenhängende Stress führen dazu, dass Mitarbeiter Fehler machen oder auch halb-bewusstes Fehlverhalten an den Tag legen, indem sie beispielsweise Sicherheitsanforderungen in ihrer Wichtigkeit niedriger priorisieren als funktionale Anforderungen.

Werte: Ist eine in der Wertehierarchie des Unternehmens zu geringe Stellung der Informationssicherheit für das Fehlverhalten ursächlich? Wird beispielsweise durch die Geschäftsleitung und/oder die höheren Führungsebenen unsicheres Verhalten vorgelebt, dann erhält das Sich-über-Vorschriften-Hinwegsetzen schnell den Charakter eines internen Statussymbols und wird unbewusst von den Mitarbeitern angestrebt.

Störungen im sozialen Gefüge: Sind Störungen im sozialen Gefüge für die Schwachstellen ursächlich? (vgl.[1,2,3]) Hierunter fallen besonders Punkte wie ein Ausweichverhalten in Konfliktsituationen, dass Mitarbeiter von Prozessen abweichen lässt, oder ein geschöntes Berichtswesen aus Furcht vor Konflikten.

Sonstige Ursachen: Da menschliches Verhalten nur schwer auf einzelne Ursachen zurückzuführen ist und eine derartige Kategorisierung stets eine gewisse Vereinfachung erfordert, sollte man bewusst immer den Aspekt „sonstige Ursachen“ vorsehen, um auch individuelle Auslöser angemessen erfassen und vor allem auf sie reagieren zu können.

Ganzheitliche Maßnahmenplanung

Sofern die Ursachen für menschliches Fehlverhalten hinreichend analysiert wurden, liefert dies in der Regel bereits eine gute Indikation, welche Arten von Maßnahmen (möglicherweise auch in Kombination miteinander) am erfolgversprechendsten sind.

Das Ziel muss es aber auch hier sein, ein klares Bild über das Leistungsvermögen der Maßnahmen im Hinblick auf den optimalen Schutz zu erlangen. Dafür ist es Voraussetzung, dass der Maßnahmenplanung ein realistisches diverses Menschenbild zugrunde liegt.

Genauso wie es nur die wenigsten Mathematiklehrer schaffen werden, ihre gesamte Schülerschaft von der Schönheit algebraischer Gleichungen zu überzeugen, wird es kaum einem Informationssicherheitsbeauftragten gelingen, alle Mitarbeiter von der unbedingten Notwendigkeit sicherheitsgerechten Verhaltens zu überzeugen. Es ist einfach „immer“ so, dass bei ein paar Mitarbeitern eine Kampagne verfangen wird, ein paar andere befolgen ohnehin jede Compliance-Anweisung und wieder anderen ist die Sicherheit des Unternehmens vollkommen egal.

Das heißt, dass es regelmäßig Themen geben wird, in denen man immer davon ausgehen kann (bzw. muss), dass sich zumindest einige Mitarbeiter nicht korrekt verhalten werden. Hier können Phishingangriffe als Beispiel dienen: Es ist eine Realität, dass man sich gegen einen guten Phishingangriff nie vollkommen schützen kann, denn spätestens bei hochindividualisierten Formen wird ein Angreifer erfolgreich irgendeinen Mitarbeiter austricksen können.

Aus Sicht des Informationssicherheits-Managements muss das also heißen: Anstatt sich darum zu sorgen, ob nun 30 % oder 20 % der Mitarbeiter auf eine Phishing-Mail klicken, ist es effektiver und effizienter die knappen Ressourcen dafür aufzuwenden, Angreifer nach einem erfolgreichen Phishingangriff in ihren Möglichkeiten, Schaden anzurichten, so stark wie möglich einzuschränken. Das kann man aber nicht mit Awarenesslösungen schaffen, sondern hierzu bedarf es technisch-organisatorischer Maßnahmen wie Segmentierung, Systemhärtung, strikter Berechtigungsvergabe und einer gut umgesetzten Überwachungslösung!

Neben einer realistischen Bewertung des Leistungsvermögens von Maßnahmen zur Entwicklung der Informationssicherheits-Kultur ist es von zentraler Bedeutung, auf einen möglichst breiten Maßnahmenkatalog zurückgreifen zu können und sich eben nicht – wie derzeit leider viel zu oft der Fall – lediglich auf Verbesserungen bei Individuen zu konzentrieren.

System-orientierte Maßnahmen

Bei SoM handelt es sich um Maßnahmen, die in erster Linie auf die Gestaltung eines sicherheitsfördernden Umfelds ausgerichtet sind. Das Maßnahmenspektrum ist dabei von der Ursachenanalyse abhängig und kann entsprechend divers sein. Einige typische SoM werden im Folgenden näher erläutert.

Verbesserung der Prozess- und Tool-Ergonomie

Maßnahmen zur Verbesserung der Prozess- und Tool-Ergonomie können oft schon durch geringe Anpassungen große Wirkung entfalten. Zum einen reduzieren gut gestaltete Tools und Prozesse massiv das Aufkommen von klassischen Bedienungs- und Anwendungsfehlern, zum anderen minimieren sie das Ausweich- und Umgehungsverhalten. Es ist daher eines der wichtigsten Paradigmen für die Entwicklung einer starken Informationssicherheits-Kultur, sich darauf zu konzentrieren mit „unsichtbarer Hand“ zu lenken und alles daranzusetzen, dass der sicherste Weg eine Sache zu tun zugleich auch der einfachste und komfortabelste ist.

Schaffen von Aufwandstransparenz

Eine weitere Maßnahme kann es sein, den Aufwand, der zum Beispiel für IT-Abteilungen durch Sicherheitsmaßnahmen entsteht, auch transparent zu machen. Allzu oft ist es – zum Beispiel im Risikomanagementprozess – nicht möglich, den Aufwand für die Risikomitigierung angemessen zu erfassen, sodass das Business bei der Risikoentscheidung sich zwar für eine Minderung des Risikos entscheidet, aber dabei den anfallenden Aufwand für die IT-Abteilung nicht berücksichtigt und vor allem ausgleicht. In der Folge werden Sicherheitsmaßnahmen oft nur mit niedriger Priorität verfolgt, da keine aufwandsgerechte Kompensation erfolgt.

Stressreduktion

Es ist beinahe eine Binsenweisheit und dennoch muss man feststellen, dass eine der häufigsten Ursachen für Fehlverhalten nach wie vor Stress ist. Stress erhöht das Aufkommen von Fehlern – Stress motiviert zur bewussten Fahrlässigkeit getreu dem Motto „Wird schon gut gehen“ oder „Mach ich dann morgen“.

Für die Informationssicherheitsabteilung ist es daher von maßgeblichem Interesse, dass Mitarbeiter so wenig Stress wie möglich haben und somit die Fehleranfälligkeit sinkt. Hier zeigt sich auch ein deutlicher Unterschied zu anderen „Ultra-Safe-Branchen“ wie der Flugsicherheit, wo es vorgeschriebene Pausenzeiten gibt, während in der IT Überlastung eher die Regel als die Ausnahme ist.

In der Praxis kann man beispielsweise dadurch eine Verbesserung erzielen, Aufwände rigoros zu tracken und klarzustellen, dass Aufwand für Informationssicherheit eben nicht nur in der Informationssicherheits-Abteilung anfällt, sondern bei der Umsetzung vorgesehener Maßnahmen vielmehr auch unternehmensweit entsteht.

Konfliktmanagement

Ein weiteres in der Informationssicherheit in der Regel nicht betrachtetes Thema stellt das Konfliktmanagement dar (vgl. [1]) – dabei beeinflussen Konflikte maßgeblich die Informationssicherheit von Organisationen! Das können unmittelbare Auswirkungen sein, beispielsweise durch aufgrund von Konflikten agierende Innentäter, oder mittelbare Auswirkungen, wie die Verlangsamung von Meldewegen oder ein geschöntes Berichtswesen aufgrund von Konflikt-Ausweichverhalten.

Sofern man Konflikte als Ursache von Sicherheitslücken identifiziert, kann es beispielsweise ratsam sein, sich am reichhaltigen Werkzeugkoffer von Mediatoren oder Konfliktmoderatoren zu bedienen.

Automatisierung

Sofern möglich, sollte sicheres Verhalten durch Automatisierung überflüssig gemacht werden, da dies das Risiko von Fehlverhalten grundsätzlich minimiert. Automatisierung beginnt in diesem Zusammenhang bereits bei der systemseitigen Erzwingung sicherer Passwörter und geht hin bis zu Vereinzelungsschleusen an Eingängen.

Schaffung von Wertetransparenz

Unternehmenswerte – gerade zu spezifischen Themen wie Informationssicherheit – sind oft nicht transparent oder auch nur reine Lippenbekenntnisse. Hilfreiche Maßnahmen können an dieser Stelle zum Beispiel Werte Audits sein, welche die eigene Wertelandkarte transparent machen und der Unternehmensführung dann entsprechend Möglichkeiten zum Nachsteuern geben.

Prozessuale Verankerung der Informationssicherheit

Die prozessuale Verankerung von Informationssicherheits-Anforderungen – beispielsweise in Form von Abnahme- und Design-Audits, Pflichtmeilen oder Ähnlichem – führt dazu, dass solche Anforderungen strukturell in vielen Geschäftsprozessen eingebunden und somit auch „gelebt“ werden.

Gestaffelte Sicherheitsmaßnahmen

Die konsequente Umsetzung gestaffelter Sicherheitsmaßnahmen ist keine klassische Maßnahme zur Entwicklung der Informationssicherheits-Kultur. Allerdings gilt gerade im Hinblick auf den menschlichen Faktor in der Informationssicherheit, dass alle Maßnahmen immer in den Gesamtkontext einzuordnen sind. Gerade in Fällen, in denen man realistischerweise ein Fehlverhalten nie ganz ausschließen kann, ist es daher von herausragender Bedeutung, dieses Fehlverhalten vorherzusehen und das damit zusammenhängende Risiko gleichsam einer Failsafe-Lösung durch weitere gestaffelte Maßnahmen zu mitigieren.

Fazit

Die Kultur-Landschaft der Informationssicherheit steckt derzeit noch in den Kinderschuhen. Bislang konzentriert man sich viel zu sehr auf die Aspekte Awareness und Training, während systemorientierte Maßnahmen oft nur so weit umgesetzt werden, wie sie im Hinblick auf die Erfüllung technischer Standards gefordert sind.

Abhilfe kann hier die konsequente Durchführung von Ursachenanalysen für menschliches Fehlverhalten darstellen, die eine gezieltere Anwendung von Maßnahmen aus einem wesentlich breiteren Maßnahmenspektrum ermöglicht.

Gerrit Aufderheide ist Jurist, Mediator und IT-Sicherheitsberater.

Literatur

[1] Gerrit Aufderheide, Wolfgang Eidt, Sebastian Sabellek, Konfliktfähigkeit mal anders, Auswirkungen von Konflikten und Bewältigungsstrategien auf die InformationsSicherheit, 2021# 2, S. 10

[2] Dieter Bischop, André Hojka, Systemgesetze und die Sicherheit, Verletzung „natürlicher“ Bedürfnisse und Prioritäten schadet der Security – Probleme durch Organisationsstrukturen im IT-Umfeld – Praktische Umsetzung: Systemcheck und Risikominimierung, 2015# 3, S. 6, 2015# 4, S. 9 und 2016# 2, S. 64

[3] Bettina Weßelmann, Johannes Wiele, Rollen und Zwänge in Sicherheitsprojekten, Commedia della Sicurezza, 2020# 2, S. 10

[4] Johannes Wiele, Kultur, Cooltour oder Couture?, 2015# 4, S. 6

[5] Johannes Wiele, Kommunikation führt zu Kultur, Das erfolgreiche Beispiel der Erste Group Card Processor, 2015# 5, S. 66

[6] Bettina Weßelmann, Johannes Wiele, Dauerbaustellen der Security (8), Etablieren einer Sicherheitskultur, 2017# 5, S. 18

[7] Sicherheitskultur, das unbekannte Wesen?, Expertenbefragung, 2019# 2, S. 67

[8] Derk Fischer, Gerrit Aufderheide, Awareness greift zu kurz, Warum der Faktor Mensch durch das ISMS gesteuert werden sollte, 2019# 6, S. 67

[9] Ralph Dombach, (K)ein normaler Tag im Security-Theater, Ein völlig fiktiver (?) Dialog unter Fortbildungsteilnehmern, 2020# 3, S. 38

Sie interessieren sich für die Vorteile einer VIP-Partnerschaft? Wir informieren Sie gerne! Birgit Eckert, DATAKONTEXT GmbH, Telefon 06728 / 289 003, b.eckert@kes.de

Diesen Beitrag teilen: