Mit <kes>+ lesen

Konfliktfähigkeit mal anders : Auswirkungen von Konflikten und Bewältigungsstrategien auf die Informations-Sicherheit

„Angreifer vs. Verteidiger“ ist der klassische Konflikt – doch nur auf Cyberkriminelle, Hacker und „Disgruntled Employees“ zu schauen, greift für die Informations-Sicherheit zu kurz. Analyse und Umgang mit weiteren Konflikten sind auch hier wichtig für die Risiko-Einschätzung und -Behandlung. Ein Konflikt-Management kann dabei durchaus auch im Rahmen des ISMS erfolgen.

Die Informationssicherheit einer Organisation wird auch maßgeblich davon beeinflusst, welche Konfliktbewältigungsstrategien in ihr vorherrschen. Verantwortliche können durch die Anwendung konstruktiver und erprobter Konfliktbearbeitungsstrategien Informationssicherheits-Risiken erheblich mindern. Dies kann sowohl durch Einzelmaßnahmen wie Mediation oder Konfliktmoderation geschehen als auch durch ein strukturiertes Konfliktmanagement im Rahmen eines Konfliktmanagementsystems (KMS) oder Informationssicherheitsmanagementsystems (ISMS).

Immer und überall

Konflikte sind im Wirtschafts- und Sozialleben von Menschen allgegenwärtig – sie bestimmen zahlreiche Aspekte unseres Alltags. Insoweit ist entscheidend, inwiefern Konflikte unterschiedlicher Couleur Auswirkungen auf die Informationssicherheit von Organisationen haben. Das Gabler Wirtschaftslexikon versteht unter einem Konflikt einen Prozess der Auseinandersetzung, der auf unterschiedlichen Interessen von Individuen und sozialen Gruppierungen beruht und in unterschiedlicher Weise institutionalisiert ist und ausgetragen wird [1].

In der Regel wird Informationssicherheit als Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen einer Organisation aufgefasst – besonders auch gegenüber bewusst schädigenden Aktivitäten, vulgo „Angriffe“. Angriffssicherheit umfasst naturgemäß bereits einen Konfliktbezug im Sinne der obigen Definition: Während eine Organisation im Wesentlichen das Interesse hat, ihre geschäftskritischen Informationen zu schützen, geht es einem Angreifer gerade darum, diesen Schutz zu brechen.

Die Zusammenhänge jedoch nur auf diesen Punkt zu reduzieren, greift zu kurz, was schnell deutlich wird, wenn man die Auswirkungen unterschiedlicher Konfliktkategorien eingehender analysiert.

Konflikt-Kategorien

In der Praxis hat sich eine Vielzahl von Kategorien für Konflikte herausgebildet. Für Auswirkungen auf die Informationssicherheit bieten sich sowohl die Kategorisierung nach Akteuren als auch die nach Auswirkungsarten an, die im Folgenden auf Basis ihres Verhältnisses zu einer Organisation erfolgt.

Kategorisierung von Konflikten nach Akteuren

Konflikte zwischen rein externen Akteuren sind Konflikte zwischen Parteien, zu denen nur ein mittelbarer Organisationsbezug besteht, die aber dennoch konkrete Auswirkungen auf die Informationssicherheit einer Organisation haben können.

Hierunter fallen Konflikte zwischen Staaten, beispielsweise Handelskriege: Dabei kann die betroffene Organisation in einem der streitenden Staaten angesiedelt sein oder auch nur als Dienstleister für ihn agieren – ein direkter Bezug zwischen unmittelbaren Konfliktparteien und der Organisation besteht insoweit nicht. Dennoch können sich Auswirkungen auf die Informationssicherheit ergeben: So kommt es möglicherweise zu einer Erhöhung der Bedrohungssituation aufgrund zunehmender Spionage- oder Sabotageaktivitäten.

Derartigen Konflikten ist gemein, dass eine einzelne betroffene Organisation nur begrenzt etwas an dem Konflikt und seiner Austragung mitgestalten kann. Hier geht es daher in erster Linie darum, entsprechende Konflikte transparent zu machen und den damit in Zusammenhang stehenden Risiken mit klassischen Maßnahmen zu begegnen – beispielsweise durch Erhöhung der technischen Sicherheit.

Konflikte zwischen einer Organisation und externen Akteuren stellen den Normalfall für die Informationssicherheit dar: Es besteht ein konkreter Konflikt, der sich – zumindest teilweise – durch das Unternehmen beeinflussen lässt. Dabei sollte man differenzieren, ob der Konflikt mit konkret benennbaren Akteuren besteht oder mit einer nicht konkret identifizierbaren Personengruppe oder Einzelperson. Im ersten Fall kommen Konflikte mit Mitbewerbern oder Behörden in Betracht – für den zweiten Fall lassen sich etwa die Responsible-Disclosure-Konflikte der früheren 2000er-Jahre als Beispiel anführen (siehe etwa [2]).

Derartige Konflikte gilt es zu analysieren – und ferner zu ermitteln, inwiefern durch sie Informationssicherheitsrisiken bestehen und wie sich diese bearbeiten lassen. So erwies es sich bei den als Beispiel angeführten Konflikten zwischen Hackerszene und Softwareherstellern als gute Konfliktlösungsstrategie, auf die Szene zuzugehen und sogenannte Bug-Bounty-Programme ins Leben zu rufen – das war weitaus erfolgreicher, als die Hacker zu verklagen und sich auf diese Weise nur noch mehr zu ihrem Ziel zu machen.

Konflikte zwischen den Organen einer Organisation und internen Interessengruppen (bzw. Individuen) sind die wohl häufigsten und folgenschwersten Konflikte für die Informationssicherheit. Aus ihnen gehen Innentäter hervor, notwendige Informationssicherheitsprojekte geraten ins Stocken (vgl. Abschnitt 5.4.c in [3]), Meldewege werden verlangsamt und Informationen fließen ab, weil zentrale Know-how-Träger das Unternehmen verlassen. Grundsätzlich lässt sich in diesem Feld zwischen institutionalisierten und individuellen Konflikten unterscheiden:

Unter institutionalisierten internen Konflikten sind solche Konflikte zu verstehen, die sich aus dem natürlichen Aufbau und den Arbeitsprozessen einer Organisation ergeben und die insofern schon in den Organisationsstrukturen begründet sind. Hier stellt es in der Regel kein Problem dar, dass der Konflikt an sich besteht, sondern vielmehr wie er ausgetragen und vor allem wie er beigelegt wird. Typische institutionalisierte Konflikte sind etwa Lohnrunden zwischen Geschäftsführung und Gewerkschaft, Zielkonflikte zwischen Informationssicherheit und IT-Abteilung oder andere durch Kontrollfunktionen abgebildete Prozesse (vgl. etwa [4]). Aus Sicht der Informationssicherheit muss es im Eigeninteresse liegen, derartige Konflikte transparent und steuerbar zu machen, um einer uferlosen Eskalation Einhalt gebieten zu können. Andernfalls drohen mögliche Auswirkungen wie:

  • „Radikalisierung“ zum Innentäter
  • geringe Motivation bis hin zu passivem Widerstand bei der Umsetzung geforderter Maßnahmen
  • höhere Verwundbarkeit für Social-Engineering-Angriffe
  • höherer Know-how-Abfluss durch Kündigungen
  • verlangsamte Meldewege

Schwieriger zu fassen sind hingegen individuelle interne Konflikte, da sie der Organisation in der Regel erst dann bewusst werden, wenn ein kritischer Eskalationsgrad erreicht ist. Dabei sollte man zur besseren Erfassung wiederum zwischen Konflikten mit und ohne direktem Organisationsbezug unterscheiden – diese Unterteilung ist sowohl für die Identifizierung als auch für den Umgang mit den Konflikten sinnvoll!

Konflikte mit direktem Organisationsbezug können verschiedene Ursprünge haben. Typische Quellen sind:

  • Konkurrenzverhältnisse
  • mangelnde (wahrgenommene) Wertschätzung
  • unzureichende Übereinstimmung von Strategie und Umsetzung
  • andere Sachfragen

In all diesen Fällen bildet sich der Inhalt des Konflikts direkt auf Ebene der Organisation ab – es besteht damit ein direkter Zusammenhang zur jeweiligen Organisation (seinheit). Im Gegensatz zu den nachfolgend beschriebenen Konflikten mit indirektem Organisationsbezug lassen sie sich meist gut identifizieren und zum Teil sogar vorhersagen.

Konflikten mit indirektem Organisationsbezug ist gemein, dass die Organisation lediglich eine Art Arena für die Austragung des Konfliktes bietet und hierdurch in Mitleidenschaft gezogen wird – entstehende Kollateralschäden sind den Akteuren dabei häufig nicht einmal bewusst. Derartige Konflikte und ihre Ursachen sind in der Praxis nur schwer zu identifizieren, obwohl ihre Auswirkungen für die Organisation erheblich sein können. Es kommt häufig zu Verharmlosungen oder Schuldzuweisungen und Handlungen werden durch die Konfliktparteien pseudorational gerechtfertigt (vgl. etwa Kapitel 8.4.1 „Reduktion kognitiver Dissonanz“ in [5]).

Für die Informationssicherheit können die Auswirkungen individueller interner Konflikte durchaus vielfältig sein:

  • Zunahme der Bedrohung durch Innentäter und Social-Engineering-Opfer
  • verlangsamte Umsetzung von Maßnahmen und Projekten
  • höhere Kündigungsrate
  • Störung von Kommunikationskanälen
  • Verdecken von Fehlern und Sicherheitslücken
  • höhere Verwundbarkeit für Angriffe
  • mangelnde Umsetzung von Sicherheitsmaßnahmen
  • sinkende Motivation

h3>Kategorisierung von Konflikten nach Auswirkungen auf die Informationssicherheit

Eine alternative Methode der Einordnung von Konflikten ist die Unterscheidung nach ihren Auswirkungen. Auf diese Weise lässt sich die Verbindung von Konflikten und Informationssicherheitsrisiken besonders gut darstellen. Es bietet sich eine Einordnung in bedrohungsfördernde und schutzhemmende Konflikte an.

Bedrohungsfördernde Konflikte bewirken naheliegenderweise eine Verschärfung der Bedrohungssituation, beispielsweise durch gesteigerte „Motivation“ für Innentäter, erhöhte Anfälligkeit für Social-Engineering-Attacken, einen schädigenden Einfluss von Mitbewerbern oder die Förderung von Hacktivismus, also Attacken aufgrund politischer und ideologischer Motive.

Schutzhemmende Konflikte senken die Wirksamkeit von Schutzmaßnahmen. Dabei ist es unerheblich, ob diese organisatorischer, kultureller oder technischer Natur sind. Sie können beispielsweise zu einer unzureichenden Umsetzung oder der Umgehung von Sicherheitsmaßnahmen führen, das Meldewesen beeinträchtigen oder zu einer generell nachlässigen Sicherheitskultur führen.

Behandlung von Konflikten

Grundsätzlich gehören Konflikte zum Arbeitsalltag. Die in vielen Unternehmen vorherrschende Unterdrückung von Konflikten führt jedoch dazu, dass Konflikte nicht bearbeitet und gelöst werden. Die Auswirkungen gleichen dann einem Schwelbrand, der sich im Hintergrund verstärkt, bis er sich irgendwann unkontrollierbar Bahn bricht. Insofern sollten Informationssicherheits-Verantwortliche darauf hinwirken, dass Konflikte im Unternehmen als wertstiftender Teil des Arbeitsprozesses erkannt und konstruktiv bearbeitet werden! Dies erfordert die Entwicklung eines konfliktoffenen Mindsets in der Unternehmenskultur. Damit lassen sich Konflikte frühzeitig erkennen, Auswirkungen reduzieren und Lösungsansätze entwickeln.

Maßnahmen zur Konfliktbehandlung

Neben einer generellen Veränderung der Einstellung zu Konflikten lassen sich aber auch konkrete Maßnahmen treffen, um die Auswirkungen von Konflikten auf die Informationssicherheit zu minimieren. Mittels struktureller Maßnahmen wird versucht, das Thema Konflikt proaktiv durch das Schaffen geeigneter Strukturen zu steuern – Einzelmaßnahmen dienen hingegen der Auflösung oder Entschärfung konkreter Konfliktsituationen.

Im Rahmen von strukturellen Maßnahmen ist zunächst zu klären, ob sie in der Verantwortung der Informationssicherheit liegen oder ob die Informationssicherheit nur als Zulieferer einer größer gefassten Initiative beispielsweise im Rahmen eines unternehmensweiten Konfliktmanagementsystems (KMS) agiert.

Während letztere Variante zwar die langfristig bessere Alternative darstellt, ist die Etablierung eines neuen Managementsystems in vielen Unternehmen nur schwer zu leisten und das nötige Commitment des Managements kaum zu erreichen, sodass letztlich die Initiative doch oft von der Informationssicherheitsorganisation kommen muss. Dann liegt es nahe, für das Management von informationssicherheitsrelevanten Konflikten und den daraus resultierenden Risiken die Strukturen des Informationssicherheitsmanagementsystems (ISMS) heranzuziehen.

Management von informationssicherheitsrelevanten Konflikten im ISMS

Konflikte treten im ISMS vor allem als die durch sie verursachten Risiken zutage. Das Management von Konflikten sollte somit im Risikomanagementprozess für die Informationssicherheit angesiedelt werden. Dieser folgt üblicherweise dem klassischen Schema: Identifikation – Analyse und Bewertung – Behandlung – Monitoring und Reporting.

Die Identifikation von Konfliktrisiken erfolgt je nach Ausgestaltung des ISMS entweder direkt innerhalb des Risikomanagementprozesses oder durch andere Teilfunktionen des ISMS wie beispielsweise Threat-Intelligence- oder Culture-und-Support-Prozesse. Zentraler Punkt für den Erfolg des Ansatzes ist, eine möglichst geringe Aufdeckungs-, Eingangs- oder Meldeschwelle zu bieten, da zu große Hürden die effektive Identifikation relevanter Konflikte verhindern. Die wesentliche Herausforderung besteht darin, den Blick auch auf Aspekte der Organisations-, Gruppen- und Teamdynamik zu richten, die in der Regel nicht im Fokus von ISMS-Prozessen stehen. Hier ist die Informationssicherheits-Organisation gefordert, durch kommunikative Maßnahmen ein Umfeld zu gestalten, in dem Konflikte und vor allem Lösungsbedarfe bereitwillig benannt werden.

Die Analyse und Bewertung eines Konflikts und der damit verbundenen Informationssicherheitsrisiken kann ebenfalls im Informationssicherheits-Risikomanagementprozess erfolgen. Hier ist jedoch häufig eine Erweiterung bestehender Verfahren erforderlich, da diese üblicherweise nur auf die Erkennung von technisch-organisatorisch bedingten Risiken ausgelegt sind. Außerdem sollte in diesem Zusammenhang die Frage geklärt werden, wie mit Konflikten zu verfahren ist, die zwar erhebliche Verlust- oder Kostenrisiken für die Organisation bergen, aber kein direktes Informationssicherheitsrisiko darstellen. An dieser Stelle hat es sich bewährt, Absprachen mit anderen Abteilungen zu treffen und somit gemeinsam eine konstruktive Konfliktbearbeitung sicherzustellen.

Im Rahmen der Behandlung von Konflikten kommt es zu den meisten Neuerungen im ISMS, da hier ein für die Informationssicherheit bislang noch unbekanntes Instrumentarium eingesetzt wird und man im Wesentlichen auf Verfahren des Konfliktmanagements setzt, beispielsweise:

  • Mediation,
  • Konfliktcoaching,
  • Schlichtung oder
  • Organisationsentwicklung.

Diese Verfahren sind jedoch in anderen Themenfeldern bereits erprobt und lassen sich ohne großen Aufwand auf informationssicherheitsrelevante Konflikte anwenden.

Wie klassische Informationssicherheits-Risiken müssen auch Konfliktrisiken einem regulären Reporting und Monitoring unterliegen. Dies stellt zum einen eine ausreichend aktuelle Bewertung der Risiken sicher, bietet zum anderen aber auch die Möglichkeit, situationsgerecht mit Maßnahmen auf geänderte Rahmenbedingungen zu reagieren.

Dabei ist allerdings zu beachten, dass aufgrund der Natur von Konfliktrisiken meist deutlich erhöhte Anforderungen an den Schutz personenbezogener Daten der beteiligten Parteien bestehen. Eine Verletzung dieser Anforderungen im Rahmen von Risikobehandlung und Berichtswesen schädigt die erforderliche Offenheit der Organisation, solche Risiken transparent zu machen und zu bearbeiten. Dies sollte bei der Prozessgestaltung entsprechend berücksichtigt werden.

Management von Konflikten mit Einfluss auf die Informationssicherheit im KMS

Während es beim Management von Konflikten im Rahmen des ISMS in erster Linie darum geht, passende Instrumente zu integrieren, verhält es sich beim KMS genau umgekehrt: Ziel ist hier, die Auswirkungen auf die Informationssicherheit in die Verfahren des Konfliktmanagementsystems einzubeziehen. Die Informationssicherheits-Organisation muss darauf hinwirken, dass bei der Analyse und Einordnung von Konflikten auch Folgen für ihr Aufgabengebiet mit einbezogen werden. Dies kann man beispielsweise mittels eines in den Prozess integrierten Fragebogens gewährleisten.

Da Konfliktmanagementsysteme bislang in deutschen Unternehmen noch wenig ausgeprägt sind, wird dieser Weg eher die seltene Alternative als den Regelfall darstellen. Aufgrund der wenig vorhandenen Standardisierung von KMS lassen sich dann in der Praxis aber schnell praktikable Lösungen für die Einbeziehung der Informationssicherheit finden.

Individuell anwendbare Maßnahmen

Auch ohne ein ausgeprägtes KMS oder eine Umgestaltung des ISMS lassen sich zahlreiche Verfahren zur Konfliktbehandlung nutzen, sofern man konkrete Konflikte erkennt. Der Einsatz derartiger Verfahren hat zudem den Vorteil, dass ihr Nutzen für Konfliktbeteiligte unmittelbar sichtbar wird und sie somit strukturellen Ansätzen den Weg ebnen können. Beispiele für derartige Maßnahmen sind:

  • Einsatz von Mediatoren bei Konflikten, in denen die Informationssicherheits-Organisation eine Konfliktpartei ist
  • Durchführung von Konfliktcoachings und -workshops für die eigenen Mitarbeiter
  • Adressierung des Themas „Konflikt“ in Kommunikationskampagnen
  • Etablierung von Konflikt-Lotsen in Prozessen und Regelungen
  • Einforderung von Konfliktlösungen bei informationssicherheitsrelevanten Konflikten

Fazit

Konflikte bergen Risiken für alle Bereiche einer Organisation – das schließt die Informationssicherheit mit ein. Konflikte werden im Informationssicherheits-Management häufig noch nicht als Ursache von Informationssicherheits-Risiken gesehen – daher ist oft auch keine Erkennung, Analyse und Behandlung von Konflikten im Rahmen bestehender Prozesse vorgesehen. Dies führt de facto zu einer impliziten und intransparenten Akzeptanz von Risiken unbekannter Höhe und verhindert angemessene Managemententscheidungen zur Risikobehandlung.

Eine wirksame Lösung stellt der Aufbau eines Konfliktmanagementsystems (KMS) dar. Da sich solche Initiativen jedoch in etlichen Unternehmen nur schwer etablieren lassen, stellt sich die Frage nach Alternativen. Bereits die Betrachtung von Konflikten im Rahmen des Informationssicherheitsmanagementsystems (ISMS) führt beispielsweise zu einer deutlichen Verbesserung der Risikoexposition bei vergleichsweise geringem Änderungsbedarf an der bestehenden Prozesslandschaft. Zudem kann man für die Risikobehandlung auf einen umfangreichen modularen Werkzeugkasten mit bewährten Verfahren zurückgreifen.

Verfahren wie Konfliktmoderation oder Mediation können darüber hinaus als Türöffner für eine strukturelle Bearbeitung des Themas „Konflikt“ im Informationssicherheits-Management dienen, sofern Informationssicherheits-Verantwortliche sie zur konstruktiven Beilegung von Konflikten heranziehen.

Gerrit Aufderheide ist Jurist, Mediator und IT-Sicherheitsberater. Wolfgang Eidt ist Mediator und IT-Sicherheitsberater.
Sebastian Sabellek ist Rechtsanwalt und Psychologe.

Literatur

[1] Prof. Dr. Thomas Bartscher, Konflikt – Definition, in: Gabler Online-Wirtschaftslexikon, Februar 2018, https://wirtschaftslexikon.gabler.de/definition/konflikt-41120/version-264491
[2] Jürgen Schmidt, Vom Umgang mit Sicherheitslücken, c’t 21/2019, online verfügbar auf https://heise.de/-4537895
[3] KPMG, Die Kosten von Reibungsverlusten in Industrieunternehmen, Konfliktkostenstudie, Advisory, 2009, https://kpmglaw.de/content/uploads/2018/07/2009_Konfliktkosten_Reibungsverluste_in_Unternehmen.pdf
[4] Catherine Stupp, CISOs Emerge From CIOs’ Shadow, More companies are moving cybersecurity chiefs out of tech executives’ orbit to reduce risk of conflict of interest, The Wall Street Journal – WSJ PRO, Dezember 2019, www.wsj.com/articles/cisos-emerge-from-ciosshadow-11577183400
[5] Thomas Kessler, Immo Fritsche, Sozialpsychologie, Springer, 2018, ISBN 978-3-531-17126-5 bzw. ISBN 978-3-531-93436-5 (E-Book)

Diesen Beitrag teilen: