Cybersicherheit: Auch Mitarbeiter schützen und integrieren
Cyberattacken und IT-Ausfall stellen extreme Krisensituationen dar, die viel Druck und Stress für das Team bedeuten. Daher muss eine Strategie für den Mitarbeiterschutz existieren.
Wenn IT-Krisensituationen wie eine Cyberattacke oder Datenverlust entstehen, sind die meisten Firmen hauptsächlich damit beschäftigt, die IT-Umgebung wieder zum Laufen zu bringen und somit zunächst die wichtigsten Geschäftsprozesse wieder verfügbar zu machen und schnellstmöglich zum normalen Tagesgeschäft zurückzukehren. Dafür haben die meisten Unternehmen entsprechende Notfallpläne für Disaster Recovery, Cyberresilienz und Business Continuity.
Allerdings sollten in diesen strategischen Plänen auch die Mitarbeiter bedacht werden, denn Krisensituationen erzeugen enormen Druck und Stress, können Tagesroutinen unterbrechen/verändern und Mehrarbeit verursachen. Computerweekly.de sprach mit Dr. Sebastian Schmerl von Arctic Wolf, worauf Firmen, Entscheider und First-Response-Teams achten können und was dafür in die Cyberresilienz-Strategie gehört, wenn nicht sogar in die Strategie für Business-Resilienz.
„Es gibt zahlreiche Kriterien, die hinsichtlich der Mitarbeiter in die Planung gehören“, erklärt Dr. Schmerl. „Das kann je nach Unternehmen variieren, aber es gibt viele Parameter, die universell integrierbar sind.“ Mentale Gesundheit, Arbeitsumstände und physische Auswirkungen auf Mitarbeiter müssen in solchen Situationen ebenso in den Fokus rücken, wie technische und geschäftsrelevante Aspekte. Die Majorität der Unternehmen hat oft keine Konzepte, die mentale Gesundheit und psychischen Druck in Krisensituationen adressieren, aber es gibt bereits zahlreiche Firmen, die in dieser Hinsicht proaktiv agieren, so Schmerl.
Fachkräftemangel und Arbeitgeberverantwortung
Krisensituationen sind kein Tagegeschäft, aber psychischer Druck kann bereits im Tagesgeschäft entstehen. Oft ist hier der derzeitige Fachkräftemangel in zahlreichen Branchen der Grund. Wenn wenige Mitarbeiter mehr Arbeit bewältigen müssen, so kann dies zu Überlastung und Stress für den Einzelnen und für das Team bedeuten.
Oft können auch falsche Mitarbeiterausschreibungen zu Problemen führen. Sucht eine Firma beispielsweise exakt nach den Fähigkeiten, die der letzte Administrator/IT-Experte einbrachte, muss dies nicht unbedingt zu den aktuellen Anforderungen der IT-Umgebung passen. Es ist durchaus möglich, dass das Unternehmen mittlerweile zusätzliche/neue Fähigkeiten benötigt oder einfach zu viel von dem neuen Mitarbeiter erwartet, was von vornherein zu Stress führt. „IT-Mitarbeiter sind immer gestresst“, weiß Schmerl.
Hinzu kommt häufig eine ungesunde Fehlerkultur: Werden Fehler bestraft, so werden Mitarbeiter leicht demotiviert etwas Neues freiwillig anzugehen. Das gilt insbesondere für Krisensituationen, die meist neu und ungewohnt sind. Schmerl führt aus, dass in der realen Welt der Gesetzesgeber eben nicht falsche erste Hilfe bestraft, sondern für die Unterlassung ebendieser.
„Für unsere Teams bei Arctic Wolf ist das Tagesgeschäft immer zeitkritisch“, erklärt Sebastian Schmerl. „Wir sind aber im Gegensatz zu anderen IT-Mitarbeitern dafür trainiert. Damit erreichen wir einen ähnlichen Effekt wie bei Jet-Piloten: Gutes Training verhindert einen Panikmodus und jeder kann fokussiert arbeiten. Das ist natürlich in anderen Unternehmen nicht zu erwarten.“
Die mentale Gesundheit ist darüber hinaus auch durchaus Aufgabe der Arbeitgeber. Diese sind laut der Fürsorgepflicht gemäß BGB § 618 Abs. 1 dazu verpflichtet, die Gesundheit der Arbeitnehmer zu schützen. Dazu zählen:
der Schutz der Persönlichkeit (zum Beispiel vor Mobbing)
der Schutz der Gesundheit und des Lebens sowie
die Rücksichtnahme der Interessen der Arbeitnehmer
Somit gehört auch die psychische Gesundheit der Arbeitnehmer zur Fürsorgepflicht, im Zuge dessen gilt es in den Unternehmen vor allem die Arbeitsbelastung im Auge zu behalten.
Gute Vorbereitung und Übung vermeidet immer Stress
Unternehmen können sich offensichtlich nicht auf alles vorbereiten, aber fokussierte Planung und Schulungen helfen, Krisensituationen besser zu bewältigen. Dazu gehören unter anderem Planspiele und das Training von verschiedenen Stresssituationen, damit die Mitarbeiter nicht von ungewohnten Umständen überwältigt werden. Mit sogenannten Tabletop-Übungen lassen sich grobe Eckpfeiler abstecken. Dazu gehört unbedingt die Festlegung der Zuständigkeiten und Entscheidungsträger. Sind die verantwortlichen Personen definiert, so wird es auch einfacher für die Mitarbeiter, da sie wissen, wer wann etwas entscheidet.
Dabei muss auch feststehen, wie das grundlegende Problem einer Krisensituation angegangen wird: Wie erkennt man eine Krisensituation und welcher Verantwortliche identifiziert die Krise als solche und stößt das Reaktions- beziehungsweise Krisenmanagement an. Die Basis für diese Entscheidungen sind definierte Response-Pläne, die bereits im Vorfeld festlegen, wie auf einzelne Situationen reagiert wird.
Fehlen Response-Pläne so kann dies zu Chaos in Störfällen führen und eine schnelle Rückkehr zum Tagesgeschäft verhindern. Muss die Entscheidung getroffen werden, Systeme oder Anwendungen herunterzufahren, so sollte die Verantwortung hier nicht ausschließlich auf dem IT-Personal lasten, sondern immer in Absprache und im Einklang mit den „Ownern“ dieser Ressourcen getroffen werden.
Ein wichtiges Kriterium dabei ist, den Mitarbeitern von vornherein den Fernzugriff auf Unternehmensressourcen zu gewährleisten. Das spart im Krisenfall eine Anreise und beschleunigt die Reaktionszeit und erlaubt abwesenden spezialisierten Kollegen schnell und wenn nötig vom Urlaubsort einzugreifen. Dieser Zugriff sollte aber besondere Schutzmaßnahmen erhalten, so dass insbesondere in einer Krise keine unnötigen Störungen vorkommen.
Da sich eine Cyberattacke oder andere Desaster nicht an die üblichen Arbeitszeiten halten, müssen auch private Umstände der Mitarbeiter in Betracht gezogen werden. Das beginnt bei der Benachrichtigung von Verantwortlichen an Wochenenden oder Feiertagen und geht bis hin zur Unterstützung von Eltern, die Kinder von Schule oder Kitas abholen müssen oder heimische Pflege leisten. Die Koordination dieser persönlichen Aspekte kann helfen, dass der Stressfaktor für die betroffenen Personen minimiert wird.
Ein wichtiger Punkt ist darüber hinaus, zu bestimmen, an welchem Zeitpunkt sich das Unternehmen externe Hilfe holt und welche Verantwortlichen diese Entscheidung treffen. Dies muss unbedingt in der Planung festgehalten werden. Externe Dienstleister können Beratungsfirmen, IT-Forensiker oder Mediatoren sein.
Zudem kommt es auch auf darauf an, sinnvoll zu kommunizieren und dabei eventuelle Verständnisprobleme aus dem Weg zu räumen, beispielsweise zwischen dem Management und den technischen Fachleuten. Verständigen sich die Beteiligten auf unterschiedlichen Ebenen, so führt das zu Missverständnissen, Ungeduld und falschen Entscheidungen oder Aktionen und dies wiederum zu vermehrtem Stress.
Kommunikations-(N)Etiquette
Dr. Schmerl betont, dass in einer Krisensituation die Kommunikationsregeln wichtig sind und vorher feststehen müssen: „Wir haben hier ganz klare Richtlinien für unsere Teams, um unnötigen Druck und Stress zu vermeiden. So werden eskalierende Personen vom Krisenmanagement ausgeschlossen oder zumindest in eine Pause geschickt.“
Um den Mitarbeitern von vornherein ein Gefühl des Zusammenhaltes zu geben, erfolgt die Kommunikation auf „Du“-Ebene. Das schweißt nicht nur zusammen, sondern erleichtert oft auch Dinge direkt anzusprechen.
„Man muss auch ganz klar sagen, wenn Mitarbeiter nicht hilfreich sind oder zur Problemlösung nichts beisteuern können“, so Schmerl. „Personal, das unnötig in die Diskussion einbezogen wird, erschweren nur Entscheidungsprozesse und Problembehebungen, erst recht, falls sie nichts von der Materie verstehen.“ Das ist kein negativer Ansatz, es soll nur verhindern, dass sich zu viele Mitarbeiter einmischen. Oft handelt es sich dabei um Teammitglieder, die fachfremd oder auch nicht der Owner betroffener Anwendungen und Systeme sind.
Klare Kommunikation in einer Krisensituation wie beispielsweise einer Cyberattacke ist essenziell, nicht nur intern, sondern auch nach außen. Dabei muss der Umgangston gewahrt werden und die Botschaft muss für jede Audienz entsprechend aufbereitet und formuliert werden, damit keine Missverständnisse entstehen. Auch hier lohnt es sich, vorab Pläne für die Kommunikation zu entwickeln, um den oder die Unternehmenssprecher zu entlasten.
Klarer Ablauf im Krisenfall
Kommt es zu einem Störfall, sei es, weil Systeme aufgrund eines Cyberangriffs heruntergefahren werden müssen oder aufgrund eines technischen Defekts, sollten die folgenden Abläufe klar definiert sein. Dabei kommt es nicht unbedingt darauf an, gleich langfristig zu denken und zu agieren, so Schmerl. „Ganz wichtig ist es, das Problem Schritt für Schritt anzugehen“, sagt der Experte. „Das heißt, dass ein erstes Treffen stattfinden muss, um das Krisenmanagement zu starten. Dann gilt es festzulegen, welcher Mitarbeiter welche Aufgaben übernimmt und in welchem Zeitraum. Dabei kann der Zeitraum übersichtlich gehalten werden, beispielsweise das Team kommt alle zwei Stunden wieder zusammen, um den Status Quo abzugleichen und die nächsten Aufgaben abzustimmen.“
In einer stressigen Krisensituation sollte ein Unternehmen die Personen, die nichts zur Problemlösung beitragen können oder überfordert sind, von Entscheidungsprozessen ausschließen.
Dr. Sebastian SchmerlArctic Wolf
Diese regelmäßigen Treffen helfen zudem, auch die Auswirkungen der Problemsituation auf das Personal abzuklären. Mitarbeiter, die sich überfordert fühlen, sollten dies direkt ansprechen können und Manager sollten diesen Personen die Chance für eine Erholungspause geben oder, falls nötig, zu gestresste Angestellte bis auf Weiteres nicht mehr der Situation auszusetzen.
Da gerade Security-Vorfälle immer zeitkritisch und stressvoll sind, sollte man hier auf seine Mitarbeiter besonders achten, denn der Teufel liegt auch hier im Detail. Zum Beispiel kann bei den ersten Schritten darauf verzichtet werden, finanzielle Auswirkungen zu diskutieren, „insbesondere was ist, wenn…“-Diskussionen sind nicht hilfreich. Wenn es sich nicht um eine Ransomware-Attacke handelt, sollten finanzielle Aspekte zunächst außer acht gelassen werden, da dies auch Druck auf Mitarbeiter ausübt.
Der richtige Umgang mit mentalem Druck setzt voraus, dass Verantwortliche/Manager die Anzeichen erkennen und richtig einordnen. Jeder Mitarbeiter reagiert anders, manche lieben eine Stresssituation und bringen Höchstleistungen, andere sind gestresst oder paralysiert aus Angst, etwas falsch zu machen. Gestresste Mitarbeiter benötigen eventuell mehr Pausen und vor allem auch Zuspruch seitens des Managements, das sie in ihrem Tun bestärken sollte. Im Erfolgsfall werden viele Endorphine ausgeschüttet, was die Stimmung aller Mitarbeiter verbessert.
Dies darf aber nicht zu Übermut führen, da auch nach einer bestandenen Krisensituation noch einige Aufgaben anstehen, beispielsweise die Auswertung aller Prozesse und eventueller Schwachstellen, die zum Vorschein kamen. Das heißt, innerhalb von drei Tagen sollten gewonnene Erkenntnisse und Feedback der beteiligten Mitarbeiter eingeholt und analysiert werden. Dies kann zu einer Änderung der Response- und Krisenmanagementpläne führen, damit das Unternehmen in Zukunft besser auf eine solche Situation reagieren und diese schneller meistern kann.
„Ganz wichtig ist zum Abschluss ein zeitlicher und mentaler Ausgleich nach der Krisensituation sowie die Anerkennung der Leistungen durch das Management“, betont Dr. Schmerl. „Fehlen ein solcher Ausgleich und die persönliche Anerkennung, so führt dies zu Demotivation und Mitarbeiter könnten in einer anderen Krise sich aus der Situation herausnehmen, anstatt die Firma zu unterstützen.“
Charaktere erkennen und unterstützen
Obwohl dies auf den ersten Blick nicht wichtig erscheint, so kann es doch hilfreich sein, die unterschiedlichen Charaktere der Mitarbeiter zu erkennen und auf diese entsprechend zu reagieren. Das kann zum Beispiel spezifische Förderung einer schüchternen Person bedeuten oder das Deeskalieren einer temperamentvollen Person.
Hierfür lohnt es sich die vier Temperamente zu kennen, die die Ausprägungen der Persönlichkeiten von Menschen beschreiben. Diese vier Typen sind der Melancholiker, der Choleriker, der Sanguiniker und der Phlegmatiker. Diese Typologie kommt zwar aus der Antike, ist aber als Grundlage für die Charakterbestimmung hilfreich. Die vier Gemüter sind im Folgenden kurz beschrieben.
Melancholiker. Dies bezeichnet Menschen, die schnell traurig sind, sowie zu Misstrauen und Kritik neigen. In der Arbeitswelt kann dies zu einer negativen Stimmung führen, wenn unnötige Kritik, Übersensibilität und dadurch Pessimismus ins Team gelangen.
Choleriker. Diese Personen können im positiven Sinn des Wortes willensstark und entschlossen sein. Allerdings sind auch Überreaktionen und Unausgeglichenheit Eigenschaften dieses Gemütstypus. Zum einen können diese Mitarbeiter leitende Funktionen gut ausüben, müssen aber eventuelle irreale Reaktionen auf produktive Kritik vermeiden. Wutausbrüche und Schreiduelle haben in der normalen Arbeitswelt nichts verloren, erst recht nicht in einer Krisensituation.
Sanguiniker. Diese Menschen werden als optimistisch, heiter, lebhaft und fantasievoll angesehen. Die negativen Assoziationen mit diesem Charakter sind Leichtsinn und Unstetigkeit. Generell sind solche Mitarbeiter hilfreich, da sie im Team oft für gute Stimmung sorgen und sich innovativ bei Problemlösungen einbringen können. Allerdings sollte beispielsweise darauf geachtet werden, ob nicht plötzliche Meinungsänderungen zu Diskrepanzen in Arbeitsprozessen führt oder Teamanstrengungen behindert.
Phlegmatiker. Dieser Charakter gilt als friedliebend, ordentlich, zuverlässig und diplomatisch. Als negativ wird hier ein Mangel an Lebhaftigkeit angesehen. Ein solcher Mitarbeiter kann sich gut in ein Team einbringen oder auch klar und stringent als Führungsperson agieren. Eventuell benötigen diese Personen ein wenig mehr Unterstützung, um mehr Eigeninitiative einzubringen.
Natürlich sollten Mitarbeiter nicht in Kategorien eingeteilt werden, aber es lohnt sich, die grundlegenden Charakterzüge zu erkennen und damit die Stärken zu fördern und bei Schwächen zu helfen. Gerade in Krisensituationen kann dies hilfreich sein und Eskalationen verhindern.
Auch das Tagesgeschäft kann Stress erzeugen
Für IT-Verantwortliche, insbesondere im Security-Bereich, kann auch das Tagesgeschäft große Herausforderungen mit sich bringen. In der Regel bemerken das andere Angestellte nicht, denn wenn alles gut läuft im Unternehmen sieht es ganz so aus, als ob das mit wenig Aufwand erreicht wird. Das muss aber nicht den Tatsachen entsprechen, denn Fachkräftemangel und zu kleine Teams führen schnell zu Überlastung und alltägliche Aufgaben wie das Patchen von Systemen, das Einspielen von Updates oder Konfigurieren von Firewalls kann zur Herkulesaufgabe anwachsen. Kommen dann noch ungeplante Aufträge hinzu wie beispielsweise das Einrichten eines neuen Computers oder das Wiederherstellen einer Datei, kommen Administratoren schnell an ihre Grenzen. Und wenn etwas schlecht läuft, bemerken es alle.
„Hier sind Vorgesetzte und Manager gefragt, auf die Details zu achten und die Burn-out Gefahr für Mitarbeiter zu bannen“, sagt Sebastian Schmerl. „Die Digitalisierung hat alle Geschäftsprozesse abhängig von IT gemacht und damit entsteht automatisch Druck bei den IT-Verantwortlichen. Hier kann man entgegenwirken, indem das Unternehmen prüft, ob nicht zu viele Meetings und Reports gefordert werden. Oft ist weniger mehr. Zudem kann die Firma identifizieren, welche Stressaspekte auf Tagesbasis entstehen und proaktiv daran arbeiten, die jeweiligen Teams zu unterstützen.“
Darüber hinaus ist ein nicht zu vernachlässigender Aspekt der eines guten Arbeitsumfelds, so Schmerl. Dazu gehören ein vollumfänglich ergonomischer Arbeitsplatz und moderner Arbeitsschutz für PC-Arbeitsplätze. Hierzu zählen zum Beispiel ein guter Monitor, das Verhindern von Blendeffekten, adaptives Raumlicht oder Lärmschutz.
Ein weiteres wichtiges Thema ist Mobbing. Gibt es Animositäten zwischen Mitarbeitern und wird dies nicht erkannt, führt das nicht nur zu mentalen Problemen der Betroffenen, sondern auch zu Fehlern in der Arbeit. Die Anfänge sind nicht immer gleich erkennbar, aber die Personalabteilung und die Vorgesetzten sollten deutlich machen, dass dies nicht toleriert wird und Betroffene jederzeit ein offenes Ohr für ihre Belange finden werden.
Jede Art Stress wirkt sich immer auf die körperliche Gesundheit aus. Körpersignale sollten hier nicht als Schwäche gedeutet werden, sondern als Warnzeichen, auf das reagiert werden muss. Manche Firmen offerieren ihren Mitarbeitern und deren Familienangehörigen so genannte Social-Coaching-Berater, die auch bei mentalen Problemen helfen können. Gibt es einen solchen Service nicht im Unternehmen, so sollten Betroffene ein offenes und vertrauliches Gespräch mit dem Vorgesetzten oder der Personalabteilung führen, um eine Problemlösung zu finden oder Unterstützung dafür zu erhalten.
Um den Arbeitsstress zu minimieren, steht Firmen natürlich immer die Option des Outsourcings zur Verfügung. „Wird die Arbeitslast zu viel, sollte das Unternehmen unbedingt über Outsourcing nachdenken, oder zumindest im ersten Schritt Prozessautomatisierungen umsetzen“, betont Dr. Schmerl. „Das Outsourcing an Security-Profis – ebenso wie Automatisierungen – kann Freiräume schaffen und damit den Stress reduzieren sowie die mentale Gesundheit der Angestellten stärken.“
Cyberresilienz als Teil des großen Ganzen
Stress und mentale Probleme können jeden am Arbeitsplatz betreffen, allerdings ist der Security-Bereich seit einiger Zeit besonders in den Fokus geraten. Ein Grund dafür ist die steigende Anzahl an Ransomware-Angriffen. Mittlerweile sollten sich alle Unternehmen darüber im Klaren sein, dass ein Angriff mehr als wahrscheinlich ist und man sich bestmöglich darauf vorbereiten muss. Die Security-Teams sind sich dessen bewusst und geraten automatisch unter erhöhten Druck.
„Gestresste Mitarbeiter benötigen eventuell mehr Pausen und vor allem auch Zuspruch seitens des Managements, das sie in ihrem Tun bestärken sollte.“
Dr. Sebastian Schmerl, Arctic Wolf
Kommt es zu einer Ransomware-Attacke, gerät ein Unternehmen leicht in den Ausnahmezustand und Security- sowie Storage-Administratoren stehen unter dem enormen Druck, Daten so schnelle wie möglich wiederherzustellen und die Auswirkungen der Datenverschlüsselung zu minimieren. Verlangen die Kriminellen eine hohe Summe für den Entschlüsselungscode und drohen mit der Veröffentlichung der gestohlenen Daten, eskaliert die Krisensituation erneut.
Cyberresilienz bedeutet nicht nur leistungsfähige Hard-und Software zu nutzen, sondern auch Mitarbeiter zu haben, die in dieser Situation die Nerven behalten, sich der Response-Pläne bedienen und auf die Problemlösung fokussiert sind. Cyberresilienz stärkt die Widerstandsfähigkeit des gesamten Unternehmens, sollte aber eben auch von anderen Firmenbereichen unterstützt werden, um diesen Effekt zu haben. Resilienz entsteht nicht in einem Einbahnstraßenprozess, sondern durch die sinnvolle Kombination aller Firmenressourcen. Dazu gehört, die Resilienzstrategien der einzelnen Abteilungen untereinander abzustimmen und an der unternehmensweiten Zielstellung auszurichten.
Generell muss das Verständnis in den Geschäftsleitungen vorhanden sein, dass die Mitarbeiter ein kritischer Teil für den Geschäftserfolg darstellen – auf allen Unternehmensebenen. Deswegen sollte mentale Gesundheit ein zentraler Punkt für die Firmenagenda sein, selbst wenn konkrete Fälle vielleicht nicht so häufig auftreten. Im Prinzip ist es ähnlich wie im Security- oder Backup-Bereich: Läuft alles gut, wird es als selbstverständlich hingenommen; kommt es zu einem Zwischenfall, so hat man am besten einen guten Plan B.
Das sollte auch für Mitarbeiter gelten: Wendet sich ein Angestellter mit mentalen Problemen, so sollten diese ernst genommen und vertraulich behandelt werden. Mitarbeiter, die sich der Unterstützung ihres Unternehmens sicher sein können, können eher zu einem „normalen“ Arbeitsalltag zurückkehren und sich motivieren als jene, die stigmatisiert werden.
