IT-Security auf Vertrauensbasis

Viele Unternehmen kontrollieren das Verhalten ihrer Mitarbeiter mit umfassenden Monitoring-Werkzeugen. Sicherheitsrichtlinien werden automatisiert durchgesetzt, Verstöße erfasst. Mit seiner internen Sicherheitsstrategie geht der Video-Anbieter Netflix einen ganz anderen Weg.

Netflix lässt seinen Mitarbeitern freie Hand, was eigene Geräte und deren Sicherheit angeht. Zugleich gibt das Unternehmen den Angestellten Werkzeuge und Hilfestellungen, mit deren Hilfe sie ihre eigene IT-Sicherheit am Arbeitsplatz verbessern können. Das Unternehmen vertraut ausdrücklich darauf, dass die Mitarbeiter gut motiviert sind und das Beste im Sinne des Unternehmens anstreben. Netflix hat eine Software entwickelt, die die Angestellten dabei unterstützt: Stethoscope.

Die Software ist auf Github als Open Source frei verfügbar. Jeder kann sie herunterladen, ausprobieren und weiterentwickeln. Das Konzept dahinter nennt Netflix „User Focused Security“, zu Deutsch etwa: Nutzerzentrierte Sicherheit. Netflix geht davon aus, dass die gefährlichsten Angriffe auf das Unternehmen sich zunächst gegen einzelne Benutzer richten. Bevor dem Unternehmen Schaden entsteht, wird erst ein einzelner Mitarbeiter Opfer einer Phishing oder Malware-Attacke. Niemand wird gerne Opfer eines Angriffs, jeder ist also grundsätzlich motiviert, sich zu schätzen. Bei Netflix ist man überzeugt, dass zu viel Kontrolle und Vorschriften die Benutzer nur frustrieren und demotivieren.

Statt dessen will man die Mitarbeiter ermächtigen, selbstbestimmt im Eigeninteresse gegen Angriffe vorzubeugen. Stethoscope sammelt dazu Informationen über den Sicherheitsstatus der Geräte eines Benutzers. Diese Informationen werden bewertet und dem Benutzer zusammen mit konkreten Handlungsempfehlungen präsentiert. Auch das ist ein wichtiger Baustein dieses Konzepts: Keine Fehlermeldung ohne Lösungsvorschlag! Wir finden: Das ist ein interessantes Konzept, das viele der üblichen Strategien gegen den Strich bürstet. Auf jeden Fall bedenkenswert!