M 3.5 Schulung zu IT-Sicherheitsmaßnahmen
Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement
Wie sich an vielen konkreten Beispielen wie den Schadensstatistiken von Elektronik-Versicherern belegen lässt, resultieren IT-Schäden oft schlicht aus der Unkenntnis elementarer Sicherheitsmaßnahmen. Um dies zu verhindern, ist jeder einzelne Mitarbeiter zum sorgfältigen Umgang mit der IT zu schulen und zu motivieren. Nur durch die Vermittlung der notwendigen Kenntnisse kann ein Verständnis für die erforderlichen IT-Sicherheitsmaßnahmen geweckt werden.
Im Folgenden werden die Kernthemen, die bei einer Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden sollten, vorgestellt. Eine ausführliche und zielgruppengerichtete Beschreibung von Schulungsinhalten findet sich in M 3.45 Planung von Schulungsinhalten zur IT-Sicherheit.
-
Die mitarbeiterbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die in einem IT-Sicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen sind. Dieser Teil der Schulungsmaßnahmen hat eine große Bedeutung, da viele IT-Sicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können. -
Die produktbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die inhärent mit einem Softwareprodukt verbunden sind und häufig bereits im Lieferumfang enthalten sind. Dies können neben Passwörtern zur Anmeldung, der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten zur Verschlüsselung von Dokumenten oder Datenfeldern sein. So können beispielsweise Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien den Aufwand zu Datensicherung deutlich reduzieren. -
Das Verhalten bei Auftreten eines Computer-Virus
Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren umzugehen ist. Mögliche Inhalte dieser Schulung sind (siehe M 6.23 Verhaltensregeln bei Auftreten eines Computer-Virus):- Erkennen des Computer-Virusbefalls
- Wirkungsweise und Arten von Computer-Viren
- Sofortmaßnahmen im Verdachtsfall
- Maßnahmen zur Eliminierung des Computer-Virus
- Vorbeugende Maßnahmen
- Der richtige Einsatz von Passwörtern
Hierbei sollen die Bedeutung des Passwortes für die IT-Sicherheit sowie die Randbedingungen erläutert werden, die einen wirksamen Einsatz eines Passwortes erst ermöglichen (siehe auch M 2.11 Regelung des Passwortgebrauchs). -
Die Bedeutung der Datensicherung und deren Durchführung
Die regelmäßige Datensicherung ist eine der wichtigsten IT-Sicherheitsmaßnahmen in jedem IT-Verbund. Vermittelt werden soll das Datensicherungskonzept (siehe Baustein B 1.4 Datensicherungskonzept) der Behörde bzw. des Unternehmens und die von jedem einzelnen durchzuführenden Datensicherungsaufgaben. Besonders wichtig ist dies für solche Bereiche, in denen Benutzer selbst die Datensicherungen durchführen müssen. -
Der Umgang mit personenbezogenen Daten
An den Umgang mit personenbezogenen Daten sind besondere Anforderungen zu stellen. Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. Dies betrifft beispielsweise den Umgang mit Auskunftsersuchen, Änderungs- und Verbesserungswünschen der Betroffenen, gesetzlich vorgeschriebene Fristen zur Datenlöschung, Schutz der Vertraulichkeit und die Übermittlung der Daten. -
Die Einweisung in Notfallmaßnahmen
Sämtliche Mitarbeiter (auch nicht unmittelbar mit IT befasste Personen, wie Pförtner oder Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. Dazu gehört die Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer, der Umgang mit Feuerlöschern, das Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist) und der Umgang mit dem Notfall-Handbuch. -
Vorbeugung gegen Social Engineering
Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die typischen Muster solcher Versuche, über gezieltes Aushorchen an vertrauliche Informationen zu gelangen, ebenso wie die Methoden, sich dagegen zu schützen, sollten erläutert werden. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht, sollten Mitarbeiter regelmäßig darauf hingewiesen werden, die Identität von Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben. -
Sensibilisierung für IT-Sicherheit
Jeder Mitarbeiter ist auf die Bedeutung von IT-Sicherheit hinzuweisen. Ein geeigneter Einstieg in die Sensibilisierung ist es beispielsweise, die Abhängigkeit der Behörde bzw. des Unternehmens und damit der Arbeitsplätze von dem reibungslosen Funktionieren der IT-Systeme aufzuzeigen. Darüber hinaus ist der Wert von Informationen herauszuarbeiten, insbesondere unter den Gesichtspunkten Vertraulichkeit, Integrität und Verfügbarkeit. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen.
Bei der Durchführung von Schulungen sollte immer beachtet werden, dass es nicht reicht, einen Mitarbeiter einmal während seines gesamten Arbeitsverhältnisses zu schulen. Für nahezu alle Formen von Schulungen - insbesondere Front-Desk-Schulungen - gilt, dass sehr viele neue Informationen auf die Teilnehmer einstürzen. Diese gelangen nur zu einem kleinen Teil ins Langzeitgedächtnis, 80% sind meist schon bei Schulungsende wieder vergessen.
Daher sollten Mitarbeiter immer wieder zu Themen der IT-Sicherheit geschult bzw. sensibilisiert werden. Dies kann beispielsweise
- in kürzeren Veranstaltungen zu aktuellen IT-Sicherheitsthemen,
- im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen, oder
- durch interaktive Schulungsprogramme, die allen Mitarbeitern zur Verfügung stehen,
erfolgen.
Ergänzende Kontrollfragen:
- Zu welchen Themen zu IT-Sicherheitsmaßnahmen wurde schon geschult?
- Werden neue Mitarbeiter in die IT-Sicherheitsmaßnahmen eingewiesen?
- Welche Schulungsmaßnahmen werden in welchen Intervallen angeboten?
- Decken die Inhalte der Schulungsmaßnahmen die erforderlichen Gebiete ab?