M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

Viele Sicherheitsvorfälle werden nicht durch organisationsfremde Angreifer, sondern durch unsachgemäßes Verhalten eigener Mitarbeiter hervorgerufen. Daher sollte Wert darauf gelegt werden, dass alle Mitarbeiter die für ihren Arbeitsplatz erforderlichen Informationssicherheitskenntnisse haben, Zwischenfälle frühzeitig als solche erkennen können und eigenverantwortlich sinnvolle Maßnahmen bei Sicherheitsproblemen ergreifen können. Eine der wichtigsten Aufgaben des Informationssicherheitsmanagements besteht daher in der Durchführung von Veranstaltungen, um die Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren. Diese sollten unter anderem folgende Themen umfassen:

Alle diese Themen sollen zum besseren Verständnis anhand von Beispielen untermauert werden.

Jeder Mitarbeiter sollte diese Inhalte kennen, sinnvollerweise findet die Sensibilisierung im Rahmen der Einarbeitung statt. Da die Sensibilisierung für Informationssicherheit der wichtigste Garant für die Umsetzung (manchmal lästiger) Sicherheitsmaßnahmen ist, empfiehlt es sich, solche Veranstaltungen für alle Mitarbeiter regelmäßig anzubieten.

Zur Umsetzung von Informationssicherheit bedarf es nicht nur abstrakter Regularien, sondern auch eines praxisorientierten Sicherheitsbewusstseins. Wie sich an vielen konkreten Beispielen - wie den Schadensstatistiken von Elektronik-Versicherern - belegen lässt, resultieren IT-Schäden oft schlicht aus der Unkenntnis elementarer Sicherheitsmaßnahmen. Umgekehrt können Mitarbeiter oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden.

Neben der regelmäßigen Sensibilisierung für grundsätzliche Aspekte der Informationssicherheit müssen die Mitarbeiter auch für die Sicherheitsmaßnahmen sensibilisiert werden, die sie in ihrer täglichen Arbeit zu beachten haben. Dies sollte unter anderem die folgenden Themenschwerpunkte umfassen:

Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Aktionsprogramm zur "Informationssicherheit" sollte stets den individuellen Gegebenheiten der Behörde oder des Unternehmens angepasst sein.

Um wirkungsvoll das Bewusstsein für Informationssicherheit zu schärfen und eingeschliffene Verhaltensweisen dauerhaft zu ändern, ist ein fortwährender Lernprozess erforderlich. Sinnvolle kontinuierliche Sensibilisierungsmaßnahmen müssen dabei auf das Arbeitsumfeld und Zielpublikum angepasst sein.

Um die Lerneffekte zu verstärken, ist es empfehlenswert, regelmäßig Aspekte zur Informationssicherheit in den Köpfen der Mitarbeiter zu verankern, z. B. durch E-Mailaktionen, Hinweise im Intranet und Integration von Sicherheitsthemen in internen Veranstaltungen. Andere wirksame Möglichkeiten zur Sensibilisierung für Informationssicherheit sind auch

Programme zur Sensibilisierung für Informationssicherheitsaspekte haben zunächst den generellen Effekt, dass die Beteiligten über die Informationssicherheitsbelange aufgeklärt und dafür aufgeschlossen werden. Damit auch ein Verhaltenswandel eintritt, muss Informationssicherheit auch in das allgemeine Wertebild des Unternehmens bzw. der Behörde eingebunden werden. Das bezüglich Informationssicherheit erwünschte Verhalten muss also genauso bewertet werden wie das zu anderen Zielvorgaben. Seitens der Vorgesetzten muss Interesse daran gezeigt und auch positive oder negative Rückmeldungen (Lob bzw. Tadel) gegeben werden. Die Vorgesetzten sollten außerdem als gute Vorbilder agieren, ebenso wie Administratoren und Support-Mitarbeiter wichtige Multiplikatoren sind. Wenn diese Gruppen die Sicherheitsrichtlinien nicht einhalten oder nicht als wichtig erachten, wird es der Rest der Mitarbeiter auch nicht tun.

Die einzelnen Themen sollten durchgängig mit Beispielen unterlegt werden, die dem Tagesgeschäft der Teilnehmer entnommen oder daran angelehnt sind. Dadurch werden die Inhalte für die Teilnehmer einprägsamer vermittelt und leichter umsetzbar.

Beispiel:

In einem Unternehmen wird zur Verbesserung der E-Mail-Sicherheit ein Produkt zur Verschlüsselung und Signatur von E-Mails eingeführt. Damit diese Mechanismen sinnvoll und kontinuierlich genutzt werden, sollten

Der offene Umgang mit Fragen zur Informationssicherheit muss in der gesamten Institution gelebt werden. Eine vertrauensvolle und offene Kommunikationskultur ist wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen werden. Dazu gehört auch, dass die Mitarbeiter über organisationsinterne Informationssicherheitsvorkommnisse informiert werden und was diese für ihren Arbeitsplatz bedeuten. Dies sollte zeitnah erfolgen und nicht erst, wenn diese öffentlich bekannt geworden sind.

Materialien zur Informationssicherheit

Zur Sensibilisierung können auch attraktive Werbematerialen bzw. -aktionen beitragen. Hierzu gehören zielgerichtete Mitteilungen und Slogans zur Informationssicherheit. Damit sie lange im Blickfeld der Mitarbeiter verbleiben, können kurze Informationssicherheitshinweise beispielsweise auf Kalendern, Kaffeetassen, Merkzetteln, Frisbees, Mousepads oder Screensavern untergebracht werden.

Über Plakate können Botschaften ebenfalls effektiv vermittelt werden. Diese sollten an auffälligen Stellen aufgehängt werden, z. B. in der Kantine, im Aufzug und in Besprechungsräumen, und regelmäßig gewechselt werden. Poster zu Informationssicherheitsthemen gibt es beispielsweise von diversen Herstellern von Sicherheitsprodukten und Werbemittelherstellern.

Merksprüche zur Informationssicherheit sollten einfach und einprägsam sein und können (je nach Organisationskultur) auch lustig sein, beispielsweise

Daneben sollten Mitarbeiter auf aktuelle Informationen zur Informationssicherheit wie Fachzeitschriften zugreifen können.

Bei allen Aktivitäten zur Sensibilisierung der Mitarbeiter für Informationssicherheit dürfen auch die Personen nicht vergessen werden, die keinen direkten IT-Zugang haben, wie Reinigungskräfte oder Hausarbeiter.

Auch bei diesen kann eine angemessene Aufklärung über Sicherheitsvorgaben helfen, Schäden zu vermeiden.

Ergänzende Kontrollfragen: