M 3.83 Analyse sicherheitsrelevanter personeller Faktoren

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Zu den wichtigsten Grundpfeilern der Informationssicherheit in einer Institution gehören deren Mitarbeiter. Wie die Erfahrung zeigt, sind selbst die aufwendigsten technischen Sicherheitsvorkehrungen ohne das richtige Verhalten der Mitarbeiter wertlos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden Informationen der Institution sind dafür wesentlich.

Die für die Institution ausgewählten Sicherheitsmaßnahmen sollten sich daher immer an den Mitarbeitern orientieren. Dabei sollte deren Wissen und Umgang mit Informationen und IT einbezogen werden. Daher ist es sinnvoll, die verschiedenen Faktoren zu analysieren, die dazu beitragen, wie sich Mitarbeiter aus Sicherheitssicht verhalten. Darauf aufbauend kann dann untersucht werden, wo die personelle und organisatorische Sicherheit noch verbessert werden kann, beispielsweise durch Sensibilisierung und Schulung zur Informationssicherheit.

Folgende Aspekte sollten durchleuchtet werden:

Sicherheitskultur

Der Begriff Sicherheitskultur umfasst die sicherheitsbezogenen Einstellungen, Werte und grundlegenden Überzeugungen einer Institution und aller ihrer Mitarbeiter. Zur Sicherheitskultur gehört auch, wie offen der Umgang mit Fragen zur Informationssicherheit in der Institution gelebt wird. So ist für die effektive und effiziente Behandlung von Sicherheitsvorfällen eine vertrauensvolle und offene Kommunikationskultur wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und lösungsorientiert angegangen werden.

Stark beeinflusst wird die Sicherheitskultur einer Institution davon, in welcher Branche sie tätig ist. In Hochsicherheitsbereichen wird naturgemäß weniger offen mit Informationen umgegangen als in Forschungseinrichtungen.

Wissen und Können

Sicherheitsrichtlinien

Anwendungen und IT

Leitungsebene

Kulturelle Hintergründe

Veränderungen

Sollte sich bei der Analyse herausstellen, dass sich Mitarbeiter anders verhalten als es aus Sicherheitssicht sinnvoll ist, gibt es verschiedene Wege, um hiermit umzugehen. Es kann z. B. versucht werden, das Verhalten zu ändern (siehe B 1.13 Sensibilisierung und Schulung zur Informationssicherheit). Andererseits kann es in vielen Fällen einfacher sein, die Sicherheitsvorgaben oder Arbeitsabläufe umzugestalten, da Änderungen von Verhaltensweisen nur langfristig zu erreichen sind.

Prüffragen: