B 1.13 Sensibilisierung und Schulung zur Informationssicherheit

IT-Sicherheitssensibilisierung und -schulung

Beschreibung

Um Informationssicherheitsmaßnahmen wirkungsvoll umsetzen zu können, muss in einem Unternehmen bzw. einer Behörde eine Sicherheitskultur aufgebaut und ein Sicherheitsbewußtsein gebildet werden. Alle Mitarbeiter müssen davon überzeugt sein, dass Informationssicherheit einen wesentlichen Teil des Erfolges der jeweiligen Organisation ausmacht. Dazu muss auch kommuniziert werden, warum bestimmte Sicherheitsmaßnahmen notwendig und sinnvoll sind. Ebenso muss allen Mitarbeitern bekannt sein, was von ihnen im Hinblick auf Informationssicherheit erwartet wird und wie sie in sicherheitskritischen Situationen reagieren sollten. Dies setzt in vielen Bereichen eine langfristige Verhaltensänderung der Mitarbeiter voraus und kann nur in einem langen und kontinuierlichen Prozess erreicht werden. Einmalige Schulungen oder Sensibilisierungsveranstaltungen reichen hier nicht aus.

Informierte und geschulte Mitarbeiter sind Voraussetzungen dafür, dass eine Behörde oder ein Unternehmen die gesteckten Ziele erreichen kann. Außerdem wird durch Information und Schulung sichergestellt, dass alle Mitarbeiter die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen und privaten Umfeld einschätzen können. Ziel der Sensibilisierung für Informationssicherheit ist es, das Bewusstsein der Mitarbeiter für Sicherheitsprobleme zu schärfen. Durch Schulungen zur Informationssicherheit wird den Mitarbeitern die notwendige Kompetenz zur Informationssicherheit vermittelt, die sie bei der Ausführung ihrer Fachaufgaben benötigen. Es ist sicherzustellen, dass alle Mitarbeiter die Abläufe kennen und wissen, an wen sie sich wenden müssen, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelöst werden müssen.

Damit die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen auch nachhaltig unterstützt wird, ist es wichtig, dass das Management auf die Bedeutung der Informationssicherheit aufmerksam gemacht wird. Dieser Baustein ist also grundsätzlich für alle zu empfehlen, die für die Informationssicherheit in einer Institution (egal welcher Größe) verantwortlich sind.

In diesem Baustein wird daher beschrieben, wie ein effektives Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit aufgebaut und aufrechterhalten werden kann.

Gefährdungslage

Für den IT-Grundschutz werden in diesem Baustein die folgenden typische Gefährdungen betrachtet:

Organisatorische Mängel

- G 2.2 Unzureichende Kenntnis über Regelungen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.102 Unzureichende Sensibilisierung für Informationssicherheit
- G 2.103 Unzureichende Schulung der Mitarbeiter

Menschliche Fehlhandlungen

- G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
- G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
- G 3.8 Fehlerhafte Nutzung von IT-Systemen
- G 3.9 Fehlerhafte Administration von IT-Systemen
- G 3.44 Sorglosigkeit im Umgang mit Informationen
- G 3.77 Mangelhafte Akzeptanz von Informationssicherheit

Vorsätzliche Handlungen

- G 5.2 Manipulation an Informationen oder Software
- G 5.9 Unberechtigte IT-Nutzung
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.42 Social Engineering
- G 5.104 Ausspähen von Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Um eine umfassende Sensibilisierung für Informationssicherheit in einer Institution zu erreichen, sollte ein Programm aufgebaut werden, das unter anderem Schulungen, Trainingsprogramme, Sicherheitskampagnen und andere Aktivitäten beinhalten kann. Damit dieses wirkungsvoll realisiert wird, sind eine Reihe von Schritten zu durchlaufen.

Planung und Konzeption

Die Unterstützung der Leitung ist für den gesamten Sicherheitsprozess notwendig. Dies setzt voraus, dass diese die Bedeutung der Informationssicherheit hinreichend bekannt ist. In M 3.44 Sensibilisierung des Managements für Informationssicherheit wird beschrieben, wie dies erreicht werden kann.

Zunächst muss das Schulungs- und Sensibilisierungsprogramm strategisch vorbereitet und geplant werden. Die hierfür notwendigen Schritte sind in der Maßnahme M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit beschrieben und werden durch die daran anschließenden Maßnahmen erläutert. Daher sollte mit der Umsetzung der Maßnahme M 2.312 begonnen werden.

Die Basis jedes Schulungsprogramms sind die Sicherheitsleitlinie und die Sicherheitsrichtlinien, die sowohl übergreifend als auch themenbezogen innerhalb einer Behörde oder eines Unternehmens existieren sollten (siehe M 2.192 Erstellung einer Leitlinie zur Informationssicherheit).

Beschaffung

Für die Durchführung von Schulungs- und Sensibilisierungsprogrammen wird internes oder externes Personal benötigt, das die Sensibilisierungs- und Schulungsmaßnahmen vorbereiten und durchführen kann, siehe dazu M 3.48 Auswahl von Trainern oder Schulungsanbietern.

Umsetzung

Für die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen werden diverse Ressourcen benötigt, beispielsweise Personal für Konzeption und Durchführung oder Räumlichkeiten für Schulungen. Besondere Sicherheitsaspekte, die bei der Gestaltung von Schulungsräumen zu beachten sind, finden sich in Baustein B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume.

Schulungsinhalte zur Informationssicherheit müssen je nach Zielgruppe geeignet ausgewählt werden, siehe M 3.45 Planung von Schulungsinhalten zur Informationssicherheit.

Betrieb, Kontinuierliche Pflege und Weiterentwicklung

Ein stets unabdingbarer Bestandteil der Schulungen zur Informationssicherheit ist dabei der Umgang mit IT (siehe M 3.4 Schulung vor Programmnutzung, M 3.11 Schulung des Wartungs- und Administrationspersonals, M 3.26 Einweisung des Personals in den sicheren Umgang mit IT und weitere themenspezifische Maßnahmen).

Bei der Einführung neuer Techniken sollten die Mitarbeiter frühzeitig über diese informiert sowie für Gefahrenpotentiale und Sicherheitsmaßnahmen sensibilisiert werden, damit die neuen Techniken auch ordnungsgemäß eingesetzt werden.

Wie die Organisation die Bildung eines IT-Sicherheitsbewußtseins bei den Mitarbeitern fördern kann, wird in M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit und M 3.47 Durchführung von Planspielen zur Informationssicherheit beschrieben.

Es sollte zu Sicherheitsfragen auch immer geeignete Ansprechpartner geben, siehe M 3.46 Ansprechpartner zu Sicherheitsfragen.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Sensibilisierung und Schulung zur Informationssicherheit" vorgestellt. Auf eine Wiederholung von Maßnahmen anderer Bausteine wird hier aus Redundanzgründen verzichtet.

Planung und Konzeption

- M 2.312 (A) Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit
- M 3.44 (A) Sensibilisierung des Managements für Informationssicherheit

Beschaffung

- M 3.48 (Z) Auswahl von Trainern oder Schulungsanbietern

Umsetzung

- M 3.45 (A) Planung von Schulungsinhalten zur Informationssicherheit
- M 3.46 (A) Ansprechpartner zu Sicherheitsfragen
- M 3.49 (B) Schulung zur Vorgehensweise nach IT-Grundschutz

Betrieb

- M 2.198 (A) Sensibilisierung der Mitarbeiter für Informationssicherheit
- M 3.4 (A) Schulung vor Programmnutzung
- M 3.5 (A) Schulung zu Sicherheitsmaßnahmen
- M 3.11 (A) Schulung des Wartungs- und Administrationspersonals
- M 3.26 (A) Einweisung des Personals in den sicheren Umgang mit IT
- M 3.47 (Z) Durchführung von Planspielen zur Informationssicherheit