M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

Ein gutes Schulungs- und Sensibilisierungsprogramm zur Informationssicherheit sollte jeden im Unternehmen bzw. in der Behörde einbeziehen. Dabei sollte das Bewusstsein aller Mitarbeiter für Gefährdungen geschärft bzw. geschaffen werden, um Sicherheitsproblemen vorzubeugen und um aus eigenen und externen Sicherheitsproblemen zu lernen.

Für die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen ist unbedingt die Unterstützung des Managements erforderlich, damit der notwendige Nachdruck für alle sichtbar ist und die benötigten Ressourcen zur Verfügung stehen (siehe auch M 3.44 Sensibilisierung des Managements für Informationssicherheit ).

Im Folgenden werden die wichtige Schritte bei der Konzeption eines Schulungs- und Sensibilisierungsprogramms beschrieben.

1. Lernziele definieren (Ableiten aus den Zielen der Informationssicherheit)

Als erstes muss definiert werden, welche Ziele erreicht werden sollen. Wichtig ist vor allem, dass die Sicherheitsziele der jeweiligen Institution hier einfließen. Typische Ziele von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit sind die folgenden:

Außerdem sollten die Erfolgskriterien für die Schulungs- und Sensibilisierungsprogramme skizziert werden, auch wenn diese unbestreitbar nur schwer zu beschreiben oder zu quantifizieren sind.

2. Zielgruppenorientiertes Training und Sensibilisierung

Die Zielgruppe für jede Maßnahme im Bereich Informationssicherheitstraining ist im Voraus zu bestimmen, da IT-Benutzer im Allgemeinen unterschiedliche Bedürfnisse und Vorkenntnisse haben und auch teilweise über verschiedene Methoden anzusprechen sind. Hier sind beispielsweise zu unterscheiden:

Managementebene

Der Erfolg ganzer Sensibilisierungsprogramme hängt oft davon ab, wie gut diese von der Managementebene aufgenommen werden. Daher ist eine gründliche Vorbereitung der Sensibilisierungsmaßnahmen für die Managementebene enorm wichtig.

Diese Zielgruppe hat oft wenig Zeit, daher sollten alle Sensibilisierungsmaßnahmen kurz und prägnant sein.

Mitarbeiter

Die Mitarbeiter sind diejenigen, deren Verhalten die stärksten direkten Auswirkungen auf die tägliche Informationssicherheit innerhalb der Institution hat. Hier ist zu berücksichtigen, dass der Wissenstand über Informationssicherheit und IT sehr unterschiedlich sein kann. Beispielsweise haben Software-Entwickler andere IT-Kenntnisse als Mitarbeiter der Personalverwaltung und benötigen unterschiedliche Inhalte, um zum Thema Informationssicherheit sensibilisiert und geschult zu werden.

Administratoren

Administratoren und Support-Mitarbeiter müssen tiefgehende Fachkenntnisse der von ihnen betreuten IT-Systeme und Anwendungen haben, so dass sie auch in der Lage sind, Sicherheitsprobleme zu erkennen und zu beheben sowie diesen vorzubeugen.

Externe Mitarbeiter

In vielen Fällen werden interne Informationen, Anwendungen und Systeme für Mitarbeiter anderer Institutionen zur Verfügung gestellt. Vertraulichkeitserklärungen bieten ein Mittel, um externe Mitarbeiter zum sicheren Umgang mit der internen Informationstechnik zu verpflichten und zu sensibilisieren.

Das Training zur Informationssicherheit muss in Umfang und Inhalt auf die Bedeutung und Komplexität des IT-Einsatzes bei den jeweiligen Zielgruppen abgestimmt werden. Daher sollten zunächst die Mitarbeiter einer Institution in Zielgruppen eingeteilt werden, für die jeweils passende Sicherheitstrainingsmaßnahmen ausgewählt werden.

3. Lernbedürfnisse identifizieren

Um die Inhalte für die Schulungs- und Sensibilisierungsmaßnahmen zielgerecht festlegen zu können, müssen die Lernbedürfnisse identifiziert werden. Es sollte erörtert werden, wer welche Kenntnisse über Informationssicherheit haben und welche Sicherheitsmaßnahmen beherrschen sollte. Folgende Bereiche sollten auf jeden Fall berücksichtigt werden:

Der Wissensbedarf sollte dabei an den Sicherheitszielen der Behörde oder des Unternehmens ausgerichtet werden.

4. Lerninhalte festlegen

Alle Mitarbeiter sollten alle internen Leitlinien, Regelungen und Verfahren zur Informationssicherheit kennen, die für ihren Arbeitsplatz relevant sind. Sie sollten nicht nur auf deren Existenz hingewiesen werden, sondern auch deren Inhalte, Hintergründe und Einflüsse auf die Arbeitsumgebung kennen. Dafür ist natürlich auch wichtig, dass es nicht zu viele Vorgaben, Regeln und Dokumente zur Informationssicherheit gibt. Das Regelwerk sollte einfach und überschaubar gehalten werden.

Damit das Einhalten der Informationssicherheitsvorgaben während des täglichen Betriebes nicht als Hürde empfunden wird, muss dieses vorher ausreichend geübt werden. Anderenfalls wird aufgrund von Termindruck möglicherweise auf die Informationssicherheitsvorkehrungen erst einmal verzichtet. So geraten sie langfristig in Vergessenheit.

Die Schulungsmaßnahmen zur Informationssicherheit müssen in enger Abstimmung mit den sonstigen Schulungsmaßnahmen der Institution, vor allem mit den IT-Schulungen erstellt werden. Dabei sollte überlegt werden, inwieweit es möglich ist, Schulungsthemen zur Informationssicherheit in letztere zu integrieren. Eine solche Einbindung hat den Vorteil, dass Informationssicherheit unmittelbar als Bestandteil des IT-Einsatzes wahrgenommen wird. Dafür müssen allerdings die Dozenten ausreichend qualifiziert sein. Außerdem muss Informationssicherheitsaspekten genügend Platz und Zeit eingeräumt werden. Eine Kurz-Abhandlung des Themas etwa am Freitag zwischen 13 und 14 Uhr genügt nicht.

5. Methoden und Medien auswählen

Zunächst muss geklärt werden, ob die Sensibilisierung und Ausbildung zu Sicherheitsfragen durch eigene Mitarbeiter oder Externe durchgeführt werden soll und in welcher Form die Ausbildung erfolgen soll (siehe auch M 3.48 Auswahl von Trainern oder Schulungsanbietern ). Typische Varianten sind folgende:

Alle bereits im Unternehmen oder in der Behörde vorhandenen Schulungsprogramme und -materialien sollten darauf untersucht werden, ob sie sich als erfolgreich erwiesen haben und als Vorbild übernommen werden können und ob Sicherheitsthemen in andere Programme integriert werden können.

Für Sensibilisierungsprogramme sollten kreative und phantasiereiche pädagogische Materialien gewählt werden, die zum verantwortungsbewussten Umgang mit geschäftsrelevanten Informationen und IT-Systemen anregen.

Bei der Auswahl von E-Learning-Anwendungen sollte auch berücksichtigt werden, dass diese als Anwendungen selber wieder keine negativen Auswirkungen auf die Informationssicherheit in der eingesetzten IT-Umgebung haben dürfen. Wenn E-Learning-Angebote nicht nur im Intranet, sondern auch über das Internet präsentiert werden sollen, sollte beispielsweise auf aktive Inhalte (Java, Javascript, ActiveX, etc.) verzichtet werden. Wenn dies nicht machbar ist, können sie nur über dedizierte, nicht ins Netz integrierte Internet-PCs abgerufen werden. Grundsätzlich sollten E-Learning-Anwendungen wie jede andere Anwendung auch vor ihrem Einsatz getestet und nur freigegeben werden, wenn keine Sicherheitsbedenken bestehen.

6. Durchführung

Alle Ausbildungsangebote sollten auf die vorliegenden Bedürfnisse abgestimmt sein und modularisierbar sein, so dass jede Zielgruppe ausreichend und in angemessener Tiefe geschult werden kann.

7. Erfolg und Effektivität kontrollieren

Bei allen Maßnahmen zur Schulung und Sensibilisierung für Informationssicherheit muss zum einen sichergestellt werden, dass diese für sich zielgruppengerecht und effektiv waren, zum anderen aber auch, dass alle betroffenen Mitarbeiter erreicht wurden. Dabei dürfen auch Personen nicht vergessen werden, die nur zeitweise bei der Institution oder bei einem Unterauftragnehmer arbeiten. Jede Institution sollte einen Überblick über den Ausbildungsstand ihrer Mitarbeiter haben, beispielsweise über Schulungsnachweise.

Um die Effektivität der Trainingsmaßnahmen nachzuprüfen, können verschiedene Verfahren gewählt werden.

Die klassische Methode ist der Einsatz von Fragebögen, mit denen die Teilnehmer die Qualität der Schulung bewerten können, bzw. über die Gelerntes hinterfragt, Verständnisprobleme aufgezeigt und Bedürfnisse für weitere Schulungen festgestellt werden können.

Wenn regelmäßig externe Anbieter Schulungen für Mitarbeiter durchführen, sollten diese unbedingt auch intern bewertet werden, um Zufriedenheit und Lernerfolge bei diesen Anbietern feststellen zu können.

Eine sichtbare Änderung der Einstellung der Mitarbeiter gegenüber Sicherheitsmaßnahmen, z. B. ob sich Benutzer in Arbeitspausen von IT-Systemen abmelden oder sie Bildschirmschoner zum Zugriffsschutz aktivieren, kann ebenfalls als Maßstab für den Erfolg der Trainingsmaßnahmen verwendet werden. Dies darf allerdings nicht als Überwachung von Mitarbeitern missbraucht werden.

In die Planung von Sicherheitskampagnen sollte auch der Personal- bzw. Betriebsrat rechtzeitig einbezogen werden, da auch typisches Fehlverhalten von Mitarbeitern angesprochen werden muss. Dies sollte aber natürlich nie auf konkrete Einzelfälle innerhalb der eigenen Institution bezogen sein.

8. Wissen regelmäßig aktualisieren

In vielen sich dynamisch entwickelnden Bereichen, wie dem IT-Bereich, verliert einmal erworbenes Wissen rasch an Wert. Neue Anwendungen und IT-Systeme, aber auch neue Bedrohungen, Schwachstellen und mögliche Abwehrmaßnahmen machen eine ständige Auffrischung und Erweiterung des Wissens über Informationssicherheit erforderlich. Das diesbezügliche Schulungsangebot sollte sich daher nicht ausschließlich an neue Mitarbeiter richten, sondern auch für erfahrenere Mitarbeiter in regelmäßigen Abständen Auffrischungs- und Ergänzungskurse vorsehen. Weiterhin ist es vor diesem Hintergrund wichtig, die Schulungskonzepte einer regelmäßigen Aktualisierung zu unterziehen und sie nötigenfalls an neue Gegebenheiten anzupassen (siehe hierzu auch M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ).

Prüffragen: