M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte
Viele Sicherheitsvorfälle werden nicht durch organisationsfremde Angreifer, sondern durch unsachgemäßes Verhalten eigener Mitarbeiter hervorgerufen. Daher sollte Wert darauf gelegt werden, dass alle Mitarbeiter die für ihren Arbeitsplatz erforderlichen Informationssicherheitskenntnisse haben, Zwischenfälle frühzeitig als solche erkennen können und eigenverantwortlich sinnvolle Maßnahmen bei Sicherheitsproblemen ergreifen können. Eine der wichtigsten Aufgaben des Informationssicherheitsmanagements besteht daher in der Durchführung von Veranstaltungen, um die Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren. Diese sollten unter anderem folgende Themen umfassen:
- die Aufgaben und Ziele der Institution,
- wie die Aufgaben der Institution durch den IT-Einsatz unterstützt werden,
- Gefährdungen und Risiken beim Umgang mit Informationen und durch den IT-Einsatz,
- Werte für die Institution,
- Erläuterung der Grundprinzipien der Informationssicherheit: Vertraulichkeit, Integrität, Verfügbarkeit,
- die Informationssicherheitsrichtlinien des Hauses,
- Ziel und Inhalt des Sicherheitskonzeptes,
- Verpflichtung von Mitarbeitern, System- und Aufgabenverantwortlichen zur Umsetzung des Sicherheitskonzeptes,
- Anpassung des Sicherheitskonzeptes an neue Entwicklungen und Aufgaben.
Alle diese Themen sollen zum besseren Verständnis anhand von Beispielen untermauert werden.
Jeder Mitarbeiter sollte diese Inhalte kennen, sinnvollerweise findet die Sensibilisierung im Rahmen der Einarbeitung statt. Da die Sensibilisierung für Informationssicherheit der wichtigste Garant für die Umsetzung (manchmal lästiger) Sicherheitsmaßnahmen ist, empfiehlt es sich, solche Veranstaltungen für alle Mitarbeiter regelmäßig anzubieten.
Zur Umsetzung von Informationssicherheit bedarf es nicht nur abstrakter Regularien, sondern auch eines praxisorientierten Sicherheitsbewusstseins. Wie sich an vielen konkreten Beispielen - wie den Schadensstatistiken von Elektronik-Versicherern - belegen lässt, resultieren IT-Schäden oft schlicht aus der Unkenntnis elementarer Sicherheitsmaßnahmen. Umgekehrt können Mitarbeiter oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden.
Neben der regelmäßigen Sensibilisierung für grundsätzliche Aspekte der Informationssicherheit müssen die Mitarbeiter auch für die Sicherheitsmaßnahmen sensibilisiert werden, die sie in ihrer täglichen Arbeit zu beachten haben. Dies sollte unter anderem die folgenden Themenschwerpunkte umfassen:
- Angemessener Umgang mit Informationen: Sichere Aufbewahrung von Unterlagen, keine Weitergabe an Unbefugte, Vorsichtsmaßnahmen beim Transport, etc.
- Zutritts- und Zugangsschutz: Verschließen von Büro- und Serverräumen, Sperren der Arbeitsstation auch bei kurzfristiger Abwesenheit (z. B. durch Bildschirmschoner mit Passwortschutz), Clean Desk Policy, Beaufsichtigen von Externen, etc.
- Zugriffsschutz: Umgang mit Passwörtern und anderen Zugriffsmitteln (nicht weitergeben, sicher aufbewahren, etc.), Auswahlregeln für sichere Passwörter, etc.
- Technische Sicherheit: keine Abdeckung von Lüftungsöffnungen durch Akten, Kleider oder ähnliches, Vermeiden gefährlicher "Fallbrücken" durch unsachgemäße Aufstellung von Geräten oder über den Fußboden verlegte Kabel, keine unsachgemäßen Reparaturversuche an der Elektroinstallation, etc.
- Sicherheitsmaßnahmen bei Nutzung von E-Mail und Internet: Sensibilisierung für die fehlende Vertraulichkeit unverschlüsselter E-Mails (wenn sie vorhanden sind, sollte die Nutzung von Verschlüsselungs- und Signaturkomponenten geschult werden), sichere Konfiguration des Internet-Browsers (z. B. Deaktivierung von ActiveX und Java-Script), kein sorgloses Herunterladen ausführbarer Programme wegen möglicher Schadensfunktionen, etc.
- Schad-Software: Erläuterung der Begriffe Viren, Trojanische Pferde, Würmer usw., Surfen im Internet nur bei aktiviertem Virenschutz, Virenprüfung vor dem Öffnen von E-Mail-Anhängen, etc.
- Umgang mit Sicherheitsvorfällen: Woran sind sie zu erkennen, was sollen Mitarbeiter machen, an wen sollen sie sie melden, etc.
- Rechtliche Aspekte: Grundlagen des Datenschutzes, keine Installation unlizenzierter Software, Urheberrecht (z. B. bezüglich der Nutzung von Material aus dem Internet), etc.
Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Aktionsprogramm zur "Informationssicherheit" sollte stets den individuellen Gegebenheiten der Behörde oder des Unternehmens angepasst sein.
Um wirkungsvoll das Bewusstsein für Informationssicherheit zu schärfen und eingeschliffene Verhaltensweisen dauerhaft zu ändern, ist ein fortwährender Lernprozess erforderlich. Sinnvolle kontinuierliche Sensibilisierungsmaßnahmen müssen dabei auf das Arbeitsumfeld und Zielpublikum angepasst sein.
Um die Lerneffekte zu verstärken, ist es empfehlenswert, regelmäßig Aspekte zur Informationssicherheit in den Köpfen der Mitarbeiter zu verankern, z. B. durch E-Mailaktionen, Hinweise im Intranet und Integration von Sicherheitsthemen in internen Veranstaltungen. Andere wirksame Möglichkeiten zur Sensibilisierung für Informationssicherheit sind auch
- die regelmäßige Information über aktuelle Bedrohungen und Schwachstellen, beispielsweise
- des IT-Sicherheitsbeauftragten durch entsprechende Informationsdienste oder
- der Mitarbeiter durch den IT-Sicherheitsbeauftragten.
- der Aufbau eines Kommunikationsforums, um Mitarbeiter zu ermutigen, aktuelle Sicherheitsthemen zu diskutieren, Fragen zu stellen und auch Sicherheitsprobleme vorzubringen.
- die regelmäßige Befragung von Mitarbeitern zu Informationssicherheitsaspekten, wodurch nicht nur der vorhandene Wissenstand ermittelt, sondern dieser auch verbessert werden kann. Außerdem werden dadurch Informationssicherheitsprobleme besser wahrgenommen und Sicherheitsmaßnahmen besser umgesetzt (Beispiel: "Wie oft sichern Sie Ihre Daten?").
- die Durchführung von Simulationsspielen, z. B. über die Auswirkungen von Schwachstellen auf die konkrete Arbeitsumgebung.
- Mitarbeiter-Workshops, um Schwachstellen aufzudecken und passende Sicherheitsmaßnahmen zu finden.
- Einrichtung eines Sicherheitspools im Intranet, wo über aktuelle Informationssicherheitsvorfälle und Lösungsansätze berichtet wird. Hier sollte auch darüber informiert werden, wie sie zuhause ihre IT schützen können. Dies motiviert zusätzlich und reduziert die Sicherheitsprobleme, die über private IT-Nutzung entstehen können.
Programme zur Sensibilisierung für Informationssicherheitsaspekte haben zunächst den generellen Effekt, dass die Beteiligten über die Informationssicherheitsbelange aufgeklärt und dafür aufgeschlossen werden. Damit auch ein Verhaltenswandel eintritt, muss Informationssicherheit auch in das allgemeine Wertebild des Unternehmens bzw. der Behörde eingebunden werden. Das bezüglich Informationssicherheit erwünschte Verhalten muss also genauso bewertet werden wie das zu anderen Zielvorgaben. Seitens der Vorgesetzten muss Interesse daran gezeigt und auch positive oder negative Rückmeldungen (Lob bzw. Tadel) gegeben werden. Die Vorgesetzten sollten außerdem als gute Vorbilder agieren, ebenso wie Administratoren und Support-Mitarbeiter wichtige Multiplikatoren sind. Wenn diese Gruppen die Sicherheitsrichtlinien nicht einhalten oder nicht als wichtig erachten, wird es der Rest der Mitarbeiter auch nicht tun.
Die einzelnen Themen sollten durchgängig mit Beispielen unterlegt werden, die dem Tagesgeschäft der Teilnehmer entnommen oder daran angelehnt sind. Dadurch werden die Inhalte für die Teilnehmer einprägsamer vermittelt und leichter umsetzbar.
Beispiel:
In einem Unternehmen wird zur Verbesserung der E-Mail-Sicherheit ein Produkt zur Verschlüsselung und Signatur von E-Mails eingeführt. Damit diese Mechanismen sinnvoll und kontinuierlich genutzt werden, sollten
- die Mitarbeiter zunächst zu Wirkung und Funktion geschult werden,
- die Vorgesetzten auch intern verschlüsselte und signierte E-Mails senden,
- Reiseabrechnungen per E-Mail abgegeben werden können, aber nur noch elektronisch signiert akzeptiert werden und
- Mitarbeiter seitens der Vorgesetzten angesprochen werden, wenn diese trotzdem noch unverschlüsselte E-Mails verschicken.
Der offene Umgang mit Fragen zur Informationssicherheit muss in der gesamten Institution gelebt werden. Eine vertrauensvolle und offene Kommunikationskultur ist wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen werden. Dazu gehört auch, dass die Mitarbeiter über organisationsinterne Informationssicherheitsvorkommnisse informiert werden und was diese für ihren Arbeitsplatz bedeuten. Dies sollte zeitnah erfolgen und nicht erst, wenn diese öffentlich bekannt geworden sind.
Materialien zur Informationssicherheit
Zur Sensibilisierung können auch attraktive Werbematerialen bzw. -aktionen beitragen. Hierzu gehören zielgerichtete Mitteilungen und Slogans zur Informationssicherheit. Damit sie lange im Blickfeld der Mitarbeiter verbleiben, können kurze Informationssicherheitshinweise beispielsweise auf Kalendern, Kaffeetassen, Merkzetteln, Frisbees, Mousepads oder Screensavern untergebracht werden.
Über Plakate können Botschaften ebenfalls effektiv vermittelt werden. Diese sollten an auffälligen Stellen aufgehängt werden, z. B. in der Kantine, im Aufzug und in Besprechungsräumen, und regelmäßig gewechselt werden. Poster zu Informationssicherheitsthemen gibt es beispielsweise von diversen Herstellern von Sicherheitsprodukten und Werbemittelherstellern.
Merksprüche zur Informationssicherheit sollten einfach und einprägsam sein und können (je nach Organisationskultur) auch lustig sein, beispielsweise
- Die Sicherung ist null und nichtig, nimmt man das Passwort nicht so wichtig!
- Viel Ärger hat sich der erspart, der heikle Dinge gut verwahrt!
- Verzichte auf den Mailversand, ist der Inhalt sehr pikant!
- Fremder Zugriff wird erschwert, bleibt der Zugang stets verwehrt!
Daneben sollten Mitarbeiter auf aktuelle Informationen zur Informationssicherheit wie Fachzeitschriften zugreifen können.
Bei allen Aktivitäten zur Sensibilisierung der Mitarbeiter für Informationssicherheit dürfen auch die Personen nicht vergessen werden, die keinen direkten IT-Zugang haben, wie Reinigungskräfte oder Hausarbeiter.
Auch bei diesen kann eine angemessene Aufklärung über Sicherheitsvorgaben helfen, Schäden zu vermeiden.
Prüffragen:
- Werden vom Informationssicherheitsmanagement regelmäßig Veranstaltungen durchgeführt, um die Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren?
- Werden Mitarbeiter für die Sicherheitsmaßnahmen sensibilisiert, die sie in ihrer täglichen Arbeit zu beachten haben?
- Werden Mitarbeiter zeitnah über organisationsinterne Informationssicherheitsvorkommnisse informiert und was diese für ihren Arbeitsplatz bedeuten?
- Können Mitarbeiter auf aktuelle Informationen zur Informationssicherheit wie Fachzeitschriften zugreifen?