M 3.47 Durchführung von Planspielen zur Informationssicherheit
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter
Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter
Sicherheitsschulungen werden häufig als trocken empfunden. Dadurch wird häufig nicht der gewünschte Lerneffekt erreicht. Ein Rollenspiel bleibt bei den Teilnehmern länger und prägnanter in Erinnerung als auf Folien präsentiertes Material. Plan- oder Rollenspiele können helfen, die Bedrohungen deutlicher zu machen und typische Schwachstellen, aber auch Lösungsmöglichkeiten in der eigenen Arbeitsumgebung aufzuzeigen.
Planspiele können aus praktischen Beispielen, z. B. anhand aktueller Vorfälle aus den Medien, zusammengestellt werden oder bei Schulungsdienstleistern in Auftrag gegeben werden. Dabei sollten die Inhalte der Planspiele möglichst auf die eigene Institution angepasst werden. Dadurch können sich die Mitarbeiter besser mit den aufgezeigten Lösungen identifizieren. Durch die Simulation z. B. von Sicherheitsvorfällen, die geschäftskritische Prozesse beeinträchtigen können, sind die Mitarbeiter außerdem bei einem Ernstfall bestens vorbereitet.
Genau wie bei Schulungen ist die zielgruppengerechte Planung von Inhalten auch hier sehr wichtig. Die Teilnehmer sollen die Relevanz der Rollenspiele erkennen können und in ihrem Arbeitsumfeld unmittelbar davon profitieren können.
Bei allen Bemühungen, die Benutzer auf die Bedeutung von Informationssicherheit aufmerksam zu machen, sollte eine positive und konstruktive Grundstimmung bewahrt werden. Angst vor Sicherheitsvorfällen kann einerseits zur Verdrängung von Sicherheitsproblemen und andererseits zu Panikreaktionen verleiten.
Beispiel:
Die Mitarbeiter einer Fluggesellschaft haben den Ausfall ihres Check-In Programms simuliert und Alternativlösungen getestet. Einige Monate später ereignete sich ein Vorfall, der die Verfügbarkeit der Flugzeuge stark einschränkte und damit auch die Abfertigung beeinträchtigte. Obwohl es sich nicht um den gleichen Notfall handelte, waren die Mitarbeiter auf die Notfallbehandlung gut vorbereitet und konnten viel effizienter reagieren als die Mitarbeiter der Konkurrenz, die keine vergleichbaren Notfälle geübt hatten.
Prüffragen:
- Werden bei den Schulungen zur Informationssicherheit auch zielgruppengerechte Plan- und Rollenspiele durchgeführt?