M 3.96 Unterstützung des Managements für Sensibilisierung und Schulung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Behörden-/Unternehmensleitung

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Um Informationssicherheit erfolgreich in einer Institution zu etablieren, sind sensibilisierte und geschulte Mitarbeiter unabdingbar. Ein auf den Bedarf der Institution zugeschnittenes und angemessen ausgestattetes Sensibilisierungs- und Schulungsprogramm ist daher ein wesentlicher Erfolgsfaktor, um die Leitlinien und Maßnahmen zur Informationssicherheit nachhaltig in der Institution zu etablieren und ihre Wirksamkeit zu gewährleisten. Um es umzusetzen, muss das Management selbst sensibilisiert sein (siehe M 3.44 Sensibilisierung des Managements für Informationssicherheit) und das Programm im gesamten Lebenszyklus durch geeignete Maßnahmen aktiv unterstützen:

Initiierung

Bevor ein Sensibilisierungs- und Schulungsprogramm zur Informationssicherheit erarbeitet wird, ist ein expliziter Auftrag des Managements sinnvoll. Dieser ist innerhalb der Institution zu kommunizieren. Dadurch werden die Verantwortlichen für ihre Aufgabe legitimiert und sichtbar unterstützt. Zusätzlich nehmen so die Mitarbeiter das Thema und seine Bedeutung wahr.

Planung

Das Ergebnis der Planung eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit sollte dem Management vorgelegt und von diesem verabschiedet werden. Durch einen konkreten Auftrag zur Umsetzung des Programms kann das Management seine weitere Unterstützung signalisieren und die erforderlichen Ressourcen bereitstellen.

Umsetzung und Etablierung

Während die konzipierten Programme in der Institution eingeführt und etabliert werden, muss sich das Management sichtbar engagieren, da hierdurch die gewünschte positive Aufnahme durch die Mitarbeiter stark beeinflusst wird. Führungskräfte sollten sich aktiv an Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit beteiligen, z. B. durch

So unterstreichen sie, wie wichtig die Maßnahmen für ihren eigenen Bereich sind. Zudem wird das Thema für die Mitarbeiter nachvollziehbar und glaubwürdig. Sie erkennen und akzeptieren, dass eine angemessene Informationssicherheit mehr und mehr zum notwendigen und selbstverständlichen Teil ihres Arbeitsalltages wird.

Erfolgskontrolle und Aktualisierung

Es sollte regelmäßig überprüft werden, ob die etablierten Sensibilisierungs- und Schulungsmaßnahmen noch wirksam sind. Je nach Ergebnis sind die Maßnahmen entsprechend anzupassen. Das muss auch geschehen, wenn sich die Rahmenbedingungen in der Institution verändert haben (siehe dazu auch M 3.83 Analyse sicherheitsrelevanter personeller Faktoren, M 3.94 Messung und Auswertung des Lernerfolgs und M 3.95 Lernstoffsicherung).

Hierzu kann das Management wertvolle Beiträge leisten, z. B.:

Prüffragen: