B 1.13 IT-Sicherheitssensibilisierung und -schulung

Beschreibung
Um IT-Sicherheitsmaßnahmen wirkungsvoll umsetzen zu können, muss in einem Unternehmen bzw. einer Behörde eine IT-Sicherheitskultur aufgebaut und ein IT-Sicherheitsbewußtsein gebildet werden. Alle Mitarbeiter müssen davon überzeugt sein, dass IT-Sicherheit einen wesentlichen Teil des Erfolges der jeweiligen Organisation ausmacht. Dazu muss auch kommuniziert werden, warum bestimmte IT-Sicherheitsmaßnahmen notwendig und sinnvoll sind. Ebenso muss allen Mitarbeitern bekannt sein, was von ihnen im Hinblick auf IT-Sicherheit erwartet wird und wie sie in sicherheitskritischen Situationen reagieren sollten. Dies setzt in vielen Bereichen eine langfristige Verhaltensänderung der Mitarbeiter voraus und kann nur in einem langen und kontinuierlichen Prozess erreicht werden. Einmalige Schulungen oder Sensibilisierungsveranstaltungen reichen hier nicht aus.
Informierte und geschulte Mitarbeiter sind Voraussetzungen dafür, dass eine Behörde oder ein Unternehmen die gesteckten Ziele erreichen kann. Außerdem wird durch Information und Schulung sichergestellt, dass alle Mitarbeiter die Folgen und Auswirkungen ihrer Tätigkeit im beruflichen und privaten Umfeld einschätzen können. Ziel der IT-Sicherheitssensibilisierung ist es, das Bewusstsein der Mitarbeiter für Sicherheitsprobleme zu schärfen. Durch Schulungen zur IT-Sicherheit wird den Mitarbeitern die notwendige Kompetenz zur IT-Sicherheit vermittelt, die sie bei der Ausführung ihrer Fachaufgaben benötigen. Es ist sicherzustellen, dass alle Mitarbeiter die Abläufe kennen und wissen, an wen sie sich wenden müssen, falls Sicherheitsfragen auftreten oder Sicherheitsprobleme gelöst werden müssen.
Damit die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen auch nachhaltig unterstützt wird, ist es wichtig, dass das Management auf die Bedeutung der IT-Sicherheit aufmerksam gemacht wird. Dieser Baustein ist also grundsätzlich für alle zu empfehlen, die für die IT-Sicherheit in einer Institution (egal welcher Größe) verantwortlich sind.
In diesem Baustein wird daher beschrieben, wie ein effektives Schulungs- und Sensibilisierungsprogramm zur IT-Sicherheit aufgebaut und aufrechterhalten werden kann.
Gefährdungslage
Für den IT-Grundschutz werden in diesem Baustein die folgenden typische Gefährdungen betrachtet:
Organisatorische Mängel
- | G 2.2 | Unzureichende Kenntnis über Regelungen |
- | G 2.7 | Unerlaubte Ausübung von Rechten |
- | G 2.102 | Unzureichende Sensibilisierung für IT-Sicherheit |
- | G 2.103 | Unzureichende Schulung der Mitarbeiter |
Menschliche Fehlhandlungen:
- | G 3.1 | Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer |
- | G 3.3 | Nichtbeachtung von IT-Sicherheitsmaßnahmen |
- | G 3.8 | Fehlerhafte Nutzung des IT-Systems |
- | G 3.9 | Fehlerhafte Administration des IT-Systems |
- | G 3.44 | Sorglosigkeit im Umgang mit Informationen |
- | G 3.77 | Mangelhafte Akzeptanz von IT-Sicherheitsmaßnahmen |
Vorsätzliche Handlungen:
- | G 5.2 | Manipulation an Daten oder Software |
- | G 5.9 | Unberechtigte IT-Nutzung |
- | G 5.19 | Missbrauch von Benutzerrechten |
- | G 5.20 | Missbrauch von Administratorrechten |
- | G 5.42 | Social Engineering |
- | G 5.104 | Ausspähen von Informationen |
Maßnahmenempfehlungen
Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.
Um eine umfassende Sensibilisierung für IT-Sicherheitsfragen in einer Institution zu erreichen, sollte ein Programm aufgebaut werden, das unter anderem Schulungen, Trainingsprogramme, Sicherheitskampagnen und andere Aktivitäten beinhalten kann. Damit dieses wirkungsvoll realisiert wird, sind eine Reihe von Schritten zu durchlaufen.
Planung und Konzeption
Die Unterstützung der Leitung ist für den gesamten IT-Sicherheitsprozess notwendig. Dies setzt voraus, dass diese die Bedeutung der IT-Sicherheit hinreichend bekannt ist. In M 3.44 Sensibilisierung des Managements für IT-Sicherheit wird beschrieben, wie dies erreicht werden kann.
Zunächst muss das Schulungs- und Sensibilisierungsprogramm strategisch vorbereitet und geplant werden. Die hierfür notwendigen Schritte sind in der Maßnahme M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur IT-Sicherheit beschrieben und werden durch die daran anschließenden Maßnahmen erläutert. Daher sollte mit der Umsetzung der Maßnahme M 2.312 begonnen werden.
Die Basis jedes Schulungsprogramms sind die Sicherheitsleitlinie und die Sicherheitsrichtlinien, die sowohl übergreifend als auch themenbezogen innerhalb einer Behörde oder eines Unternehmens existieren sollten (siehe M 2.192 Erstellung einer IT-Sicherheitsleitlinie).
Beschaffung
Für die Durchführung von Schulungs- und Sensibilisierungsprogrammen wird internes oder externes Personal benötigt, das die Sensibilisierungs- und Schulungsmaßnahmen vorbereiten und durchführen kann, siehe dazu M 3.48 Auswahl von Trainern oder Schulungsanbietern .
Umsetzung
Für die Durchführung von Schulungs- und Sensibilisierungsmaßnahmen werden diverse Ressourcen benötigt, beispielsweise Personal für Konzeption und Durchführung oder Räumlichkeiten für Schulungen. Besondere Sicherheitsaspekte, die bei der Gestaltung von Schulungsräumen zu beachten sind, finden sich in Baustein B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume .
Schulungsinhalte zur IT-Sicherheit müssen je nach Zielgruppe geeignet ausgewählt werden, siehe M 3.45 Planung von Schulungsinhalten zur IT-Sicherheit .
Betrieb, Kontinuierliche Pflege und Weiterentwicklung
Ein stets unabdingbarer Bestandteil der Schulungen zur IT-Sicherheit ist dabei der Umgang mit IT (siehe M 3.4 Schulung vor Programmnutzung , M 3.11 Schulung des Wartungs- und Administrationspersonals , M 3.26 Einweisung des Personals in den sicheren Umgang mit IT und weitere themenspezifische Maßnahmen).
Bei der Einführung neuer Techniken sollten die Mitarbeiter frühzeitig über diese informiert sowie für Gefahrenpotentiale und Sicherheitsmaßnahmen sensibilisiert werden, damit die neuen Techniken auch ordnungsgemäß eingesetzt werden.
Wie die Organisation die Bildung eines IT-Sicherheitsbewußtseins bei den Mitarbeitern fördern kann, wird in M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit und M 3.47 Durchführung von Planspielen zur IT-Sicherheit beschrieben.
Es sollte zu Sicherheitsfragen auch immer geeignete Ansprechpartner geben, siehe M 3.46 Ansprechpartner zu Sicherheitsfragen.
Nachfolgend wird das Maßnahmenbündel für den Bereich "IT-Sicherheitssensibilisierung und -schulung" vorgestellt. Auf eine Wiederholung von Maßnahmen anderer Bausteine wird hier aus Redundanzgründen verzichtet.
Planung und Konzeption
- | M 2.312 | (A) | Konzeption eines Schulungs- und Sensibilisierungsprogramms zur IT-Sicherheit |
- | M 3.44 | (A) | Sensibilisierung des Managements für IT-Sicherheit |
Beschaffung
- | M 3.48 | (A) | Auswahl von Trainern oder Schulungsanbietern |
Umsetzung
- | M 3.45 | (A) | Planung von Schulungsinhalten zur IT-Sicherheit |
- | M 3.5 | (A) | Schulung zu IT-Sicherheitsmaßnahmen |
- | M 3.46 | (A) | Ansprechpartner zu Sicherheitsfragen |
- | M 3.49 | (B) | Schulung zur Vorgehensweise nach IT-Grundschutz |
Betrieb
- | M 2.198 | (A) | Sensibilisierung der Mitarbeiter für IT-Sicherheit |
- | M 3.4 | (A) | Schulung vor Programmnutzung |
- | M 3.11 | (A) | Schulung des Wartungs- und Administrationspersonals |
- | M 3.26 | (A) | Einweisung des Personals in den sicheren Umgang mit IT |
- | M 3.47 | (Z) | Durchführung von Planspielen zur IT-Sicherheit |