Sicherheitsgefahr vom Kollegen Sorglos

Von: Computerwoche / Udo Adlmanninger, Secaron AG

Die Sicherheitstechnik wurde aufwendig aufgebaut. Doch Security braucht eine Kultur der Verantwortung, die Mitarbeiter verpflichtet.

Unternehmen haben in den letzten Jahren investiert, um ihre kritischen Informationen vor ungewollter Veröffentlichung zu schützen. Dabei wurden technische und organisatorische Lösungen auf breiter Ebene umgesetzt, angefangen vom klassischen Perimeterschutz (Geländeschutz) bis zum Informationssicherheits-Management-System (ISMS) mit Richtlinien und Sicherheitsprozessen. Trotzdem hat die Zahl der Sicherheitsvorfälle, die in der Presse erscheinen, im Lauf des letzten Jahres stark zugenommen (siehe etwa Datenpanne beim Sparkassenverlag). Das liegt zum einen am Interesse der Öffentlichkeit und der Einzelpersonen, die natürlich wissen möchten, was etwa mit ihren Patienten- oder Kreditkartendaten geschieht, andererseits aber gerade an den Menschen, die mit diesen Informationen täglich umgehen und unabsichtlich sensible Informationen veröffentlichen.

Es bleibt also neben bereits laufenden Sicherheitsmaßnahmen die Aufgabe, allen Mitarbeiter zu verdeutlichen, dass die Informationssicherheit wichtig ist und welchen Beitrag sie persönlich leisten können. Ziel muss eine Sicherheitskultur sein, die in alle relevanten Prozesse des Unternehmens eingeht. Ausdrucksform einer solchen Kultur sind die Kommunikation, das Verhalten der Führungskräfte und Mitarbeiter, die Strukturen (Organisationsform und Führungsinstrumente) und soziale Ereignisse (Veranstaltungen neben der täglichen Arbeit).

Sicherheitskultur - aber wie?

Dazu müssen zuerst die Ziele definiert werden. Die zentrale Frage lautet: Was soll das Schulungs- und Awareness-Programm bewirken?

Typischerweise gliedert sich ein solches Programm zum Thema IT-Sicherheit in drei Phasen:

• Zunächst gilt es, die Aufmerksamkeit der Mitarbeiter zu gewinnen. Hilfreich ist, wenn die Unternehmensleitung die Motivation fördert.

• Die Phase zwei soll das eigentliche Wissen vermitteln. Die Mitarbeiter müssen erfahren, was sie in ihrer täglichen Arbeit beachten müssen.

• Abschließend geht es darum, vermitteltes Wissen in die täglichen Aufgaben zu integrieren. Sicherheit muss zum integralen Bestandteil der Arbeit werden (siehe Textkasten "In drei Schritten zu mehr Sicherheit").

 

In drei Schritten zu mehr Sicherheit

Beispiel eines Schulungs- und Awareness-Programms:

Phase eins (Zielbildung, Aufmerksamkeit und Motivation): Wichtig ist, dass die Unternehmensleitung die Kampagne unterstützt. Sie muss sich öffentlich als Vorbild zeigen und das Thema Security Awareness als wichtiges Ziel des Unternehmens adressieren. Idealerweise erfolgt dies im Rahmen einer Kick-off-Veranstaltung für alle Mitarbeiter des Unternehmens. Dabei sollten die Verantwortlichen vorgestellt werden, damit das abstrakte Thema Security Awareness ein Gesicht bekommt. Danach werden die Zielgruppen, die zu vermittelnden Inhalte und die zu verwendenden Methoden definiert.

Phase zwei (Wissensvermittlung): Im Folgenden werden die zuvor definierten Inhalte mit den ausgewählten Methoden den Anwendern in den verschiedenen Zielgruppen vermittelt. Um eine Kontrolle darüber zu haben, ob und wie die Maßnahmen angenommen werden, lässt sich beispielsweise ein Gewinnspiel starten. Es eignet sich als Kontrolle dafür, welche Schwerpunkte bei welchem Nutzerkreisen angekommen sind. Die Auswertung eröffnet die Möglichkeit, Inhalte und Methoden anzupassen.

Phase drei (Verstärkung): Anschließend sollten die Schulungsinhalte vertieft werden, um den langfristigen Nutzen sicherzustellen. Aufhänger können beispielsweise sicherheitsrelevante Vorfälle im Unternehmen und aktuelle Meldungen in der Presse sein. Das Bewusstsein für die Informationssicherheit lässt sich auch mit einem Logo oder Maskottchen verstärken. Sie bewirken eine automatische Assoziation mit dem Thema, ohne dass es einer weiteren Erklärung bedarf.

 

Die drei Dimensionen des Programms

Neben den drei Phasen gibt es in einem Security-Schulungs- und Awareness-Programm auch drei Dimensionen :

Die Definition der Zielgruppen: Wie lassen sich die Mitarbeiter sinnvoll in Gruppen einteilen?

Ziel ist es, jeder Gruppe genau die Informationen zu vermitteln, die sie für die tägliche Arbeit benötigt. Wie lassen sich aber die Gruppen finden? Einerseits gibt es Gruppen, die sich aufgrund ihrer speziellen Tätigkeiten anbieten. Dazu zählen etwa Führungskräfte, da diese auf ihre Mitarbeiter einwirken können, etwa indem sie Sicherheit als Zielvorgabe in den Mitarbeitergesprächen definieren. Auch Administratoren gehören in diese Gruppe, da sie besonders hohe Sicherheitsanforderungen erfüllen müssen (zum Beispiel bei der Vergabe von Berechtigungen). Andererseits ist es sinnvoll, sicherheitsaffine Multiplikatoren zu finden, die wiederum andere Mitarbeiter schulen. Das können Projektleiter sein, die Sicherheit im Rahmen ihrer Projekte und damit die Projektmitglieder beeinflussen. Es kann aber auch sinnvoll sein, Auszubildende in die Awareness-Kampagnen einzubinden, denn die jeweiligen Altersgruppen müssen unterschiedlich angesprochen werden. Auszubildende sind in solchen Projekten oft sehr motiviert und entwickeln gute Ideen.

Die Definition der Lerninhalte: Welche Themen sollen grundsätzlich vermittelt werden?

Prinzipiell können sich die Schulungsthemen an den internen Richtlinien orientieren. Diese sind in der Regel themen- oder zielgruppenorientiert geschnitten und bieten sich deshalb an. Dabei sollte ein Grundgerüst gebaut werden, das zu allen Mitarbeitern im Unternehmen passt. Es wird ergänzt durch Module, die eine Vertiefung für spezielle Zielgruppen ermöglichen. Die Informationen für alle Mitarbeiter lassen sich relativ knapp halten und sind normalerweise im Rahmen eines illustrierten Heftes zusammengefasst, das die wichtigsten Grundregeln für die Informationssicherheit enthält. Im Vordergrund stehen die Themen Umgang mit Informationen, Benutzernamen und Passwörtern, Schreibtisch- und Arbeitsplatzumgebung, Telefon, Rechner und mobile Endgeräte, physische Sicherheit, Internet und Viren. Sehr wichtig ist es, darauf hinzuweisen, was bei Sicherheitsvorfällen zu tun und wer zu benachrichtigen ist.

Die Definition der Methoden: Wie werden die Themen den einzelnen Zielgruppen vermittelt?

Hier müssen einzelne Lerntypen unterschieden werden. Dabei gibt es vier unterschiedliche Ansätze (siehe Lernstile nach Kolb auf Wikipedia), wobei ein Mensch normalerweise keinem Typen in Reinform entspricht und innerhalb einer Zielgruppe wahrscheinlich alle Typen vertreten sind. Hintergrund ist die Erfahrungssammlung und die Erfahrungsverarbeitung der Mitarbeiter. Menschen sammeln Erfahrungen entweder über einen abstrakten Weg (zum Beispiel Lesen) oder über konkrete Erfahrungen. Verarbeitet werden diese Erfahrungen entweder über aktives Experimentieren oder über Beobachtung.

Ausgehend von diesen Prämissen ist es wichtig, Methoden zu definieren, die möglichst alle Typen ansprechen. Dabei müssen aktive Methoden (der Mitarbeiter wird selbst aktiv) und passive Methoden (dem Mitarbeiter werden Inhalte vermittelt) kombiniert werden. Erfahrungsgemäß werden Mitarbeiter eher von aktiven Methoden angesprochen und zu einer Verhaltensänderung angehalten. Ein zweiter wichtiger Punkt ist es, Methoden zu verwenden, die ein Feedback ermöglichen. Auch zeigen Verfahren bessere Wirkung, die den Mitarbeiter herausfordern. Das bietet zudem den Vorteil, dass Missverständnisse sofort ausgeräumt werden können.

Fazit: Security-Awareness ist ein Prozess:

Wichtig für ein Security-Awareness-Programm ist neben der Unterstützung der Unternehmensleitung vor allem die Auswahl der richtigen Methoden, mit denen den Anwendern das Wissen vermittelt werden soll. Die Methoden müssen zur Kultur des Unternehmens und zu den Mitarbeitern passen. Ein falsches Vorgehen kann dazu führen, dass die Mitarbeiter das Vorhaben nicht ernst nehmen. Außerdem ist ein Security-Awareness-Programm ein dauerhafter Prozess, Einzelaktionen ändern das Verhalten bestenfalls kurzfristig. Langfristiges Ziel muss es sein, die Informationssicherheit in die Kultur des Unternehmens zu integrieren. (jha)

Quelle: http://www.computerwoche.de/mittelstand/1908847/

 

---