Angefangen vom klassischen Perimeterschutz bis zum Informationssicherheitsmanagementsystem (ISMS) mit Richtlinien und Sicherheitsprozessen. Trotzdem hat die Zahl der Sicherheitsvorfälle, die in der Presse erscheinen, im Laufe des letzten Jahres stark zugenommen. Das liegt zum einen am Interesse der Öffentlichkeit und der Einzelpersonen, die natürlich wissen möchten, was mit ihren persönlichen Daten, wie Patientendaten oder Kreditkartendaten geschieht, andererseits aber gerade an den Menschen, die mit diesen Informationen täglich umgehen und unabsichtlich sensible Informationen veröffentlichen.

Es bleibt also neben bereits eingesetzten Sicherheitsmaßnahmen die Aufgabe, allen Beteiligten  klar zu machen, dass die Informationssicherheit wichtig ist und welchen Beitrag sie, als Person, in ihrer Rolle leisten können. Ziel muss dabei eine Sicherheitskultur sein, die Einzug in alle relevanten Prozesse des Unternehmens findet. Als Ausdrucksform der Kultur sind dabei die Kommunikation, das Verhalten der Führungskräfte und Mitarbeiter, die Strukturen (Organisationsform und Führungsinstrumente) und soziale Ereignisse (Veranstaltungen neben der täglichen Arbeit) gemeint.

Wie kann man eine solche Sicherheitskultur schaffen und wie kann Nachhaltigkeit generiert werden?

Zuerst muss klar definiert werden, welche Ziele verfolgt werden und was die Motivation eines Schulungs- und Awarenessprogrammes ist. Dabei folgt ein solches Schulungs- und Awarenessprogramm zum Thema IT-Sicherheit prinzipiell 3 Phasen.

Zu Beginn muss die Aufmerksamkeit der Mitarbeiter gewonnen werden und eine Motivation durch die Unternehmensleitung erfolgen. In der Phase 2 geht es um die eigentliche Wissensvermittlung, also darum, was sollen die Mitarbeiter in ihrer täglichen Arbeit beachten. In der letzten Phase geht es darum vermitteltes Wissen in die täglichen Aufgaben zu integrieren. Sicherheit darf kein Anhängsel sein, sondern integraler Bestandteil der Aufgaben.

Kern eines Security Schulungs- und Awarenessprogrammes sind folgende 3 Dimensionen:

Die Definition der Zielgruppen: Wie können die einzelnen Mitarbeiter des Unternehmens in Gruppen zugeordnet werden?

Ziel ist es jeder Gruppe genau die Informationen zu vermitteln, die sie für die tägliche Arbeit benötigt. Wie lassen sich aber die Gruppen finden? Einerseits gibt es Gruppen, die sich aufgrund ihrer speziellen Tätigkeiten anbieten, wie z.B. Führungskräfte, da diese auf ihre Mitarbeiter auch zum Thema Sicherheit einwirken (Sicherheit als Zielvorgabe in den Mitarbeiter-Gesprächen) können oder Administratoren, da diese neben den allgemeinen Sicherheitsanforderungen für alle Mitarbeiter noch höhere Anforderungen erfüllen müssen (z.B. bei der Vergabe von Berechtigungen). Andererseits ist es sinnvoll, Multiplikatoren zu finden, die wiederum andere Mitarbeiter schulen. Multiplikatoren können spezielle Personen sein, die sicherheitsaffin sind, z.B. Projektleiter, die Sicherheit im Rahmen ihrer Projekte adressieren und damit die Projektmitglieder beeinflussen, oder Auszubildende, die dafür gewonnen werden können, insbesondere Awarenesskampagnen zu gestalten. Dies ist sinnvoll, da unterschiedliche Altersgruppen auch unterschiedlich angesprochen werden müssen. Auszubildende werden bei solchen Projekten sehr motiviert und entwickeln daher sehr gute Ideen.

Die Definition der Lerninhalte: Welche Themen sollen grundsätzlich vermittelt werden?

Prinzipiell können sich die Schulungsthemen an den internen Richtlinien orientieren. Diese sind in der Regel themen- oder zielgruppenorientiert geschnitten und bieten sich deshalb an. Dabei sollte ein Grundgerüst gebaut werden, das für alle Mitarbeiter im Unternehmen passt und zusätzliche Module, die eine Vertiefung für spezielle Zielgruppen ermöglicht. Die Informationen für alle Mitarbeiter lassen sich relativ knapp halten und sind normalerweise im Rahmen eines illustrierten Heftes zusammengefasst. Die Inhalte dieses Heftes sind die wichtigsten Grundregeln für die Informationssicherheit, dabei stehen die Themen richtiger Umgang mit Informationen, Benutzernamen und Passwörtern, Schreibtisch- und Arbeitsplatzumgebung, Telefon, Rechner und mobile Endgeräte, physische Sicherheit, Internet und Viren im Fokus. Sehr wichtig ist es, darauf hinzuweisen, was bei Sicherheitsvorfällen zu tun ist und wer zu benachrichtigen ist. Denn nur die richtige Verhaltensweise bei einem Vorfall kann eine schnelle und korrekte Reaktion der Verantwortlichen bewirken.

• Verwandte Themen
• Outsourcing und Informationssicherheit