computerwoche.de

Archiv

Security Awareness

Sicherheitsgefahr vom Kollegen Sorglos

17.11.2009
Von Udo Adlmanninger

Die drei Dimensionen des Programms

Um ein Awareness-Programm zum nachhaltigen Erfolg zu führen, sollten die richtigen Inhalte in definierten Zielgruppen und mit angemessenen Lernmethoden vermittelt werden.
Um ein Awareness-Programm zum nachhaltigen Erfolg zu führen, sollten die richtigen Inhalte in definierten Zielgruppen und mit angemessenen Lernmethoden vermittelt werden.

Neben den drei Phasen gibt es in einem Security-Schulungs- und Awareness-Programm auch drei Dimensionen :

Die Definition der Zielgruppen: Wie lassen sich die Mitarbeiter sinnvoll in Gruppen einteilen?

Ziel ist es, jeder Gruppe genau die Informationen zu vermitteln, die sie für die tägliche Arbeit benötigt. Wie lassen sich aber die Gruppen finden? Einerseits gibt es Gruppen, die sich aufgrund ihrer speziellen Tätigkeiten anbieten. Dazu zählen etwa Führungskräfte, da diese auf ihre Mitarbeiter einwirken können, etwa indem sie Sicherheit als Zielvorgabe in den Mitarbeitergesprächen definieren. Auch Administratoren gehören in diese Gruppe, da sie besonders hohe Sicherheitsanforderungen erfüllen müssen (zum Beispiel bei der Vergabe von Berechtigungen). Andererseits ist es sinnvoll, sicherheitsaffine Multiplikatoren zu finden, die wiederum andere Mitarbeiter schulen. Das können Projektleiter sein, die Sicherheit im Rahmen ihrer Projekte und damit die Projektmitglieder beeinflussen. Es kann aber auch sinnvoll sein, Auszubildende in die Awareness-Kampagnen einzubinden, denn die jeweiligen Altersgruppen müssen unterschiedlich angesprochen werden. Auszubildende sind in solchen Projekten oft sehr motiviert und entwickeln gute Ideen.

Die Definition der Lerninhalte: Welche Themen sollen grundsätzlich vermittelt werden?

Prinzipiell können sich die Schulungsthemen an den internen Richtlinien orientieren. Diese sind in der Regel themen- oder zielgruppenorientiert geschnitten und bieten sich deshalb an. Dabei sollte ein Grundgerüst gebaut werden, das zu allen Mitarbeitern im Unternehmen passt. Es wird ergänzt durch Module, die eine Vertiefung für spezielle Zielgruppen ermöglichen. Die Informationen für alle Mitarbeiter lassen sich relativ knapp halten und sind normalerweise im Rahmen eines illustrierten Heftes zusammengefasst, das die wichtigsten Grundregeln für die Informationssicherheit enthält. Im Vordergrund stehen die Themen Umgang mit Informationen, Benutzernamen und Passwörtern, Schreibtisch- und Arbeitsplatzumgebung, Telefon, Rechner und mobile Endgeräte, physische Sicherheit, Internet und Viren. Sehr wichtig ist es, darauf hinzuweisen, was bei Sicherheitsvorfällen zu tun und wer zu benachrichtigen ist.

Die Definition der Methoden: Wie werden die Themen den einzelnen Zielgruppen vermittelt?

Hier müssen einzelne Lerntypen unterschieden werden. Dabei gibt es vier unterschiedliche Ansätze (siehe Lernstile nach Kolb auf Wikipedia), wobei ein Mensch normalerweise keinem Typen in Reinform entspricht und innerhalb einer Zielgruppe wahrscheinlich alle Typen vertreten sind. Hintergrund ist die Erfahrungssammlung und die Erfahrungsverarbeitung der Mitarbeiter. Menschen sammeln Erfahrungen entweder über einen abstrakten Weg (zum Beispiel Lesen) oder über konkrete Erfahrungen. Verarbeitet werden diese Erfahrungen entweder über aktives Experimentieren oder über Beobachtung.

Ausgehend von diesen Prämissen ist es wichtig, Methoden zu definieren, die möglichst alle Typen ansprechen. Dabei müssen aktive Methoden (der Mitarbeiter wird selbst aktiv) und passive Methoden (dem Mitarbeiter werden Inhalte vermittelt) kombiniert werden. Erfahrungsgemäß werden Mitarbeiter eher von aktiven Methoden angesprochen und zu einer Verhaltensänderung angehalten. Ein zweiter wichtiger Punkt ist es, Methoden zu verwenden, die ein Feedback ermöglichen. Auch zeigen Verfahren bessere Wirkung, die den Mitarbeiter herausfordern. Das bietet zudem den Vorteil, dass Missverständnisse sofort ausgeräumt werden können.

Fazit: Security-Awareness ist ein Prozess:

Wichtig für ein Security-Awareness-Programm ist neben der Unterstützung der Unternehmensleitung vor allem die Auswahl der richtigen Methoden, mit denen den Anwendern das Wissen vermittelt werden soll. Die Methoden müssen zur Kultur des Unternehmens und zu den Mitarbeitern passen. Ein falsches Vorgehen kann dazu führen, dass die Mitarbeiter das Vorhaben nicht ernst nehmen. Außerdem ist ein Security-Awareness-Programm ein dauerhafter Prozess, Einzelaktionen ändern das Verhalten bestenfalls kurzfristig. Langfristiges Ziel muss es sein, die Informationssicherheit in die Kultur des Unternehmens zu integrieren. (jha)

Auf der folgenden Seite finden Sie eine Tabelle mit den Vor- und Nachteilen der unterschiedlichen Lernmethoden.