Unternehmen haben in den letzten Jahren investiert, um ihre kritischen Informationen vor ungewollter Veröffentlichung zu schützen. Dabei wurden technische und organisatorische Lösungen auf breiter Ebene umgesetzt, angefangen vom klassischen Perimeterschutz (Geländeschutz) bis zum Informationssicherheits-Management-System (ISMS) mit Richtlinien und Sicherheitsprozessen. Trotzdem hat die Zahl der Sicherheitsvorfälle, die in der Presse erscheinen, im Lauf des letzten Jahres stark zugenommen (siehe etwa Datenpanne beim Sparkassenverlag). Das liegt zum einen am Interesse der Öffentlichkeit und der Einzelpersonen, die natürlich wissen möchten, was etwa mit ihren Patienten- oder Kreditkartendaten geschieht, andererseits aber gerade an den Menschen, die mit diesen Informationen täglich umgehen und unabsichtlich sensible Informationen veröffentlichen.

Es bleibt also neben bereits laufenden Sicherheitsmaßnahmen die Aufgabe, allen Mitarbeiter zu verdeutlichen, dass die Informationssicherheit wichtig ist und welchen Beitrag sie persönlich leisten können. Ziel muss eine Sicherheitskultur sein, die in alle relevanten Prozesse des Unternehmens eingeht. Ausdrucksform einer solchen Kultur sind die Kommunikation, das Verhalten der Führungskräfte und Mitarbeiter, die Strukturen (Organisationsform und Führungsinstrumente) und soziale Ereignisse (Veranstaltungen neben der täglichen Arbeit).

Sicherheitskultur - aber wie?

Dazu müssen zuerst die Ziele definiert werden. Die zentrale Frage lautet: Was soll das Schulungs- und Awareness-Programm bewirken?

Typischerweise gliedert sich ein solches Programm zum Thema IT-Sicherheit in drei Phasen:

• Zunächst gilt es, die Aufmerksamkeit der Mitarbeiter zu gewinnen. Hilfreich ist, wenn die Unternehmensleitung die Motivation fördert.

• Die Phase zwei soll das eigentliche Wissen vermitteln. Die Mitarbeiter müssen erfahren, was sie in ihrer täglichen Arbeit beachten müssen.

• Abschließend geht es darum, vermitteltes Wissen in die täglichen Aufgaben zu integrieren. Sicherheit muss zum integralen Bestandteil der Arbeit werden (siehe Textkasten "In drei Schritten zu mehr Sicherheit").

Die drei Dimensionen des Programms

Neben den drei Phasen gibt es in einem Security-Schulungs- und Awareness-Programm auch drei Dimensionen :

Die Definition der Zielgruppen: Wie lassen sich die Mitarbeiter sinnvoll in Gruppen einteilen?

Ziel ist es, jeder Gruppe genau die Informationen zu vermitteln, die sie für die tägliche Arbeit benötigt. Wie lassen sich aber die Gruppen finden? Einerseits gibt es Gruppen, die sich aufgrund ihrer speziellen Tätigkeiten anbieten. Dazu zählen etwa Führungskräfte, da diese auf ihre Mitarbeiter einwirken können, etwa indem sie Sicherheit als Zielvorgabe in den Mitarbeitergesprächen definieren. Auch Administratoren gehören in diese Gruppe, da sie besonders hohe Sicherheitsanforderungen erfüllen müssen (zum Beispiel bei der Vergabe von Berechtigungen). Andererseits ist es sinnvoll, sicherheitsaffine Multiplikatoren zu finden, die wiederum andere Mitarbeiter schulen. Das können Projektleiter sein, die Sicherheit im Rahmen ihrer Projekte und damit die Projektmitglieder beeinflussen. Es kann aber auch sinnvoll sein, Auszubildende in die Awareness-Kampagnen einzubinden, denn die jeweiligen Altersgruppen müssen unterschiedlich angesprochen werden. Auszubildende sind in solchen Projekten oft sehr motiviert und entwickeln gute Ideen.

Die Definition der Lerninhalte: Welche Themen sollen grundsätzlich vermittelt werden?

Prinzipiell können sich die Schulungsthemen an den internen Richtlinien orientieren. Diese sind in der Regel themen- oder zielgruppenorientiert geschnitten und bieten sich deshalb an. Dabei sollte ein Grundgerüst gebaut werden, das zu allen Mitarbeitern im Unternehmen passt. Es wird ergänzt durch Module, die eine Vertiefung für spezielle Zielgruppen ermöglichen. Die Informationen für alle Mitarbeiter lassen sich relativ knapp halten und sind normalerweise im Rahmen eines illustrierten Heftes zusammengefasst, das die wichtigsten Grundregeln für die Informationssicherheit enthält. Im Vordergrund stehen die Themen Umgang mit Informationen, Benutzernamen und Passwörtern, Schreibtisch- und Arbeitsplatzumgebung, Telefon, Rechner und mobile Endgeräte, physische Sicherheit, Internet und Viren. Sehr wichtig ist es, darauf hinzuweisen, was bei Sicherheitsvorfällen zu tun und wer zu benachrichtigen ist.

Die Definition der Methoden: Wie werden die Themen den einzelnen Zielgruppen vermittelt?

Hier müssen einzelne Lerntypen unterschieden werden. Dabei gibt es vier unterschiedliche Ansätze (siehe Lernstile nach Kolb auf Wikipedia), wobei ein Mensch normalerweise keinem Typen in Reinform entspricht und innerhalb einer Zielgruppe wahrscheinlich alle Typen vertreten sind. Hintergrund ist die Erfahrungssammlung und die Erfahrungsverarbeitung der Mitarbeiter. Menschen sammeln Erfahrungen entweder über einen abstrakten Weg (zum Beispiel Lesen) oder über konkrete Erfahrungen. Verarbeitet werden diese Erfahrungen entweder über aktives Experimentieren oder über Beobachtung.

Ausgehend von diesen Prämissen ist es wichtig, Methoden zu definieren, die möglichst alle Typen ansprechen. Dabei müssen aktive Methoden (der Mitarbeiter wird selbst aktiv) und passive Methoden (dem Mitarbeiter werden Inhalte vermittelt) kombiniert werden. Erfahrungsgemäß werden Mitarbeiter eher von aktiven Methoden angesprochen und zu einer Verhaltensänderung angehalten. Ein zweiter wichtiger Punkt ist es, Methoden zu verwenden, die ein Feedback ermöglichen. Auch zeigen Verfahren bessere Wirkung, die den Mitarbeiter herausfordern. Das bietet zudem den Vorteil, dass Missverständnisse sofort ausgeräumt werden können.

Fazit: Security-Awareness ist ein Prozess:

Wichtig für ein Security-Awareness-Programm ist neben der Unterstützung der Unternehmensleitung vor allem die Auswahl der richtigen Methoden, mit denen den Anwendern das Wissen vermittelt werden soll. Die Methoden müssen zur Kultur des Unternehmens und zu den Mitarbeitern passen. Ein falsches Vorgehen kann dazu führen, dass die Mitarbeiter das Vorhaben nicht ernst nehmen. Außerdem ist ein Security-Awareness-Programm ein dauerhafter Prozess, Einzelaktionen ändern das Verhalten bestenfalls kurzfristig. Langfristiges Ziel muss es sein, die Informationssicherheit in die Kultur des Unternehmens zu integrieren. (jha)

Auf der folgenden Seite finden Sie eine Tabelle mit den Vor- und Nachteilen der unterschiedlichen Lernmethoden.

Tabelle: Die Vor- und Nachteile der Lernmethoden

Vor- und Nachteile der Lernmethoden

Methode	Vorteile	Nachteile
Broschüre/ Magazin	- Informationen können leicht vermittelt werden; - sie sind einfach zu verstehen; - sie sind einfach zu verteilen.	- Informationen können leicht verloren gehen; - unterschiedliche Akzeptanz; - Wirkung ist nicht messbar (kein Feedback).
Comics	- Sind sehr einfach zu verstehen; - einfache Darstellung abstrakter Inhalte.	- Detailreiche Informationen sind schwer zu vermitteln; - unterschiedliche Akzeptanz; - die Wirkung ist nicht messbar (kein Feedback).
Online-/ E-Learning	- Eine standortübergreifende Schulung ist möglich; - detailreiche Informationen können vermittelt werden.	- Zeitaufwendig; - der Nutzer muss bereits technisches Verständnis besitzen.
E-Mail/ Newsletter	- Ein großer Empfängerkreis ist erreichbar; - die technische Basis ist vorhanden.	- Informationen können leicht im täglichen Mail-Verkehr untergehen und gelöscht werden; - E-Mails sind nicht für wichtige Themen geeignet.
Veranstaltungen / Workshops	- Eine Auswahl nach Zielgruppen und Inhalten ist möglich; - es gibt eine intensive Interaktion; - einfache Möglichkeit für Fragen und Diskussionen; - direktes Feedback.	- Hoher Organisationsaufwand; - Veranstaltungen sind sehr zeitaufwendig.
Informations-material: - Dokumente - CD-Rom - DVD	- Die Mittel sind leicht zu verteilen; - es lässt sich eine große Zahl an Anwendern erreichen.	- Zeitaufwendig; - kaum Möglichkeit für Rückfragen, Feedback und Auswertungen.
Intranet	- Es ermöglicht den Zugang zu einem großen Nutzerkreis; - ein Übermittlungskanal für Nachrichten ist vorhanden.	- Unterschiedliche Akzeptanz; - die Wirkung ist nicht messbar (kein Feedback).
Flyer/ Fact Sheet	- Kostengünstig; - enthält alle wichtigen Informationen in kompakter Form.	- Kann leicht verloren gehen; - die Informationen werden in Stichpunkten dargestellt, für das Verständnis ist Vorwissen ist nötig.
Telefon/ persönlicher Kontakt	- Der direkte Kontakt ermöglicht den interaktiven Austausch; - Möglichkeit für Rückfragen.	- Sehr aufwendig; - sollte nur für Rückfragen und gezielten Verstärkung zum Einsatz kommen.
Aufsteller (Logos, Maskottchen)	- Eyecatcher erinnern an die IT-Sicherheit; - Logos und Slogans sind gut zu platzieren.	- Sie bieten wenig Informationsgehalt; - die Wirkung kann nach einiger Zeit verpuffen, daher nur als Zusatzmaßnahme ratsam.
Video/Audio - Web-Stream - Podcast	- Die bildhafte Darstellung ist anschaulich; - es lässt sich Detailwissen vermitteln; - zur Aufzeichnung von Veranstaltungen und Live-Demonstrationen (etwa Live-Hackings) gut geeignet.	- Es gibt Rückfrage- und Feedback-Möglichkeiten; - Eigenentwicklungen sind sehr aufwendig, daher sind Standardprodukte empfehlenswert; - weniger Akzeptanz bei technischen Laien.
Befragungen/ Quiz	- Sie können Anreize zur Beschäftigung mit dem Thema setzen; - einfache Mess-/ Auswertbarkeit; - sehr gut zur Erfolgsmessung nach einer Schulung geeignet.	- Die Befragungen sind zeitaufwendig; - bei persönlicher Befragung ist eine Verfälschung der Aussage möglich (etwa durch Missverständnisse, Druck durch die Interview-Situation).
Fachzeitschriften	- Detailliertes, aktuelles Wissen wird bereitgestellt; - gut für interessierte Mitarbeiter; - zur Vertiefung des Wissens geeignet.	- Meist Vorwissen erforderlich; - die Zielgruppe ist schwer erreichbar und nicht kontrollierbar; - kein Feedback.
Zeitung	- Leichte Verbreitung; - relativ kostengünstig; - Möglichkeit zur weiten Verbreitung von Logos und Slogans.	- Kurzer Lebenszyklus: Artikel werden meistens nur schnell überflogen und nicht sorgfältig gelesen.