Security Awareness

Sicherheitsgefahr vom Kollegen Sorglos

17.11.2009
Von Udo Adlmanninger
Die Sicherheitstechnik wurde aufwendig aufgebaut. Doch Security braucht eine Kultur der Verantwortung, die Mitarbeiter verpflichtet.
Ein Programm, dass das Sicherheitsbewusstsein der Mitarbeiter schärft, umfasst drei Phasen. Quelle: Secaron
Ein Programm, dass das Sicherheitsbewusstsein der Mitarbeiter schärft, umfasst drei Phasen. Quelle: Secaron

Unternehmen haben in den letzten Jahren investiert, um ihre kritischen Informationen vor ungewollter Veröffentlichung zu schützen. Dabei wurden technische und organisatorische Lösungen auf breiter Ebene umgesetzt, angefangen vom klassischen Perimeterschutz (Geländeschutz) bis zum Informationssicherheits-Management-System (ISMS) mit Richtlinien und Sicherheitsprozessen. Trotzdem hat die Zahl der Sicherheitsvorfälle, die in der Presse erscheinen, im Lauf des letzten Jahres stark zugenommen (siehe etwa Datenpanne beim Sparkassenverlag). Das liegt zum einen am Interesse der Öffentlichkeit und der Einzelpersonen, die natürlich wissen möchten, was etwa mit ihren Patienten- oder Kreditkartendaten geschieht, andererseits aber gerade an den Menschen, die mit diesen Informationen täglich umgehen und unabsichtlich sensible Informationen veröffentlichen.

Es bleibt also neben bereits laufenden Sicherheitsmaßnahmen die Aufgabe, allen Mitarbeiter zu verdeutlichen, dass die Informationssicherheit wichtig ist und welchen Beitrag sie persönlich leisten können. Ziel muss eine Sicherheitskultur sein, die in alle relevanten Prozesse des Unternehmens eingeht. Ausdrucksform einer solchen Kultur sind die Kommunikation, das Verhalten der Führungskräfte und Mitarbeiter, die Strukturen (Organisationsform und Führungsinstrumente) und soziale Ereignisse (Veranstaltungen neben der täglichen Arbeit).

Sicherheitskultur - aber wie?

Dazu müssen zuerst die Ziele definiert werden. Die zentrale Frage lautet: Was soll das Schulungs- und Awareness-Programm bewirken?

Typischerweise gliedert sich ein solches Programm zum Thema IT-Sicherheit in drei Phasen:

  • Zunächst gilt es, die Aufmerksamkeit der Mitarbeiter zu gewinnen. Hilfreich ist, wenn die Unternehmensleitung die Motivation fördert.

  • Die Phase zwei soll das eigentliche Wissen vermitteln. Die Mitarbeiter müssen erfahren, was sie in ihrer täglichen Arbeit beachten müssen.

  • Abschließend geht es darum, vermitteltes Wissen in die täglichen Aufgaben zu integrieren. Sicherheit muss zum integralen Bestandteil der Arbeit werden (siehe Textkasten "In drei Schritten zu mehr Sicherheit").

In drei Schritten zu mehr Sicherheit

Beispiel eines Schulungs- und Awareness-Programms:

Phase eins (Zielbildung, Aufmerksamkeit und Motivation): Wichtig ist, dass die Unternehmensleitung die Kampagne unterstützt. Sie muss sich öffentlich als Vorbild zeigen und das Thema Security Awareness als wichtiges Ziel des Unternehmens adressieren. Idealerweise erfolgt dies im Rahmen einer Kick-off-Veranstaltung für alle Mitarbeiter des Unternehmens. Dabei sollten die Verantwortlichen vorgestellt werden, damit das abstrakte Thema Security Awareness ein Gesicht bekommt. Danach werden die Zielgruppen, die zu vermittelnden Inhalte und die zu verwendenden Methoden definiert.

Phase zwei (Wissensvermittlung): Im Folgenden werden die zuvor definierten Inhalte mit den ausgewählten Methoden den Anwendern in den verschiedenen Zielgruppen vermittelt. Um eine Kontrolle darüber zu haben, ob und wie die Maßnahmen angenommen werden, lässt sich beispielsweise ein Gewinnspiel starten. Es eignet sich als Kontrolle dafür, welche Schwerpunkte bei welchem Nutzerkreisen angekommen sind. Die Auswertung eröffnet die Möglichkeit, Inhalte und Methoden anzupassen.

Phase drei (Verstärkung): Anschließend sollten die Schulungsinhalte vertieft werden, um den langfristigen Nutzen sicherzustellen. Aufhänger können beispielsweise sicherheitsrelevante Vorfälle im Unternehmen und aktuelle Meldungen in der Presse sein. Das Bewusstsein für die Informationssicherheit lässt sich auch mit einem Logo oder Maskottchen verstärken. Sie bewirken eine automatische Assoziation mit dem Thema, ohne dass es einer weiteren Erklärung bedarf.