(openPR) Von Udo Adlmanninger, Secaron AG in Munchen
Die Secaron AG, eine Unternehmensberatung fur Informationssicherheit, stellt in Projekten oft fest, dass Unternehmen Informationen mit technischen Lösungen sichern. Die Sensibilisierung der Mitarbeiter fur Sicherheitsaspekte wird aber oft vernachlässigt.
Es bleibt also neben bereits eingesetzten Sicherheitsmaßnahmen die Aufgabe, allen Beteiligten klar zu machen, dass die Informationssicherheit wichtig ist und welchen Beitrag sie, als Person, in ihrer Rolle leisten können. Ziel muss dabei eine Sicherheitskultur sein, die Einzug in alle relevanten Prozesse des Unternehmens findet. Als Ausdrucksform der Kultur sind dabei die Kommunikation, das Verhalten der Fuhrungskräfte und Mitarbeiter, die Strukturen (Organisationsform und Fuhrungsinstrumente) und soziale Ereignisse (Veranstaltungen neben der täglichen Arbeit) gemeint.
> Wie kann man eine solche Sicherheitskultur schaffen und wie kann Nachhaltigkeit generiert werden?
Zuerst muss klar definiert werden, welche Ziele verfolgt werden und was die Motivation eines Schulungs- und Awarenessprogrammes ist. Dabei folgt ein solches Schulungs- und Awarenessprogramm zum Thema IT-Sicherheit prinzipiell 3 Phasen. Zu Beginn muss die Aufmerksamkeit der Mitarbeiter gewonnen werden und eine Motivation durch die Unternehmensleitung erfolgen. In der Phase 2 geht es um die eigentliche Wissensvermittlung, also darum, was sollen die Mitarbeiter in ihrer täglichen Arbeit beachten. In der letzten Phase geht es darum, vermitteltes Wissen in die täglichen Aufgaben zu integrieren. Kern eines Security Schulungs- und Awarenessprogrammes sind folgende 3 Dimensionen:
1) Zielgruppen
2) Methoden
3) Inhalte
> Wie können die einzelnen Mitarbeiter des Unternehmens in Gruppen zugeordnet werden?
Ziel ist es, jeder Gruppe genau die Informationen zu vermitteln, die sie fur die tägliche Arbeit benötigt. Wie lassen sich aber die Gruppen fi nden? Einerseits gibt es Gruppen, die sich aufgrund ihrer speziellen Tätigkeiten anbieten, wie z.B. Fuhrungskräfte, da diese auf ihre Mitarbeiter auch zum Thema Sicherheit einwirken (Sicherheit als Zielvorgabe in den Mitarbeiter-Gesprächen) können oder Administratoren, da diese neben den allgemeinen Sicherheitsanforderungen fur alle Mitarbeiter noch höhere Anforderungen erfullen mussen (z.B. bei der Vergabe von Berechtigungen). Andererseits ist es sinnvoll, Multiplikatoren zu fi nden, die wiederum andere Mitarbeiter schulen. Multiplikatoren können spezielle Personen sein, die sicherheitsaffin sind, z.B. Projektleiter, die Sicherheit im Rahmen ihrer Projekte adressieren und damit die Projektmitglieder beeinflussen, oder Auszubildende, die dafur gewonnen werden können, insbesondere Awarenesskampagnen zu gestalten. Dies ist sinnvoll, da unterschiedliche Altersgruppen auch unterschiedlich angesprochen werden mussen. Auszubildende werden bei solchen Projekten sehr motiviert und entwickeln daher sehr gute Ideen.
> Welche Themen sollen grundsätzlich vermittelt werden?
Prinzipiell können sich die Schulungsthemen an den internen Richtlinien orientieren. Diese sind in der Regel themen- oder zielgruppenorientiert geschnitten und bieten sich deshalb an. Dabei sollte ein Grundgerust gebaut werden, das fur alle Mitarbeiter im Unternehmen passt und zusätzliche Module, die eine Vertiefung fur spezielle Zielgruppen ermöglichen. Die Informationen fur alle Mitarbeiter lassen sich knapp halten und werden im Rahmen eines illustrierten Heftes zusammengefasst. Die Inhalte dieses Heftes sind die wichtigsten Grundregeln fur die Informationssicherheit. Sehr wichtig ist es, darauf hinzuweisen, was bei Sicherheitsvorfällen zu tun ist und wer zu benachrichtigen ist. Denn nur die richtige Verhaltensweise bei einem Vorfall kann eine schnelle und korrekte Reaktion der Verantwortlichen bewirken. > >Wie werden die Themen den einzelnen Zielgruppen vermittelt?
Es ist wichtig, Methoden zu definieren, die möglichst alle Lerntypen ansprechen. Dabei mussen aktive (der Mitarbeiter wird selbst aktiv) und passive (dem Mitarbeiter werden Inhalte vermittelt) Methoden kombiniert werden. Ein Großteil der Personen wird durch aktive Methoden eher angesprochen und zu einer Verhaltensänderung angehalten als durch passive Methoden. Ein zweiter wichtiger Punkt ist, Methoden zu verwenden, die ein Feedback ermöglichen. Dies wird tendenziell auch eher bei aktiven Methoden der Fall sein. Das bietet zudem den Vorteil, dass Missverständnisse sofort ausgeräumt werden können. Eine Auswahl an Methoden und deren Vor- und Nachteile ist in der nebenstehenden Tabelle ersichtlich.
> Beispiel eines Schulungs- und Awarenessprogrammes
In der Phase 1 ist es zunächst wichtig, dass die Unternehmensleitung die Kampagne unterstutzt. Dies muss sie öffentlich darstellen, damit als Vorbild fungieren und das Thema Security Awareness als wichtiges Ziel des Unternehmens adressieren. Idealerweise erfolgt dies im Rahmen einer Kick-off Veranstaltung fur alle Mitarbeiter des Unternehmens. Dabei werden die Verantwortlichen fur die Umsetzung ebenfalls vorgestellt, damit das abstrakte Thema Security Awareness ein "Gesicht" erhält. Danach werden, wie oben dargestellt, die Zielgruppen, die zu vermittelnden Inhalte und die zu verwendenden Methoden definiert. In der Phase 2 werden die zuvor definierten Inhalte mit den ausgewählten Methoden an die Zielgruppen vermittelt. Um eine Kontrolle daruber zu haben, was bei den Personen angekommen ist bzw. welche Inhalte sie behalten haben, sollte dies beispielsweise im Rahmen eines Gewinnspieles uberpruft werden. Dies bietet den Vorteil, zu wissen, welche Schwerpunkte bei welchem Personenkreis angekommen sind und ermöglicht eine Anpassung der Inhalte und Methoden, um den größtmöglichen Nutzen zu erzielen. In der Phase 3 können mit ausgewählten Aktionen Schulungsinhalte vertieft und langfristig eine Verhaltensänderung bewirkt werden. Aufhänger dazu können Sicherheitsvorfälle sein, die eingetreten sind oder aktuelle Vorkommnisse, die durch die Presse gingen. Eine Verstärkung kann auch dadurch erreicht werden, dass das Thema Informationssicherheit mit einem Logo oder Maskottchen versehen wird. Somit bewirkt das Logo sofort eine Assoziation mit dem Thema, ohne dass es näher erklärt werden muss.
>Fazit
Wichtig fur ein Awarenessprogramm ist neben der Unterstutzung der Unternehmensleitung vor allem die Auswahl der richtigen Methoden zur Wissensvermittlung und zur Verstärkung des gewunschten Verhaltens. Die Methoden mussen dabei zur Kultur des Unternehmens und zu den Mitarbeitern passen. Ist dies nicht der Fall, so kann es passieren, dass die Mitarbeiter es als zu ernst oder zu spaßig betrachten. Ein Awarenessprogramm ist als dauerhafter Prozess zu verstehen, Einzelaktionen werden bestenfalls kurzfristig Verhaltensänderungen bewirken, aber danach ihre Wirksamkeit wieder verlieren. Langfristiges Ziel muss es sein, die Informationssicherheit in die Kultur des Unternehmens zu integrieren.
