(openPR) Nürnberg, den 4.8.2016. Die RÜHLCONSULTING GRUPPE hat jüngst im Rahmen einer Masterarbeit den „Faktor Mensch in der Informationssicherheit“ untersuchen lassen. Konkret ging es um die „Einsatzmöglichkeiten von E-Portfolios zur Erfüllung der Anforderungen der ISO/IEC 27001 an die Sicherstellung der Kompetenz und Awareness“. Die in Kooperation an der Donau-Universität Krems erstellte Arbeit zeigt: Wissen und die Wissensvermittlung im Bereich des Informationssicherheitsmanagements (ISMS) sind entscheidende Bausteine für Unternehmen.
Das Thema der Sensibilisierung vor den Gefahren zunehmender Hackerangriffe, Sabotageakte und Spionagevorfälle ist ein wichtiger Aspekt, ja der Schlüsselfaktor für erfolgreiche Unternehmen im digitalen Zeitalter. Denn Cyberangriffe – gleich welche Intention dahintersteckt – können alle Bereiche eines Unternehmens treffen und zu einem direkten materiellen Schaden führen. „Die durchgängige Vernetzung macht Systeme anfälliger“, weiß Uwe Rühl, Geschäftsführer der RÜHLCONSULTING GRUPPE. Und er ergänzt: „Im schlimmsten Fall sind Unternehmen Cyberangriffen komplett ausgeliefert.“
Studie zeigt: ISMS, die vielfach Unbekannte
Im Rahmen der Studie wurden über 170 Unternehmen aus Deutschland, Österreich und der Schweiz befragt. Zu den meistgenannten Branchen gehört die Industrie mit 16 Prozent, gefolgt von Behörden (öffentliche Hand) mit 15 Prozent sowie dem Gesundheitssektor mit 13 Prozent. Im Mittelpunkt stand unter anderem die Frage, bis zu welchem Grad Unternehmen die Anforderungen der ISO/IEC 27001:2013 in Bezug auf Kompetenz und Bewusstsein derzeit umsetzen. Die Ergebnisse zeigen, dass nur 27 Prozent der befragten Unternehmensvertreter wussten, dass in ihrer Organisation ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 zum Einsatz kommt. Die meisten Leitlinien und/oder Richtlinien existieren nach Umfrageergebnissen im Bereich der Arbeitssicherheit mit 27 Prozent und der Informationssicherheit/des Datenschutzes mit 26 Prozent. Es folgen die Bereiche Compliance (17 Prozent) sowie die Korruptionsprävention und der Umweltschutz mit jeweils 15 Prozent. 84 Prozent der Befragten gaben an, dass in ihrem Unternehmen Leitlinien und/oder Richtlinien zur Informationssicherheit und zum Datenschutz existieren.
„Im Grunde zeigt sich einer der häufigsten Mängel in Organisationen darin, dass nur etwas mehr als ein Viertel der Befragten von der Existenz eines ISMS im eigenen Unternehmen wissen“, erklärt Uwe Rühl. Und er ergänzt: „Mitarbeiter müssen die Informationssicherheitspolitik des Unternehmens kennen, sonst ist solch ein Vorhaben zum Scheitern verurteilt.“
E-Portfolios als Alternative
Im Rahmen der Untersuchung wurde der Einsatz von E-Portfolios als mögliche Alternative zur Vermittlung von Kompetenzen und dem notwendigen Bewusstsein eines ISO/IEC 27001:2013 beleuchtet. Hierzu wurde eigens ein E-Portfolio-Entwurf als „E-Portfolio für Informationssicherheit“ auf Basis der Open-Source-Software „mahara“ erarbeitet. Das Prüfungsportfolio soll Mitarbeitern in einem Unternehmen ein Bewusstsein und die notwendige Kompetenz im Bereich der Informationssicherheit vermitteln. Bezüglich der Kenntnisse zu E-Portfolios bestätigte die Befragung, dass E-Portfolios in den Unternehmen größtenteils unbekannt sind (84 Prozent). Trotz der Unbekanntheit von E-Portfolios würde ein Drittel der Befragten ein solches im Rahmen von Schulungsmaßnahmen ausprobieren. Allerdings sind auch skeptische Meinungen vertreten, die sich vor allem auf die Akzeptanz und die technische Umsetzung von E-Portfolios beziehen. Die meisten Teilnehmer nannten die Akzeptanz (39 Prozent) und die technische Umsetzung (37 Prozent) als größte Herausforderungen beim Einsatz von E-Portfolios. Um E-Portfolios zielführend zum Ausbau des Informationssicherheitsbewusstseins und der dazugehörenden Kompetenzen einzusetzen, müssen bestimmte Rahmenbedingungen beachtet werden. Vor allem, ob diese Art der Kompetenzvermittlung zu den Zielen und Werten des Unternehmens passt.
Weiterführende Informationen zu den Ergebnissen der Befragung erhalten Interessenten unter:
Die RÜHLCONSULTING GRUPPE stellt ihr Know-how zum Thema Awareness im Rahmen der diesjährigen IT-Security-Messe it-sa vor (18. bis 20. Oktober 2016, Halle 12.0/Stand 12.0-553, Messe Nürnberg).
