Bundesamt für Sicherheit in der Informationstechnik

B 1.13 Sensibilisierung und Schulung zur Informationssicherheit

Logo IT-Sicherheitssensibilisierung und -schulung

Beschreibung

In diesem Baustein wird beschrieben, wie ein effektives Sensibilisierungs- und Schulungsprogramm zur Informationssicherheit aufgebaut und aufrechterhalten werden kann.

Es ist nur dann möglich, Informationssicherheit innerhalb einer Institution erfolgreich und effizient zu verwirklichen, wenn alle Mitarbeiter erkennen und akzeptieren, dass sie ein bedeutender und notwendiger Faktor für den Erfolg der Institution ist und wenn sie bereit sind, Sicherheitsmaßnahmen wirkungsvoll zu unterstützen. Hierfür müssen eine Sicherheitskultur und ein Sicherheitsbewusstsein (Awareness) aufgebaut und gepflegt werden. Mitarbeiter müssen für relevante Gefährdungen sensibilisiert werden und wissen, wie sich diese auf ihre Institution auswirken können. Denn je mehr sie sich damit auskennen, desto eher akzeptieren sie entsprechende Sicherheitsmaßnahmen. Sie müssen auch über die erforderlichen Kenntnisse verfügen, um Maßnahmen richtig verstehen und anwenden zu können. Insbesondere muss ihnen bekannt sein, was von ihnen im Hinblick auf Informationssicherheit erwartet wird und wie sie in sicherheitskritischen Situationen reagieren sollten.

Um den Mitarbeitern das nötige Wissen zu vermitteln, sind gleichermaßen Sensibilisierungs- und Schulungsmaßnahmen erforderlich. Ziel der Sensibilisierung für Informationssicherheit ist es, die Wahrnehmung der Mitarbeiter für sicherheitskritische Situationen und ihre Auswirkungen zu schärfen. Durch Schulungen zur Informationssicherheit sollen die Mitarbeiter die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten erwerben.

Eine angemessene Informationssicherheit sollte von allen Mitarbeitern als selbstverständlicher Teil ihrer Arbeitsumgebung verinnerlicht werden. Dies setzt in vielen Bereichen eine langfristige Verhaltensänderung voraus, besonders wenn Informationssicherheit mit Komfort- oder Funktionseinbußen verbunden ist. Um hier nachhaltige Ergebnisse zu erzielen, ist ein kontinuierlicher Prozess erforderlich. Daher muss die Institution ein durchgängiges Sensibilisierungs- und Schulungsprogramm zur Informationssicherheit erarbeiten und etablieren. Es sollte bereits bei der Einstellung von Mitarbeitern beginnen, unterschiedliche Zielgruppen mit deren Fähigkeiten, Arbeitsabläufen und benötigten Ressourcen berücksichtigen und die Mitarbeiter auch begleiten, wenn sich ihre Aufgaben oder Positionen verändern.

Gefährdungslage

Für den IT-Grundschutz werden in diesem Baustein die folgenden typische Gefährdungen betrachtet:

Organisatorische Mängel

G 2.2 Unzureichende Kenntnis über Regelungen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.102 Unzureichende Sensibilisierung für Informationssicherheit
G 2.103 Unzureichende Schulung der Mitarbeiter
G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
G 2.141 Nicht erkannte Sicherheitsvorfälle
G 2.201 Unzureichende Berücksichtigung von Veränderungen im Arbeitsumfeld von Mitarbeitern

Menschliche Fehlhandlungen

G 3.1 Vertraulichkeits- oder Integritätsverlust von Daten durch Fehlverhalten
G 3.3 Nichtbeachtung von Sicherheitsmaßnahmen
G 3.6 Gefährdung durch Reinigungs- oder Fremdpersonal
G 3.8 Fehlerhafte Nutzung von IT-Systemen
G 3.9 Fehlerhafte Administration von IT-Systemen
G 3.44 Sorglosigkeit im Umgang mit Informationen
G 3.77 Mangelhafte Akzeptanz von Informationssicherheit

Vorsätzliche Handlungen

G 5.1 Manipulation oder Zerstörung von Geräten oder Zubehör
G 5.2 Manipulation an Informationen oder Software
G 5.9 Unberechtigte IT-Nutzung
G 5.19 Missbrauch von Benutzerrechten
G 5.20 Missbrauch von Administratorrechten
G 5.42 Social Engineering
G 5.102 Sabotage
G 5.104 Ausspähen von Informationen

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Ein Sensibilisierungs- und Schulungsprogramm sollte auf die Institution zugeschnitten sein und die dort vorhandene Kultur (siehe M 3.83 Analyse sicherheitsrelevanter personeller Faktoren ) sowie das notwendige Sicherheitsniveau berücksichtigen. In diesem Rahmen sind möglichst unterschiedliche und aufeinander abgestimmte Methoden und Medien zu verwenden.

Planung und Konzeption

Es ist für den Sicherheitsprozess sehr wichtig, dass dieser aktiv vom Management unterstützt wird. Hierfür muss es den Wert von Informationssicherheit für die Ziele der Institution erkannt und verinnerlicht haben (siehe M 3.44 Sensibilisierung des Managements für Informationssicherheit ). Wie das Management den gesamten Lebenszyklus eines Sensibilisierungs- und Schulungsprogramms wirkungsvoll unterstützen kann, beschreibt Maßnahme M 3.96 Unterstützung des Managements für Sensibilisierung und Schulung .

Diese Unterstützung kann z. B. mit dem expliziten Auftrag zur Konzeption entsprechender Programme beginnen. Die notwendigen Schritte sind in den Maßnahmen M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit und M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit beschrieben. Wichtig ist hier insbesondere, die Zielgruppen zu definieren (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme ).

Beschaffung

Um Sensibilisierungs- und Schulungsmaßnahmen vorzubereiten und durchzuführen, wird internes oder externes Personal benötigt (siehe M 3.48 Auswahl von Trainern oder externen Schulungsanbietern ).

Umsetzung

In der Umsetzungsphase werden die Mitarbeiter den vorher definierten Zielgruppen zugeordnet und zielgruppenspezifisch geeignete Inhalte für Sensibilisierungs- und Schulungsmaßnahmen ausgewählt (siehe M 3.45 Planung von Schulungsinhalten zur Informationssicherheit ). Auch sind Maßnahmen umzusetzen, durch die bei den Mitarbeitern die Ansprechpartner für Sicherheitsfragen bekannter werden (siehe M 3.46 Ansprechpartner zu Sicherheitsfragen ).

Darüber hinaus werden für Sensibilisierungs- und Schulungsmaßnahmen diverse Ressourcen benötigt, beispielsweise Personal, geeignete Räumlichkeiten oder spezielles Equipment. Besondere Sicherheitsaspekte, die bei der Gestaltung von Schulungsräumen zu beachten sind, finden sich in Baustein B 2.11 Besprechungs-, Veranstaltungs- und Schulungsräume .

Betrieb, kontinuierliche Pflege und Weiterentwicklung

Für eine erfolgreiche Lernstoffvermittlung müssen die richtigen Methoden und Medien eingesetzt werden (siehe M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit und M 3.47 Durchführung von Planspielen zur Informationssicherheit ).

Ein weiterer wichtiger Bestandteil von Schulungen zur Informationssicherheit ist der Umgang mit der Informationstechnik (siehe M 3.26 Einweisung des Personals in den sicheren Umgang mit IT und weitere themenspezifische Maßnahmen). Besonders wenn neue Techniken eingeführt werden, sollten die Mitarbeiter frühzeitig über diese informiert sowie für Gefahrenpotenziale und Sicherheitsmaßnahmen sensibilisiert werden.

Um die Präsenz von vermittelten Lerninhalten zu verbessern, können Methoden der Lernstoffsicherung eingesetzt werden (siehe M 3.95 Lernstoffsicherung ). Auch sollte regelmäßig überprüft werden, ob die Sensibilisierungs- und Schulungsmaßnahmen erfolgreich sind (siehe M 3.94 Messung und Auswertung des Lernerfolgs ). Bei Bedarf müssen sie angepasst werden.

Nachfolgend wird das Maßnahmenbündel für den Bereich "Sensibilisierung und Schulung zur Informationssicherheit" vorgestellt.

Planung und Konzeption

M 2.312 (A) Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit
M 2.557 (A) Konzeption eines Schulungsprogramms zur Informationssicherheit
M 3.44 (A) Sensibilisierung des Managements für Informationssicherheit
M 3.51 (Z) Geeignetes Konzept für Personaleinsatz und -qualifizierung
M 3.83 (Z) Analyse sicherheitsrelevanter personeller Faktoren
M 3.93 (A) Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme
M 3.96 (A) Unterstützung des Managements für Sensibilisierung und Schulung

Beschaffung

M 3.48 (Z) Auswahl von Trainern oder externen Schulungsanbietern

Umsetzung

M 3.45 (A) Planung von Schulungsinhalten zur Informationssicherheit
M 3.46 (A) Ansprechpartner zu Sicherheitsfragen
M 3.49 (B) Schulung zur Vorgehensweise nach IT-Grundschutz

Betrieb

M 2.198 (A) Sensibilisierung der Mitarbeiter für Informationssicherheit
M 3.26 (A) Einweisung des Personals in den sicheren Umgang mit IT
M 3.47 (Z) Durchführung von Planspielen zur Informationssicherheit
M 3.94 (C) Messung und Auswertung des Lernerfolgs
M 3.95 (Z) Lernstoffsicherung

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK