Bundesamt für Sicherheit in der Informationstechnik

G 2.102 Unzureichende Sensibilisierung für Informationssicherheit

Die Aktivitäten zur Sensibilisierung für Fragen der Informationssicherheit müssen sich an den Geschäftsprozessen und der IT -Umgebung der jeweiligen Institution orientieren, um auch die richtigen Bereiche zu adressieren. Dadurch muss unter Umständen eine Vielzahl von Themengebieten angesprochen werden. Hierfür müssen die Schulungsaktivitäten sorgfältig geplant und organisiert werden. Die Erfahrung zeigt, dass es nicht genügt, lediglich die Umsetzung von bestimmten Sensibilisierungsmaßnahmen anzuordnen. Folgende Fallstricke erschweren häufig eine nachhaltige Sensibilisierung:

  • Es fehlt Unterstützung durch das Management der verschiedenen Ebenen, was dazu führen kann, dass
    • Mitarbeiter von verschiedenen Bereichen für Schulungen zur Informationssicherheit nicht freigestellt werden,
    • die Teilnahme weder seitens der Mitarbeiter noch seitens der Vorgesetzte ernst genommen wird, da auch die Vorgesetzten die Bedeutung von Informationssicherheit für den Organisationserfolg nicht kommunizieren oder sogar Informationssicherheit als unwesentlich abtun.
  • Die Planung der Sensibilisierungsmaßnahmen ist mangelhaft.
  • Das Ziel des Sensibilisierungsprogramms ist nicht oder unklar definiert.
  • Es findet keine Erfolgskontrolle statt. Wenn aber Erfolgsmeldungen und generelle Rückmeldungen über die Aktivitäten zur Sensibilisierung fehlen, entzieht das Management schnell die Unterstützung oder priorisiert solche Projekte niedriger.
  • Es werden nur einzelne Aktionen und Schulungen zur Informationssicherheit durchgeführt. Wenn diese nicht in Zusammenhang mit anderen Sicherheitsmaßnahmen stehen, können diese unter Umständen mehr Schaden als Nutzen anrichten. Beispielsweise können Mitarbeiter hierdurch verwirrt oder demotiviert werden.
  • Es werden zu wenige finanzielle oder personelle Ressourcen zur Durchführung von Kampagnen zur Informationssicherheit zur Verfügung gestellt. Häufig werden teure Sicherheitskomponenten angeschafft oder mit hohem Aufwand Sicherheitskonzeptionen erarbeitet, ohne dass die Benutzer in deren Anwendung bzw. Umsetzung geschult werden. Dadurch können auch gut durchdachte Sicherheitslösungen sinnlos werden.

Stand: 11. EL Stand 2009