Bundesamt für Sicherheit in der Informationstechnik

G 2.103 Unzureichende Schulung der Mitarbeiter

IT -Benutzer aller Art werden häufig zu wenig in der Bedienung der von ihnen eingesetzten IT -Systeme geschult. Dies trifft leider sogar öfters auf Administratoren und Benutzerbetreuer zu. Vielfach werden teure Systeme und Anwendungen angeschafft, aber keine oder nur unzureichend Mittel für die Schulung der IT -Benutzer bereitgestellt.

Dies kann durch unabsichtliche Fehlbedienungen, falsche Konfiguration und ungeeignete Betriebsmittel zu gravierenden Sicherheitsproblemen führen. Häufig wenden Benutzer neu eingeführte Sicherheitsprogramme deswegen nicht an, weil sie nicht wissen, wie sie bedient werden und eine selbstständige Einarbeitung oft als zu zeitaufwendig im täglichen Arbeitsablauf gesehen wird. Daher reicht die Beschaffung und Installation einer Sicherheitssoftware noch lange nicht aus.

Beispiele:

  • Während der Datenerfassung erschien eine dem Benutzer nicht bekannte Fehlermeldung. Da bei den meisten Fehlermeldungen das Anklicken von "ok" bisher keinen Schaden verursachte, wählte er an diesem Fall auch "ok". Nur diesmal bewirkte dies das Herunterfahren des Systems und folglich den Verlust der bis dahin eingegebenen Daten.
  • Ein teures Firewall-System wurde beschafft. Der Administrator eines anderen IT-Systems wurde "durch Handauflegen" zum Administrator dieses Firewall-Systems bestimmt. Da er als unabkömmlich galt und alle verfügbaren Mittel für die System-Beschaffung verwendet worden waren, wurde er aber weder in der Bedienung der System-Plattform noch für den eingesetzten Firewall-Typ ausgebildet. Externe Seminare wurden aus Geldmangel verweigert, nicht einmal zusätzliche Handbücher angeschafft. Zwei Monate nach Inbetriebnahme des Firewall-Systems stellte sich heraus, dass durch eine Fehlkonfiguration der Firewall interne Systeme aus dem Internet frei zugänglich waren.
  • In einem Unternehmen wurde die Migration auf ein neues Betriebssystem vorbereitet. Der dafür verantwortliche Mitarbeiter war zwar ein ausgezeichneter Kenner der bis dahin eingesetzten Plattform, kannte sich aber mit den diskutierten neuen Systemen nicht aus und erhielt auch keine dem entsprechende Schulung. Daher besuchte er einige kostenfreie Veranstaltungen eines Herstellers, dessen Produkte er auch danach favorisierte. Dies führte zu einer kostenintensiven Fehlentscheidung durch Einführung eines ungeeigneten Produktes.
  • Für die Internet-Nutzung während der Dienstreisen wurden auf den Notebooks der Mitarbeiter Personal Firewalls installiert. Die Mitarbeiter wurden nicht dazu geschult, eine Abstimmung der Einstellungen der Firewall mit den Bedürfnissen der Mitarbeiter fand nicht statt. Viele Mitarbeiter haben daraufhin die Firewall abgeschaltet, um problemlos alle Internet-Seiten zu erreichen, die sie brauchten. Das Ergebnis war, dass schon nach einigen Wochen viele der Rechner mit Schadprogrammen verseucht waren. Neben dem Datenverlust war der Ansehensschaden erheblich, da sich ein Schadprogramm über Mails an Kunden weitergesendet hatte.

Stand: Stand 2005

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK