Bundesamt für Sicherheit in der Informationstechnik

G 2.201 Unzureichende Berücksichtigung von Veränderungen im Arbeitsumfeld von Mitarbeitern

Institutionen müssen sich regelmäßig an veränderte Anforderungen und Rahmenbedingungen anpassen, um ihre Geschäftsziele zu erreichen und ihre Wettbewerbsfähigkeit zu behaupten. Damit unterliegen auch ihre Prozesse und eingesetzten IT-Systeme einem ständigen organisatorischen und technischen Wandel.

Eine vergleichbare Situation liegt auch für die Mitarbeiter vor: Sie erleben als Teil der Institution diesen Wandel mit und müssen sich an Veränderungen in den Arbeitsaufgaben, in den bekleideten Positionen sowie an Arbeiten mit unterschiedlichen technischen Systemen anpassen. Dies kann für Mitarbeiter eine Chance sein sich weiterzuentwickeln, aber auch demotivierend wirken. Dadurch können Veränderungen dazu führen, dass Sicherheitsvorgaben nicht wie vorgesehen beachtet werden.

Veränderungen für die Mitarbeiter ergeben sich vor allem aus folgenden Ereignissen:

  • persönliche Entwicklung der Mitarbeiter innerhalb der Institution (Versetzung, Beförderung, Weggang etc. ),
  • Änderungen in der oder für die Institution (Umstrukturierungen, Übernahmen etc. ),
  • Einführung neuer oder geänderter Geschäftsprozesse oder IT-Verfahren.

Damit sich dabei der Umgang der Mitarbeiter mit Informationen und mit der Informationssicherheit verändern kann, müssen diese Ereignisse zielgruppenspezifisch in institutionsweite Sensibilisierungs- und Schulungsmaßnahmen eingebunden werden.

Beispiele:

  • Ein Praktikant wird nach Abschluss des Studiums in die Institution übernommen und einer Fachabteilung zugewiesen. Seine IT-Berechtigungen sind aber auch jetzt noch sehr weitreichend, da er im Rahmen seines Praktikums in verschiedenen Abteilungen der Institution eingesetzt wurde. So kann er weiterhin auf Informationen aus der Personalabteilung zugreifen, obwohl dies nicht für die Erfüllung seiner neuen Aufgabe erforderlich ist.
  • In einer Abrechnungsabteilung wird das Abrechnungssystem durch das Produkt eines neuen Herstellers ersetzt. Die Administratoren werden zwar zum neuen Abrechnungssystem geschult, aber nur zu allgemeinen Grundlagen, nicht zu Sicherheitsaspekten. Dadurch werden wichtige Sicherheitseinstellungen nicht vorgenommen.
  • Ein Mitarbeiter wird in den Ruhestand verabschiedet. Die im Laufe seiner Organisationszugehörigkeit unterzeichneten Richtlinien und Vereinbarungen zur Informationssicherheit werden als bekannt und präsent vorausgesetzt. Der Mitarbeiter wird bei seinem Weggang nicht explizit auf weiterhin noch bestehende Verschwiegenheitspflichten hingewiesen. Daher nutzt er die gewonnene Freizeit, um sich in Internetforen und bei persönlichen Treffen mit anderen Personen über das Arbeitsleben auszutauschen und dabei vertrauliche Informationen über die Institution preiszugeben.

Stand: 14. EL Stand 2014