Bundesamt für Sicherheit in der Informationstechnik

M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

Viele Sicherheitsvorfälle werden durch unsachgemäßes Verhalten hervorgerufen: Mitarbeiter können Sicherheitslücken durch Unkenntnis, Fehlverhalten oder auch leichtfertige Weitergabe von Informationen verursachen. Daher sollte sichergestellt werden, dass alle Mitarbeiter die für ihren Arbeitsplatz erforderlichen Informationssicherheitskenntnisse haben, Zwischenfälle frühzeitig als solche erkennen können und eigenverantwortlich sinnvolle Maßnahmen bei Sicherheitsproblemen ergreifen können. Eine der wichtigsten Aufgaben des Informationssicherheitsmanagements besteht darin, die Mitarbeiter für das Thema Informationssicherheit zu sensibilisieren.

Sensibilisierungsinhalte

Um dies zu erreichen, muss den Mitarbeitern plausibel und nachvollziehbar dargestellt werden, warum und in welchem Maß Informationssicherheit für die Institution, aber auch speziell für ihren Arbeitsplatz wichtig ist. Sie müssen Gefährdungen und Auswirkungen von Sicherheitsvorfällen genauso kennen wie die erforderlichen Maßnahmen und die relevanten Regelungen in den Sicherheitsdokumenten (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme ).

Folgende Themen sollten vermittelt werden:

  • Grundprinzipien der Informationssicherheit,
  • Überblick über zu schützende Informationen, Gefährdungen und Maßnahmen der Sicherheit von Informationen, mit und ohne IT-Einsatz,
  • Inhalte der Richtlinien zur Informationssicherheit der Institution,
  • Ziel und Inhalt des Sicherheitskonzeptes,
  • Aufgaben, Ziele und Werte der Institution: Hierbei umfasst der Begriff Werte sowohl Vermögenswerte ( z. B. Informationen, Produktionsanlagen, Mitarbeiter, spezielle Kenntnisse) als auch ideelle Werte ( z. B. Philosophie, Verhaltenskodex).

Diese Themen sollten zum besseren Verständnis mit Beispielen untermauert werden und sich möglichst eng auf das Arbeitsumfeld der Mitarbeiter beziehen. Die hier genannten Themen sind lediglich eine Auswahl. Sensibilisierungsmaßnahmen sollten stets den individuellen Gegebenheiten der Institution angepasst sein. Um wirkungsvoll das Bewusstsein für Informationssicherheit zu schärfen und eingeschliffene Verhaltensweisen dauerhaft zu ändern, ist ein fortwährender Lernprozess erforderlich. Sinnvolle kontinuierliche Sensibilisierungsmaßnahmen müssen dabei auf das Arbeitsumfeld und die Zielgruppe abgestimmt sein.

Materialien zur Informationssicherheit

Um Mitarbeiter für Informationssicherheit zu sensibilisieren, müssen sie immer wieder auf verschiedenen Wegen und Plattformen angesprochen werden. Dazu kann auf Plattformen zurückgegriffen werden, die bereits in der Institution vorhanden sind, aber auch neu gestaltete genutzt werden. Zur Sensibilisierung können auch attraktive Werbematerialien bzw. -aktionen beitragen. Hierzu gehören zielgerichtete Mitteilungen und Slogans zur Informationssicherheit. Damit sie lange im Blickfeld der Mitarbeiter verbleiben, können kurze Informationssicherheitshinweise beispielsweise auf Kalendern oder Kaffeetassen untergebracht werden. Über Plakate können Verantwortliche ebenfalls Botschaften effektiv vermitteln. Diese sollten sie an auffälligen Stellen aufhängen, z. B. in der Kantine, im Aufzug und in Besprechungsräumen, und regelmäßig auswechseln. Poster zu Informationssicherheitsthemen gibt es beispielsweise von diversen Herstellern von Sicherheitsprodukten und Werbemittelherstellern. Merksprüche zur Informationssicherheit sollten einfach und einprägsam sein und können je nach Organisationskultur auch unterhaltend sein, beispielsweise "Die Sicherung ist null und nichtig, nimmt man das Passwort nicht so wichtig!" oder "Verzichte auf den Mailversand, ist der Inhalt sehr brisant!"

Für die Vermittlung von Themen rund um die Informationssicherheit bieten sich z. B. folgende Medien an:

  • Flyer und Newsticker mit den wichtigsten Informationen und Grundsatzaussagen der Institutionsleitung zur Informationssicherheit
  • Informationsbroschüren für ausgewählte Situationen, wie z. B. Arbeitsplatz, Besprechungsräume, Verhaltenstipps für Geschäftsreisen
  • Plakate und Bildschirmschoner
  • Tassen, Mousepads oder ähnliche Gegenstände mit Hinweisen zur Informationssicherheit
  • E-Mails vom Sicherheitsmanagement-Team, um über aktuelle Vorfälle zu informieren und immer wieder Sicherheitsregeln ins Gedächtnis zu rufen
  • Videoclips zu ausgewählten Sensibilisierungsthemen, wie z. B.  Umgang mit organisationsfremden Personen ohne Besucherausweis
  • Kurzvorträge zur Informationssicherheit auf internen Veranstaltungen, wie Abteilungstreffen oder bestehenden Schulungsmaßnahmen
  • Publikation von Artikeln in Mitarbeiterzeitschriften zu aktuellen Gefährdungssituationen, zu sicherheitsrelevanten Vorfällen (wenn kein Nachahmungsrisiko besteht), zur Vorstellung von Sicherheitsmaßnahmen, etc.

Darüber hinaus bieten sich auch interaktive Formen der Sensibilisierung wie Workshops und Rollenspiele (siehe M 3.47 Durchführung von Planspielen zur Informationssicherheit ) an. Bei der Sensibilisierung der Mitarbeiter sollte berücksichtigt werden, welche Medien und Formen der Kommunikation für die Institution geeignet sind und als akzeptable Kanäle angesehen werden.

Umsetzung der Sensibilisierungsmaßnahmen

Sensibilisierungsmaßnahmen zur Informationssicherheit können auch durch Schulungsprogramme unterstützt werden. Sie sind daher im Sensibilisierungskonzept zu berücksichtigen. Detaillierte Informationen zu den Schulungen sind in M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit beschrieben.

Damit alle Mitarbeiter ein Bewusstsein für Informationssicherheit entwickeln, ist ein langfristiger Lern- und Entwicklungsprozess zu etablieren. Eine weitere Vertiefung der Themen rund um Informationssicherheit muss aufgebaut und auf einem aktuellen Stand gehalten werden sowie dauerhaft präsent sein. Inhalte und Medien sollten so aufeinander abgestimmt sein, dass sie die Mitarbeiter mit der Informationssicherheit vertraut machen und ihnen die erforderlichen Hintergründe und individuellen Voraussetzungen geben.

Nachfolgend werden vier Bereiche (Sensibilisierung, Schulung, Verstärkung und Öffentlichkeitsarbeit) einer Sensibilisierungskampagne beschrieben. Diese Bereiche hängen bei der Ausgestaltung in sinnvoller Weise voneinander ab, müssen aber nicht zwingend in einer strengen zeitlichen Reihenfolge durchgeführt werden.

Sensibilisierung

Im Bereich Sensibilisierung sollen den Mitarbeitern Hintergrundinformationen gegeben werden, um zu verstehen, warum sich die Institution für bestimmte Sicherheitsvorgaben entschieden hat, welche aktuellen Gefährdungen vorliegen, wie sich diese auf die Institution auswirken und was dies für die Mitarbeiter bedeuten würde. Durch diese Hintergrundinformationen sollen die Mitarbeiter sowohl für das Thema als auch für die Schulungen sensibilisiert werden.

Medienbeispiele für Hintergrundinformation: Infoveranstaltungen, Flyer, Broschüren, Plakate, Bildschirmschoner, Mousepads, Videos, etc.

Schulung

Der Bereich Schulung unterstützt den Mitarbeiter dabei, sich entsprechend den Vorgaben aus dem Sicherheitskonzept zu verhalten und so Gefahren für die Informationssicherheit abzuwenden. Der jeweilige zielgruppenspezifische Schulungsbedarf leitet sich dabei aus dem Sicherheitskonzept und einer darauf folgenden Zielgruppenanalyse ab (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme ).

Medienbeispiele Schulung: Präsenzschulungen, Ergänzung bestehender Schulungen, Webkurse, Infotainment, Videos, etc.

Verstärkung

Im Bereich Verstärkung soll dafür gesorgt werden, dass die Lernkurve nach durchgeführten Schulungen möglichst lange auf einem hohen Niveau gehalten wird und dass die Mitarbeiter das Thema Informationssicherheit dauerhaft wahrnehmen (siehe M 3.95 Lernstoffsicherung ).

Medienbeispiele Verstärkung: Newsletter, Foren, Gewinnspiele, Auffrischungsschulungen, etc.

Öffentlichkeitsarbeit

Durch Öffentlichkeitsarbeit kann der Reifegrad des Sensibilisierungsprozesses nach innen und außen dargestellt werden. Beiträge für z. B. Kongresse, Fachmedien oder Arbeitskreise über die durchgeführten Sensibilisierungsmaßnahmen können der Institution und den Mitarbeitern zu einem positiven Sicherheitsimage verhelfen und einen wertvollen Beitrag zur Sensibilisierung leisten.

Medienbeispiele Öffentlichkeitsarbeit: Mitarbeiterzeitungen, Fachzeitschriften, Pressemitteilungen, Kongressbeiträge, Arbeitskreise, etc.

Prüffragen:

  • Ist sichergestellt, dass die Mitarbeiter kontinuierlich und ausreichend für Informationssicherheit sensibilisert und geschult werden?

Stand: 14. EL Stand 2014