Bundesamt für Sicherheit in der Informationstechnik

M 2.312 Konzeption eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

Die Mitarbeiter sind wesentliche Erfolgsfaktoren, um Informationssicherheit in einer Institution zu etablieren und aufrechtzuerhalten. Sie sind es, die technische Schutzsysteme nutzen oder administrieren, die Richtlinien und Vorgaben mehr oder weniger sorgfältig beachten und die aus Unkenntnis oder Vorsatz sicherheitsrelevante Fehler machen können.

Die im Rahmen eines Sicherheitskonzeptes realisierten technischen und organisatorischen Maßnahmen wirken sich in vielfältiger Weise auf die einzelnen Mitarbeiter aus. So könnten sie zu regelmäßigen Passwortwechseln gezwungen sein, bestimmte Bereiche der Institution ohne Genehmigung nicht betreten dürfen, ihre Mitarbeiterausweise gut sichtbar tragen oder regelmäßig Sicherheitsschulungen besuchen müssen.

Ziel jeder Institution sollte es daher sein, dass alle Mitarbeiter den Wert und die Notwendigkeit einer angemessenen Informationssicherheit zur Erfüllung ihrer Aufgaben und den Fortbestand der Institution erkennen, akzeptieren und aktiv unterstützen. Sie sollten die bestehenden Regelungen und Maßnahmen beachten und durch ihr Verhalten dazu beitragen, die Informationssicherheit aufrechtzuerhalten und weiterzuentwickeln. Auch sollten sie sicherheitskritische Situationen möglichst frühzeitig erkennen und darauf richtig reagieren.

Dies setzt eine systematische Sensibilisierung der Mitarbeiter voraus, die durch einen kontinuierlichen Prozess in der Institution zu verankern ist. Aufbauend auf der Sensibilisierung sollten die Mitarbeiter durch ergänzende Schulungen alle erforderlichen Informationen und Fähigkeiten vermittelt bekommen (siehe M M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit ). Sensibilisierungs- und Schulungsprogramme sind somit eng verwandte Themengebiete, denen auf allen Organisationsebenen eine hohe Bedeutung zugemessen werden sollte. Damit das besondere Gewicht von Sensibilisierungsmaßnahmen erkennbar ist und die benötigten Ressourcen zur Planung, Umsetzung und Aufrechterhaltung verfügbar sind, muss das Management die Maßnahmen unterstützen (siehe M 3.96 Unterstützung des Managements für Sensibilisierung und Schulung ).

Nachfolgend sind die Schritte aufgeführt, mit denen ein Sensibilisierungsprogramm erstellt werden kann:

Ziel der Sensibilisierung festlegen

Sensibilisierung für Informationssicherheit bedeutet, dass bei Mitarbeitern die Wahrnehmung von Informationssicherheit geschärft und ihr Sicherheitsbewusstsein entsprechend den Anforderungen der Institution geschult wird.

Zu Beginn der Sensibilisierung sollte ein Ziel definiert und im weiteren Verlauf dieser Maßnahme zielgruppenbezogen verfeinert werden. So können später Inhalte passgenau entwickelt und der Erfolg der Maßnahmen gemessen werden. Bei der Zieldefinition sollte die Frage im Vordergrund stehen, warum Informationssicherheit für die Institution und ihre Mitarbeiter wichtig ist.

Beispiel für eine Zieldefinition:

  • Die Mitarbeiter erkennen die Bedeutung von Informationssicherheit für die Institution und ihren Arbeitsplatz.
    Sie kennen die relevanten Gefährdungen und können die Auswirkungen von Sicherheitsvorfällen und Verstößen gegen geltende Regelungen beurteilen. Sie akzeptieren die Maßnahmen zur Informationssicherheit und sind bereit, diese zu beachten und in ihrem Arbeitsumfeld aktiv an deren Aufrechterhaltung und Weiterentwicklung mitzuarbeiten.

Zielgruppenanalyse durchführen

Durch die Zielgruppenanalyse werden Mitarbeiter mit vergleichbaren Merkmalen in Bezug auf die Informationssicherheit identifiziert, wie z. B. ¿Administratoren", "Mitarbeiter der Personalabteilung" oder "externe Mitarbeiter". Weiterhin sollten hier auch Entwicklungen der Mitarbeiterlaufbahn betrachtet werden, die für die Institution charakteristisch sind, z. B. Abteilungs-, Funktions- oder Standortwechsel.

Durch die Zielgruppenanalyse können die Sensibilisierungsmaßnahmen an spezielle Anforderungen und unterschiedliche Hintergründe der Mitarbeiter angepasst werden (siehe M 3.93 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme ).

Sensibilisierungsziel pro Zielgruppe detaillieren

Die Sensibilisierungsmaßnahmen sind zielgruppengerecht aufzubereiten. Als Ergebnis können z. B. Auswirkungen von Sicherheitsvorfällen für die jeweiligen Mitarbeiter so praxisnah wie möglich beschrieben werden. Weiterhin hat es sich auch als äußerst wirksam erwiesen, Beispiele aus dem privaten Umfeld der Mitarbeiter in Sensibilisierungsprogramme mit aufzunehmen, wie der Verlust der Digitalfotos aus dem letzten Urlaub oder ein verlorenes Smartphone.

Inhalte der Sensibilisierung festlegen

Sensibilisierungskampagnen können alle Themen beinhalten, die begründen, warum Informationssicherheit für die Institution und ihre Mitarbeiter wichtig ist. Hierzu zählen z. B. relevante Gefährdungen oder beispielhafte wie auch reale Sicherheitsvorfälle, an denen richtiges Verhalten trainiert werden kann. Dabei sollte darauf geachtet werden, dass genügend Inhalte einen engen Bezug zur Institution und der angesprochenen Zielgruppe haben. Zusätzlich können Beispiele aus vergleichbaren Institutionen oder aussagekräftigen Publikationen die Inhalte untermauern.

Medien und Methoden auswählen

Es sind solche Medien und Methoden auszuwählen, die sich eng an der herrschenden Kultur der Institution orientieren. Ziel ist es, die Mitarbeiter mit vertretbaren Kosten möglichst eindrucksvoll und nachhaltig zu erreichen und für Informationssicherheit zu sensibilisieren. Das heißt, die Wahrnehmungen, Emotionen und Fähigkeiten der Mitarbeiter für Schwachstellen und Vorfälle in ihrer Arbeitsumgebung müssen gestärkt werden, damit sie diese frühzeitig erkennen, bewerten und richtig darauf reagieren. Dabei sollte auf reine Anweisungstexte, ausführliche und detaillierte schriftliche Regelungen sowie auf eine für die Zielgruppe unverständliche Fachsprache zugunsten einer kurzen und prägnanten Kommunikation verzichtet werden (siehe auch M 3.47 Durchführung von Planspielen zur Informationssicherheit ).

Sensibilisierungsmaßnahmen umsetzen

Sensibilisierung und Schulung sind eng verwandte Themen, die sich in der Umsetzung ergänzen und aufeinander aufbauen. Sensibilisierung soll die Mitarbeiter zum Handeln motivieren (siehe M 2.198 Sensibilisierung der Mitarbeiter für Informationssicherheit ). Die richtigen Verhaltensweisen werden anschließend durch entsprechende Schulungsmaßnahmen weiter unterstützt (siehe M 2.557 Konzeption eines Schulungsprogramms zur Informationssicherheit ). Es ist in der Praxis eine große Herausforderung, Mitarbeiter für Informationssicherheit zu interessieren und das richtige Verhalten aufrechtzuerhalten. Bekanntermaßen fallen Lernkurven nach Schulungen ohne unterstützende Maßnahmen schnell wieder ab. Deshalb muss der Lernstoff durch geeignete Maßnahmen, z. B. durch regelmäßige Wiederholungen, gefestigt werden (siehe M 3.95 Lernstoffsicherung ).

Erfolg von Sensibilisierung messen

Der Erfolg der festgelegten Sensibilisierungsziele ist zu messen und auszuwerten. Dafür sollte der Sensibilisierungsstand der Teilnehmer vor, während und nach der Maßnahme anhand geeigneter Kennzahlen oder Kriterien erfasst werden. So lässt sich verfolgen, ob die Kampagne erfolgreich ist und wie sich die Sensibilisierung entwickelt. Weitere Informationen sind in Maßnahme M 3.94 Messung und Auswertung des Lernerfolgs dargestellt.

Sensibilisierungsprogramm aktualisieren

Informationssicherheit ist in einer Institution permanenten Veränderungen unterworfen. IT-Systeme, Prozesse, Leistungsspektren, Wettbewerbssituationen wandeln sich und damit einhergehend auch Gefährdungslagen, Risikobewertungen und erforderliche Sicherheitsmaßnahmen. Zusätzlich müssen die Ergebnisse der bisherigen Sensibilisierungsmaßnahmen betrachtet werden, insbesondere notwendige Veränderungen aufgrund der Messung und Auswertung des Lernerfolgs.

Diese Veränderungen müssen daher sorgfältig analysiert werden. Das Sensibilisierungsprogramm ist regelmäßig zu aktualisieren.

Prüffragen:

  • Liegt ein zielgruppenorientiertes Sensibilisierungsprogramm vor?

  • Wird das Sensibilisierungsprogramm regelmäßig überprüft und aktualisiert?

Stand: 14. EL Stand 2014