Bundesamt für Sicherheit in der Informationstechnik

M 3.5 Schulung zu Sicherheitsmaßnahmen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Vorgesetzte

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Vorgesetzte

Wie sich an vielen konkreten Beispielen wie den Schadensstatistiken von Elektronik-Versicherern belegen lässt, resultieren Schäden oft schlicht aus der Unkenntnis elementarer Sicherheitsmaßnahmen. Um dies zu verhindern, ist jeder einzelne Mitarbeiter zum sorgfältigen Umgang mit geschäftsrelevanten Informationen und der IT zu schulen und zu motivieren. Nur durch die Vermittlung der notwendigen Kenntnisse kann ein Verständnis für die erforderlichen Maßnahmen zur Informationssicherheit geweckt werden.

Im Folgenden werden die Kernthemen, die bei einer Schulung zu Sicherheitsmaßnahmen vermittelt werden sollten, vorgestellt. Eine ausführliche und zielgruppengerichtete Beschreibung von Schulungsinhalten findet sich in M 3.45 Planung von Schulungsinhalten zur Informationssicherheit .

  • Sensibilisierung für Informationssicherheit
    Jeder Mitarbeiter ist auf die Bedeutung der Sicherheitsbelange hinzuweisen. Ein geeigneter Einstieg in die Sensibilisierung ist es beispielsweise, die Abhängigkeit der Behörde bzw. des Unternehmens und damit der Arbeitsplätze vom reibungslosen Funktionieren der Geschäftsprozesse aufzuzeigen. Darüber hinaus ist der Wert von Informationen unter den Gesichtspunkten Vertraulichkeit, Integrität und Verfügbarkeit herauszuarbeiten. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen Zeitabständen zu wiederholen.
  • Mitarbeiterbezogene Informationssicherheitsmaßnahmen
    Zu diesem Thema sollen die Sicherheitsmaßnahmen vermittelt werden, die in einem Informationssicherheitskonzept erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen sind. Je nach Geschäftsprozess oder Fachaufgabe kann es andere Werte geben, die zu schützen sind, oder einen anderen Schutzbedarf haben. Den Mitarbeitern sollte vermittelt werden, welche Bedeutung Informationen oder andere Objekte für die Institution haben und was sie beim Umgang mit diesen beachten sollten. Dieser Teil der Schulungsmaßnahmen hat eine große Bedeutung, da viele Sicherheitsmaßnahmen erst nach einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können.
  • Produktbezogene Sicherheitsmaßnahmen
    Zu diesem Thema sollen die Sicherheitsmaßnahmen vermittelt werden, die inhärent mit einem Produkt wie beispielsweise einem IT-System verbunden sind und häufig bereits im Lieferumfang enthalten sind. Dies können neben Passwörtern zur Anmeldung auch Möglichkeiten zur Verschlüsselung von Dokumenten oder Datenfeldern sein. So können beispielsweise Hinweise und Empfehlungen über die Strukturierung und Organisation von Dateien den Aufwand zur Datensicherung deutlich reduzieren.
  • Verhalten bei Auftreten von Schadsoftware
    Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren oder anderer Schadsoftware umzugehen ist. Mögliche Inhalte dieser Schulung sind (siehe M 6.23 Verhaltensregeln bei Auftreten von Schadprogrammen ):
    • Erkennen einer Schadsoftware-Infektion
    • Wirkungsweise und Arten von Schadsoftware
    • Sofortmaßnahmen im Verdachtsfall
    • Maßnahmen zur Eliminierung von Schadsoftware
    • Vorbeugende Maßnahmen
  • Authentikation
    Mitarbeiter sollten mit den vorhandenen Authentikationsmechanismen und den hierfür genutzten Authentikationsmitteln ( z. B. Passwörtern oder Token) korrekt umgehen gehen können. Beispielsweise sollen die Bedeutung von Passwörtern für die Informationssicherheit sowie die Randbedingungen erläutert werden, die einen wirksamen Einsatz eines Passwortes erst ermöglichen (siehe auch M 2.11 Regelung des Passwortgebrauchs ).
  • Bedeutung der Datensicherung und deren Durchführung
    Die regelmäßige Datensicherung ist eine der wichtigsten Sicherheitsmaßnahmen in jedem Informationsverbund. Vermittelt werden soll das Datensicherungskonzept (siehe Baustein B 1.4 Datensicherungskonzept ) der Behörde bzw. des Unternehmens und die von jedem einzelnen durchzuführenden Datensicherungsaufgaben. Besonders wichtig ist dies für solche Bereiche, in denen Benutzer selbst die Datensicherungen durchführen müssen.
  • Umgang mit personenbezogenen Daten
    An den Umgang mit personenbezogenen Daten sind besondere Anforderungen zu stellen. Mitarbeiter, die mit personenbezogenen Daten arbeiten, sind für die gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. Dies betrifft beispielsweise den Umgang mit Auskunftsersuchen, Änderungs- und Verbesserungswünschen der Betroffenen, gesetzlich vorgeschriebene Fristen zur Datenlöschung, Schutz der Vertraulichkeit und die Übermittlung der Daten.
  • Einweisung in Notfallmaßnahmen
    Sämtliche Mitarbeiter sind in bestehende Notfallmaßnahmen einzuweisen. Dazu gehört die Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer oder anderen Notfällen, der Umgang mit Feuerlöschern und das Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist).
  • Vorbeugung gegen Social Engineering
    Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die typischen Muster solcher Versuche, über gezieltes Aushorchen an vertrauliche Informationen zu gelangen, ebenso wie die Methoden, sich dagegen zu schützen, sollten erläutert werden. Da Social Engineering oft mit der Vorspiegelung einer falschen Identität einhergeht, sollten Mitarbeiter regelmäßig darauf hingewiesen werden, die Identität von Gesprächspartnern zu überprüfen und insbesondere am Telefon keine vertraulichen Informationen weiterzugeben.

Bei der Durchführung von Schulungen sollte immer beachtet werden, dass es nicht reicht, einen Mitarbeiter einmal während seines gesamten Arbeitsverhältnisses zu schulen. Für nahezu alle Formen von Schulungen - insbesondere Front-Desk-Schulungen - gilt, dass sehr viele neue Informationen auf die Teilnehmer einstürzen. Diese gelangen nur zu einem kleinen Teil ins Langzeitgedächtnis, 80% des vermittelten Wissens sind meist schon bei Schulungsende wieder vergessen.

Daher sollten Mitarbeiter immer wieder zu Themen rund um die Informationssicherheit geschult bzw. sensibilisiert werden. Dies kann beispielsweise

  • in kürzeren Veranstaltungen zu aktuellen Sicherheitsthemen,
  • im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen, oder
  • durch interaktive Schulungsprogramme, die allen Mitarbeitern zur Verfügung stehen, erfolgen.

Prüffragen:

  • Werden die Mitarbeiter zu Themen rund um die Informationssicherheitsmaßnahmen geschult?

  • Wird den Mitarbeitern vermittelt, welche Bedeutung Informationen oder andere Objekte haben und was sie beim Umgang mit diesen beachten sollten?

  • Werden Mitarbeiter, die mit personenbezogenen Daten arbeiten, für die gesetzlich erforderlichen Sicherheitsmaßnahmen geschult?

  • Werden die Mitarbeiter regelmäßig zu Themen der Informationssicherheit geschult bzw. sensibilisiert?

Stand: 14. EL Stand 2014