Bundesamt für Sicherheit in der Informationstechnik

M 3.44 Sensibilisierung des Managements für Informationssicherheit

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Eine nachdrückliche und aktive Unterstützung durch die Behörden- bzw. Unternehmensleitung ist essentiell, damit Sicherheitskampagnen für die Mitarbeiter erfolgreich sein können. Daher ist es unabdingbar, dass vor dem Beginn von Sensibilisierungsmaßnahmen zur Informationssicherheit für Mitarbeiter das Management für Sicherheitsfragen sensibilisiert wird.

Die wichtigsten Informationen, die dem Management dabei geliefert werden müssen sind:

  • Darstellung der Sicherheitsrisiken und damit verbundenen Kosten
    Die Aufmerksamkeit der Entscheidungsträger kann z. B. durch Berichte über Sicherheitsvorfälle erreicht werden, die die eigene Institution ebenso betreffen könnten (aus Institutionen derselben Branche oder mit ähnlicher IT). Beispiele konkreter Sicherheitsvorfälle aus der Nachbarschaft oder bei vergleichbaren Institutionen können die Rückendeckung des Managements erleichtern. Solche Beispiele finden sich mittlerweile nicht nur in Fachzeitschriften, sondern auch in Tageszeitungen (z. B. nach Hackerangriffen oder Virenvorfällen) und natürlich in großer Menge im Internet. Tatsächliche Schadensfälle aus der Vergangenheit aus der eigenen Institution können ebenfalls zu diesem Ziel eingesetzt werden.
    Die Darstellung von finanziellen Schäden in konkreten Zahlen ist erfahrungsgemäß schwierig. Statistiken und Auswertungen, wie sie beispielsweise von den Polizeien (BKA, FBI) oder Sicherheitsfachzeitschriften von Zeit zu Zeit veröffentlicht werden, bieten in manchen Fällen geeignete Informationen.
  • Auswirkungen auf die Geschäftsprozesse
    Des Weiteren ist es wichtig, dass die Auswirkungen von Informationssicherheitsvorfällen auf die geschäftskritischen Prozesse geschildert werden. Mögliche Abhängigkeiten von Anwendungen und IT-Systemen sind der Geschäftsführung nicht immer bekannt.
    Eine Auflistung von möglichen Sicherheitsrisiken reicht jedoch in der Regel nicht aus, um die Unterstützung des Managements zu gewinnen. Eine ausgewogene Argumentation sollte darüber hinaus auch die folgenden Punkte beinhalten.
  • Rechtliche Sicherheitsanforderungen
    Gesetze und andere juristische Vorgaben können ebenfalls Anforderungen an die Informationssicherheit in einer Institution nach sich ziehen, hierzu gehören beispielsweise Datenschutzgesetze, Sozialgesetzbuch, Handelsgesetzbuch, Bürgerliches Gesetzbuch, Strafgesetzbuch, etc.
    Viele gesetzliche Formulierungen zu Anforderungen der Informationssicherheit sind allgemein gehalten und können unter Umständen unverbindlich erscheinen.
    In der Tat lassen sich hieraus jedoch konkrete Verpflichtungen für die Gewährleistung eines angemessenen Sicherheitsniveaus ableiten. Eine Institution muss untersuchen, welche Regularien und Gesetze im Einzelnen Fall zur Wirkung kommen können.
  • Vorteile einer Zertifizierung
    Eine Zertifizierung der Informationssicherheitsprozesse bestätigt offiziell die hohe Wertschätzung der Informationssicherheit in einer Institution. Das Vertrauen der Geschäftspartner und der Öffentlichkeit in die IT der Institution wird dadurch gestärkt. Eine Zertifizierung kann außerdem bei Ausschreibungen Wettbewerbsvorteile mit sich bringen.
  • Standard-Vorgehensweisen zur Informationssicherheit für die Branche
    Eine zusätzliche Motivation für den Einsatz von Informationssicherheitsstandards ist das Verhalten anderer ähnlicher Organisationen. Informationen zu Branchen-Standards können aus Fachzeitschriften der Branchen, aus Veranstaltungen oder durch Kontakte zu Kammern und Verbände bezogen werden.

Ein geeigneter Einstieg für die Sensibilisierung der Leitungsebene ist ein kurzer Bericht, gefolgt von einer Präsentation, die mit aktuellen Beispielen (extern und intern) das Thema Informationssicherheit erläutert. Hierbei sollte beispielsweise aufgezeigt werden, dass technische Maßnahmen ohne gleichzeitige personelle und organisatorische Maßnahmen sinnlos sind. Um die Unterstützung des Managements zu bekommen, ist es hilfreich, den Nutzen solcher Maßnahmen aufzuzeigen.

Durch die Präsentation von Sicherheitsrisiken und Lösungsalternativen kann das Management für die Notwendigkeit der Umsetzung von Sicherheitsmaßnahmen überzeugt werden.

Informationssicherheit wird erfahrungsgemäß in einer Institution nur dann erfolgreich umgesetzt, wenn alle Vorgesetzten hier mit gutem Beispiel vorangehen. Sinnvoll ist es daher, alle Führungskräfte explizit darauf zu verpflichten, ihre Mitarbeiter auf die Einhaltung der Sicherheitsvorgaben hinzuweisen und zu sensibilisieren.

Prüffragen:

  • Wird das Management für Sicherheitsfragen sensibilisiert?

  • Unterstützt die Leitungsebene die Informationssicherheit durch beispielhaftes Verhalten?

Stand: 13. EL Stand 2013