Bundesamt für Sicherheit in der Informationstechnik

M 3.47 Durchführung von Planspielen zur Informationssicherheit

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Sicherheitsschulungen empfinden Teilnehmer oft als trocken. Dadurch wird der gewünschte Lerneffekt häufig nicht erreicht. Eine gute Möglichkeit, den Lernstoff aufzulockern, sind Plan- oder Rollenspiele. An solche Spiele erinnern sich die Teilnehmer meist länger und prägnanter als an klassische Folienpräsentationen. Auch tragen sie dazu bei, die Bedrohungen stärker zu verdeutlichen und typische Schwachstellen, aber auch Lösungsmöglichkeiten in der eigenen Arbeitsumgebung aufzuzeigen. Sie ermöglichen es den Teilnehmern, Situationen zu üben, um dann im Ernstfall routinierter zu agieren.

Planspiele können aus praktischen Beispielen, z. B. anhand aktueller Vorfälle aus den Medien, selbst zusammengestellt oder bei Schulungsdienstleistern in Auftrag gegeben werden. Dabei sind die Inhalte der Planspiele möglichst an die eigene Institution anzupassen. Dadurch können sich die Mitarbeiter besser mit den aufgezeigten Lösungen identifizieren. Durch die Simulation z. B. von Sicherheitsvorfällen, die geschäftskritische Prozesse beeinträchtigen können, sind die Mitarbeiter im Ernstfall bestens vorbereitet.

Genau wie bei Schulungen ist die zielgruppengerechte Planung von Inhalten auch hier sehr wichtig. Die Teilnehmer sollen die Relevanz der Rollenspiele erkennen und in ihrem Arbeitsumfeld unmittelbar davon profitieren können.

Bei allen Bemühungen, die Mitarbeiter auf die Bedeutung von Informationssicherheit aufmerksam zu machen, sollte eine positive und konstruktive Grundstimmung bewahrt werden. Ständige Angst vor Sicherheitsvorfällen kann einerseits zur Verdrängung von Sicherheitsproblemen und andererseits zu Panikreaktionen verleiten.

Die folgenden Beispiele zeigen, dass Planspiele von sehr einfach zu realisierenden Übungen, die im Rahmen einer Schulung durchgeführt werden können, bis hin zu komplexen Simulationsübungen reichen können. Die Aufgabe der verantwortlichen Planer ist es nun, entsprechend den Erfordernissen der unterschiedlichen Zielgruppen die geeigneten Szenarien zu entwickeln.

Tragen von Mitarbeiterausweisen

Durch kurze Rollenspiele können Mitarbeiter sehr gut üben, wie sie sich verhalten sollen, wenn sie innerhalb der Institution organisationsfremde Personen antreffen. Es kann eingeübt werden, wie die Mitarbeiter optimal auf diese Situation reagieren können, beispielsweise indem sie anbieten, die Externen "zu ihrer besseren Orientierung" zum Gesprächspartner zu begleiten. Auch der Umgang mit Besuchern, die die Hausregeln kennen, aber verweigern, kann trainiert werden, beispielsweise wenn ein Besucher das Tragen eines Ausweises ablehnt, weil er persönlich mit dem Geschäftsführer bekannt sei.

Social-Engineering-Attacken

Im Rahmen von Simulationen können Mitarbeiter üben, wie sie sich bei Social-Engineering-Attacken verhalten sollen. Dazu werden die ausgewählten Zielgruppen wie z. B. IT-Betreuer und verschiedene Administratorengruppen in einer gemeinsamen Simulation mit vermeintlich harmlosen Anfragen konfrontiert. Erst durch das fachübergreifende Betrachten dieser Anfragen wird deutlich, dass hier ein Angriff vorliegt. Ziel der Simulation ist es, diese Zusammenhänge durch entsprechende Übungen herauszufinden, um im Anschluss in definierter Art und Weise reagieren zu können. Diese Art von Simulation lässt sich in der Praxis sehr gut durch Workshops mit Moderationsmaterialien wie Pinnwand und Moderationskarten durchführen.

Simulationsübungen

Besonders wichtig sind Simulationen, in denen die Behandlung von Sicherheitsvorfällen bis hin zu Notfallsituationen geübt wird. Sie sollen Mitarbeiter in die Lage versetzen, zugeordnete Rollen und Verantwortlichkeiten innerhalb eines Szenarios auch unter erschwerten Bedingungen (Anspannung, Häufung von Anweisungen, unklare oder oft wechselnde Sachlage, Ressourcenmangel, Kommunikationsprobleme etc.) möglichst sicher wahrzunehmen. Das Ziel von Simulationen liegt primär im Training persönlicher Fähigkeiten anhand repräsentativer Szenarien, die dann in möglichst vielen Vorfallssituationen genutzt werden können. Daher sollte eine Simulation von einem erfahrenen Trainer geleitet werden, der nach ihrer Durchführung im Rahmen eines Reviews mit den Teilnehmern ihre Erfahrungen diskutiert und vertieft (siehe M 6.117 Tests und Notfallübungen ).

Prüffragen:

  • Werden schwierige Situationen in Planspielen trainiert?

  • Sind Sensibilisierungs- und Schulungsinhalte auf die sinnvolle Unterstützung durch Planspiele geprüft worden?

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK