Bundesamt für Sicherheit in der Informationstechnik

M 3.83 Analyse sicherheitsrelevanter personeller Faktoren

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter Personal

Verantwortlich für Umsetzung: Personalabteilung, Vorgesetzte

Zu den wichtigsten Grundpfeilern der Informationssicherheit in einer Institution gehören deren Mitarbeiter. Wie die Erfahrung zeigt, sind selbst die aufwendigsten technischen Sicherheitsvorkehrungen ohne das richtige Verhalten der Mitarbeiter wertlos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden Informationen der Institution sind dafür wesentlich.

Die für die Institution ausgewählten Sicherheitsmaßnahmen sollten sich daher immer an den Mitarbeitern orientieren. Dabei sollte deren Wissen und Umgang mit Informationen und IT einbezogen werden. Daher ist es sinnvoll, die verschiedenen Faktoren zu analysieren, die dazu beitragen, wie sich Mitarbeiter aus Sicherheitssicht verhalten. Darauf aufbauend kann dann untersucht werden, wo die personelle und organisatorische Sicherheit noch verbessert werden kann, beispielsweise durch Sensibilisierung und Schulung zur Informationssicherheit.

Folgende Aspekte sollten durchleuchtet werden:

Sicherheitskultur

Der Begriff Sicherheitskultur umfasst die sicherheitsbezogenen Einstellungen, Werte und grundlegenden Überzeugungen einer Institution und aller ihrer Mitarbeiter. Zur Sicherheitskultur gehört auch, wie offen der Umgang mit Fragen zur Informationssicherheit in der Institution gelebt wird. So ist für die effektive und effiziente Behandlung von Sicherheitsvorfällen eine vertrauensvolle und offene Kommunikationskultur wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und lösungsorientiert angegangen werden.

  • Wie ist der Umgang in der Behörde oder dem Unternehmen mit geschäftsrelevanten Informationen und mit Risiken generell? Ist die Institution eher risiko-orientiert oder eher risiko-vermeidend? Werden Informationen eher freizügig oder nur restriktiv weitergegeben?
  • Wie sind die Anforderungen an Genauigkeit und Präzision? Sind kleinere Fehler beispielsweise in Texten tragbar, weil diese ohnehin noch mehrere Abstimmprozesse durchlaufen müssen? Kann ein Eingabefehler bereits zu folgenschweren Schäden führen?
  • Wie sind die Ansprüche an Verfügbarkeit? Gibt es eine Vielzahl enger Termine? Können Bearbeitungszeiten für Anfragen und Geschäftsprozesse flexibel festgelegt werden? Sind kleinere Terminüberschreitungen oder -änderungen im Allgemeinen tragbar oder führen sie zu harten Konsequenzen?

Stark beeinflusst wird die Sicherheitskultur einer Institution davon, in welcher Branche sie tätig ist. In Hochsicherheitsbereichen wird naturgemäß weniger offen mit Informationen umgegangen als in Forschungseinrichtungen.

Wissen und Können

  • Wie gut kennen sich die Mitarbeiter mit IT aus? Ist IT- und Internet-Nutzung eher eine Notwendigkeit, um Geschäftsprozesse effektiver gestalten zu können, oder sind Leben und Arbeiten ohne IT und Internet nicht mehr vorstellbar?
  • Welche Erfahrungen und Kenntnisse haben die Mitarbeiter über Informationssicherheit und Datenschutz? Wie sind deren Fähigkeiten zu IT-basierten Sicherheitsmaßnahmen wie Verschlüsselung? Wie ist das Wissen in den verschiedenen Bereichen der Institution verteilt?
  • Wie ist der gelebte Umgang der Mitarbeiter mit Fragen der Informationssicherheit und des Datenschutzes? Wie sehen die Mitarbeiter den Bedarf, Informationen vor Veränderungen oder unbefugter Weitergabe zu schützen?
  • Können Mitarbeiter aktiv ihre Ideen und Vorstellungen zur Informationssicherheit in den Sicherheitsprozess einbringen?

Sicherheitsrichtlinien

  • Passen die Sicherheitsrichtlinien der Institution zu den Geschäftsprozessen und der internen Sicherheitskultur? Sind sie einfach umzusetzen? Sind sie praxisnah und den aktuellen Umgebungsbedingungen angepasst? Behindern sie Arbeitsläufe? Unterstützen sie erwünschte Verhaltensweisen?

Anwendungen und IT

  • Ermöglichen die vorhandenen IT-Komponenten einen Umgang mit den geschäftsrelevanten Informationen, der sowohl deren Schutzbedarf als auch den festgelegten Sicherheitsvorgaben entspricht?

Leitungsebene

  • Wie steht die Leitungsebene zur Informationssicherheit? Nehmen Vorgesetzte ihre Vorbildfunktion war? Gibt es Wünsche der Leitungsebene zur Verbesserung der Sicherheitsprozesse?

Kulturelle Hintergründe

  • Auch die kulturellen Hintergründe können den Umgang mit zu schützenden Informationen und mit Sicherheitsvorgaben generell beeinflussen. Daher sollte untersucht werden, ob es regionale und nationale Unterschiede im Umgang mit Informationssicherheit gibt. Vor allem sollte auch ergründet werden, welche unterschiedlichen Herangehensweisen an Informationssicherheit es in den verschiedenen Bereichen der Institution gibt. Auch einzelne Abteilungen können bereits eigene Regeln und Verhaltensweisen im Umgang mit geschäftsrelevanten Informationen entwickeln.

Veränderungen

  • Alle Arten von weitreichenden Veränderungen für die Beschäftigten können deren Umgang mit Informationen, Geschäftsprozessen und IT ändern. Dazu gehören beispielsweise Umstrukturierungen, Entlassungen, Wechsel von Aufgaben oder Vorgesetzten.

Sollte sich bei der Analyse herausstellen, dass sich Mitarbeiter anders verhalten als es aus Sicherheitssicht sinnvoll ist, gibt es verschiedene Wege, um hiermit umzugehen. Es kann z. B. versucht werden, das Verhalten zu ändern (siehe B 1.13 Sensibilisierung und Schulung zur Informationssicherheit ). Andererseits kann es in vielen Fällen einfacher sein, die Sicherheitsvorgaben oder Arbeitsabläufe umzugestalten, da Änderungen von Verhaltensweisen nur langfristig zu erreichen sind.

Prüffragen:

  • Wurden in die Sicherheitskonzeption personelle Einflussfaktoren wie die vorhandene Sicherheitskultur einbezogen?

Stand: 12. EL Stand 2011

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK