Bundesamt für Sicherheit in der Informationstechnik

ORP.3 Sensibilisierung und Schulung

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Um Informationssicherheit innerhalb einer Institution erfolgreich und effizient zu verwirklichen, sind die Mitarbeiter ein notwendiger und bedeutender Erfolgsfaktor. Daher müssen sich alle Mitarbeiter über ihre Rollen im Informationssicherheitsmanagement bewusst sein. Sie müssen die Sicherheitsziele der Institution kennen sowie die Sicherheitsmaßnahmen verstehen und bereit sein, sie wirkungsvoll zu unterstützen. Hierfür müssen in der Institution ein Sicherheitsbewusstsein (Awareness) sowie eine Sicherheitskultur aufgebaut und gestaltet werden.

Mitarbeiter müssen für relevante Gefährdungen sensibilisiert werden und wissen, wie sich diese auf ihre Institution auswirken können. Je besser die Mitarbeiter die Gefährdungslage kennen, desto eher werden entsprechende Sicherheitsmaßnahmen akzeptiert. Mitarbeiter müssen über die erforderlichen Kenntnisse verfügen, um Maßnahmen richtig verstehen und anwenden zu können. Insbesondere muss ihnen bekannt sein, was von ihnen im Hinblick auf Informationssicherheit erwartet wird und wie sie in sicherheitskritischen Situationen reagieren sollen.

1.2 Zielsetzung

In diesem Baustein wird beschrieben, wie ein effektives Sensibilisierungs- und Schulungsprogramm zur Informationssicherheit aufgebaut und aufrechterhalten werden kann. Ziel der Sensibilisierung und Schulung für Informationssicherheit ist es, die Wahrnehmung der Mitarbeiter für sicherheitskritische Situationen und ihre Auswirkungen zu schärfen sowie ihnen die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten zu vermitteln.

1.3 Abgrenzung

Dieser Baustein betrachtet Anforderungen an die Sensibilisierung und Schulung zur Informationssicherheit, die sowohl das Umfeld innerhalb der Institution als auch die Telearbeit und das mobile Arbeiten betreffen. Die relevanten Themen der Informationssicherheit müssen entsprechend den Institutionsvorgaben regelmäßig geschult und sensibilisiert werden.

Der Baustein ORP.3 Sensibilisierung und Schulung beschreibt die prozessualen, technischen, methodischen und organisatorischen Anforderungen an die Sensibilisierung und Schulung von Informationssicherheit. Andere Schulungsthemen werden durch die Abteilung Personal oder die Abteilung Weiterbildungsmanagement der Institution geplant, gestaltet und durchgeführt.

Um Redundanzen zu vermeiden und die Effizienz der Aus- und Weiterbildung in der Institution zu stärken, sollte sich der Informationssicherheitsbeauftragte regelmä­ßig nicht nur mit der Personalabteilung, sondern auch mit anderen Sicherheit-nahen Bereichen (Datenschutz, Gesundheits- und Arbeitsschutz, Brandschutz, etc.) austauschen.

In vielen der anderen IT-Grundschutz-Bausteine werden konkrete Schulungsinhalte zu den betrachteten Themen beschrieben. Dieser Baustein beschäftigt sich damit, wie in den Bereichen Sensibilisierung und Schulung der Informationssicherheit ein planvolles, zyklisches und organisatorisches Vorgehen effizient gestaltet werden kann.

2 Gefährdungslage

Folgende spezifischen Bedrohungen und Schwachstellen sind für den Bereich Sensibilisierung und Schulung von besonderer Bedeutung.

2 1 Unzureichende Kenntnis über Regelungen

Regelungen zur Informationssicherheit lediglich festzulegen, sichert noch nicht, dass sie beachtet werden. Allen Mitarbeitern müssen die geltenden Regelungen auch bekannt sein, insbesondere den Funktionsträgern. Bei vielen Sicherheitsvorfällen ist die Nichtbeachtung von Regelungen zwar nicht der alleinige Auslöser des Vorfalls, aber ein Grund für dessen Wirksamkeit. Sicherheitslücken aufgrund unzureichender Kenntnisse über Regelungen können die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen, mit denen gearbeitet wird, gefährden. Die Aufgabenerfüllung und die Abwicklung von Geschäftsprozessen können dadurch in jeder Hinsicht (z. B. zeitlich, qualitativ, bezüglich der Verbindlichkeit) eingeschränkt werden.

2 2 Unzureichende Sensibilisierung für Informationssicherheit

Die Erfahrung zeigt, dass es nicht genügt, lediglich die Umsetzung von bestimmten Sicherheitsmaßnahmen anzuordnen. Ohne ein Verständnis dafür, welche Gründe es für die Maßnahmen gibt und welchem Zweck sie dienen, führen die Maßnahmen häufig ins Leere oder werden ignoriert. Werden Mitarbeiter unzureichend zu Informationssicherheitsthemen sensibilisiert, entstehen somit in den technischen und organisatorischen Geschäftsprozessen betriebliche und umsetzungsbedingte Risiken. Die Sicherheitskultur, die Sicherheitsziele und die Sicherheitsstrategie der Institution können gefährdet sein, wenn Mitarbeiter keinen konkreten Bezug zu ihrer realen Arbeitswelt herstellen können, sofern ihnen nicht der Sinn und Zweck von Sicherheitsmaßnahmen vermittelt wird. Dies führt zu fehlender Akzeptanz von Sicherheitsmaßnahmen und Mängeln bei der Einhaltung.

2 3 Wenig erfolgreiche Aktivitäten zur Sensibilisierung und Schulung

Nicht immer sind die zur Sensibilisierung und Schulung durchgeführten Aktivitäten so erfolgreich wie gewünscht. Ursachen dafür können sein:

  • fehlende Management-Unterstützung
  • unklare Ziele
  • schlechte Planung
  • mangelnde Erfolgskontrolle
  • fehlende Kontinuität
  • zu geringe finanzielle oder personelle Ressourcen

Werden keine geeigneten Maßnahmen ergriffen, um den Erfolg der durchgeführten Aktivitäten sicherzustellen, kann das Ziel der jeweiligen Schulungsaktivität häufig nicht erreicht werden. Wenn die Institution unzureichende Aktivitäten zur Sensibilisierung und Schulung der Mitarbeiter durchführt, können sind Aspekte der Informationssicherheit gefährdet sein, was direkt zu Einschränkungen der Aufgabenerfüllung führt.

2 4 Unzureichende Schulung der Mitarbeiter zu Sicherheitsfunktionalitäten

Häufig wenden Mitarbeiter neu eingeführte Sicherheitsprogramme und -funktionalitäten deswegen nicht an, weil sie nicht wissen, wie sie bedient werden und eine selbstständige Einarbeitung als im täglichen Arbeitsablauf zu zeitaufwendig gesehen wird. Darüber hinaus können fehlende Schulungen nach Einführung einer neuen Software zu unbeabsichtigten Fehlbedienungen oder falscher Konfigurationen führen. Daher reicht die Beschaffung und Installation einer (Sicherheits-)Software nicht aus. Sofern Mitarbeiter zu Software- oder Sicherheitsfunktionen nicht ausreichend geschult werden, können sie nicht geeignet mit den IT-Systemen und Anwendungen der Institution arbeiten. Dies kann zu Fehlern in der Bedienung führen und Arbeitsabläufe unnötig verzögern. Gerade bei kritischen IT-Systemen und Anwendungen kann eine Fehlbedienung existenzbedrohende Auswirkungen hervorrufen.

2 5 Nicht erkannte Sicherheitsvorfälle

Im täglichen Betrieb von IT- und ICS-Komponenten können viele Störungen und Fehler auftreten. Dabei besteht die Gefahr, dass Sicherheitsvorfälle durch das Personal nicht als solche identifiziert werden und auch Cyber-Angriffe bzw. Angriffsversuche unerkannt bleiben. Sicherheitsvorfälle und technische Fehler sind mitunter nicht einfach zu unterscheiden. Werden Benutzer und Administratoren nicht gezielt darin geschult und sensibilisiert, Sicherheitsvorfälle zu erkennen und auf diese angemessen zu reagieren, können Sicherheitslücken unentdeckt bleiben und ausgenutzt werden. Falls Sicherheitsvorfälle nicht rechtzeitig oder gar nicht erkannt werden, können entsprechende und vollumfängliche Gegenmaß­nahmen nicht rechtzeitig ergriffen werden. Kleine Sicherheitslücken der Institution können sich verschärfen und zu kritischen Gefährdungen für die Integrität, Vertraulichkeit und Verfügbarkeit heranwachsen. Dies kann Geschäftsprozesse behindern, finanzielle Schäden hervorrufen oder regulatorische und gesetzliche Sanktionen nach sich ziehen.

2 6 Nichtbeachtung von Sicherheitsmaßnahmen

Aus den verschiedensten Gründen, wie Nachlässigkeit oder Hektik, kann es dazu kommen, dass also vertrauliche Dokumente an Arbeitsplätzen offen herumliegen, Fluchttüren von beiden Seiten geöffnet werden können oder E-Mails nicht verschlüsselt werden. Dadurch können Schäden entstehen, die sonst verhindert oder zumindest vermindert worden wären.

2 7 Sorglosigkeit im Umgang mit Informationen

Häufig ist zu beobachten, dass in Institutionen zwar eine Vielzahl von organisatorischen und technischen Sicherheitsverfahren vorhanden sind, diese jedoch durch den sorglosen Umgang mit den Vorgaben und der Technik wieder ausgehebelt werden. Ein typisches Beispiel hierfür sind die fast schon sprichwörtlichen Zettel am Monitor, auf denen Zugangspasswörter notiert sind. Ebenso schützt eine Festplattenverschlüsselung beim Laptop nicht davor, dass die vertraulichen Informationen vom Sitznachbarn im Zug einfach mitgelesen werden können. Die besten technischen Sicherheitslösungen helfen nicht, wenn Ausdrucke mit vertraulichen Informationen am Drucker liegenbleiben oder in frei zugänglichen Altpapiercontainern landen.

Wenn die Mitarbeiter sorglos mit Informationen umgehen, werden festgelegte Prozesse der Informationssicherheit unwirksam. Unbefugte könnten z. B. Nachlässigkeiten im Umgang mit Informationen ausnutzen, um gezielt Wirtschaftsspionage zu betreiben.

2 8 Mangelhafte Akzeptanz von Informationssicherheit

Verschiedene Umstände können dazu führen, dass in einer Institution oder auch in Teilen einer Institution Anforderungen und Vorgaben zur Informationssicherheit nicht akzeptiert werden und damit keine Einsicht in die Notwendigkeit besteht, Sicherheitsmaßnahmen umzusetzen. Dies kann beispielsweise durch die Kultur der Institution (Motto: "Das war bei uns schon immer so!") oder fehlende Vorbildfunktion durch das Management bedingt sein. Aber auch unangemessene oder übertriebene Sicherheitsanforderungen können dazu führen, dass Mitarbeiter Sicherheitsmaßnahmen ablehnen. Ebenso könnte auch ein anderes soziales Umfeld oder ein anderer kultureller Hintergrund ("andere Länder, andere Sitten") dazu führen, dass Sicherheitsmaßnahmen nicht umgesetzt werden. Probleme könnten auch dadurch entstehen, dass bestimmte Benutzerrechte oder auch die Ausstattung mit bestimmter Hard- oder Software als Statussymbol gesehen werden. Einschränkungen in diesen Bereichen können auf großen Widerstand stoßen.

2 9 Social Engineering

Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" von Mitarbeitern zu erlangen. Beim Social Engineering baut ein Angreifer meistens einen direkten Kontakt zu einem Opfer auf, z. B. per Telefon, E-Mail oder auch über Soziale Netzwerke. Angriffe über Social Engineering sind häufig mehrstufig. Indem der Angreifer Insider-Wissen vorspiegelt und gleichzeitig an die Hilfsbereitschaft appelliert, kann er sein Wissen in weiteren Schritten ausbauen. Wenn Mitarbeiter für diese Art von Angriffen nicht ausreichend sensibilisiert sind, besteht die Gefahr, dass sie durch geschickte Kommunikation so manipuliert werden, dass sie unzulässig handeln. Dies kann dazu führen, dass sie interne Informationen weitergeben, sich Schadsoftware einfangen oder sogar Geld an angebliche Geschäftspartner überweisen.

Beim "Cheftrick" – der englische Fachbegriff lautet CEO Fraud – wird Sachbearbeitern, die Geld im Namen des Unternehmens transferieren dürfen, ein fiktiver Auftrag des Chefs vorgegaukelt. Sie sollen für ein angeblich dringendes und geheimhaltungsbedürftiges Geschäft Transaktionen durchführen, die für das weitere Bestehen des Unternehmens äußerst wichtig sind. Mit dieser Masche gelang es Trickbetrügern im Laufe des Jahres 2016 in tausenden von Unternehmen, Schäden im sechs- bis achtstelligen Bereich anzurichten. Die Schäden weltweit gehen in die Milliarden.

3 Anforderungen

Im Folgenden sind spezifische Anforderungen für den Bereich Sensibilisierung und Schulung aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der Informationssicherheitsbeauftragte (ISB) ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden.

BausteinverantwortlicherInformationssicherheitsbeauftragter (ISB)
Weitere VerantwortlicheIT-Betrieb, Institutionsleitung, Personalabteilung, Vorgesetzte

3.1 Basis-Anforderungen

Die folgenden Anforderungen MÜSSEN vorrangig umgesetzt werden:

ORP.3.A1 Sensibilisierung des Managements für Informationssicherheit [Vorgesetzte, Institutionsleitung]

Die Institutionsleitung MUSS die Sicherheitskampagnen und Schulungsmaßnahmen für die Mitarbeiter nachdrücklich und aktiv unterstützen. Daher MUSS vor dem Beginn eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit die Unterstützung des Managements eingeholt werden. Das Management MUSS ausreichend für Sicherheitsfragen sensibilisiert werden.

Alle Vorgesetzten MÜSSEN die Informationssicherheit unterstützen, indem sie mit gutem Beispiel vorangehen. Führungskräfte MÜSSEN die Sicherheitsvorgaben umsetzen und ihre Mitarbeiter auf deren Einhaltung hinweisen.

ORP.3.A2 Ansprechpartner zu Sicherheitsfragen

In jeder Institution MUSS es Ansprechpartner für Sicherheitsfragen geben, die sowohl scheinbar einfache wie auch komplexe oder technische Fragen beantworten können. Die Ansprechpartner MÜSSEN allen Mitarbeitern der Institution bekannt sein. Diesbezügliche Informationen MÜSSEN in der Institution für alle leicht zugänglich sein und verfügbar sein.

ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung, IT-Betrieb]

Alle Mitarbeiter und externen Benutzer MÜSSEN in den sicheren Umgang mit IT-, ICS- und IoT-Komponenten eingewiesen und sensibilisiert werden, soweit dies für ihre Arbeitszusammenhänge relevant ist. Dafür MÜSSEN verbindliche, verständliche, aktuelle und verfügbare Richtlinien zur Nutzung der jeweiligen Komponenten zur Verfügung stehen. Werden IT-, ICS- oder IoT-Systeme oder Dienste in einer Weise benutzt, die den Interessen der Institution widersprechen, MUSS dies kommuniziert werden.

3.2 Standard-Anforderungen

Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Sensibilisierung und Schulung. Sie SOLLTEN grundsätzlich umgesetzt werden.

ORP.3.A4 Konzeption eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit

Um die Mitarbeiter zu sensibilisieren, SOLLTE ein zielgruppenorientiertes Sensibilisierungs- und Schulungsprogramm erstellt werden. Es SOLLTE regelmäßig überprüft und aktualisiert werden.

ORP.3.A5 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme

Sensibilisierungs- und Schulungsprogramme SOLLTEN sich an den jeweiligen Zielgruppen orientieren. Dazu SOLLTE eine Zielgruppenanalyse durchgeführt werden, sodass Maßnahmen auf spezielle Anforderungen und unterschiedliche Hintergründe fokussiert werden können.

ORP.3.A6 Planung und Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit

Alle Mitarbeiter SOLLTEN entsprechend ihren Aufgaben und Verantwortlichkeiten zu Informationssicherheitsthemen geschult werden. Es SOLLTE daher Sensibilisierungs- und Schulungsmaßnahmen geben, die den Mitarbeitern alle Informationen und Fähigkeiten vermitteln, die erforderlich sind, um in der Institution geltende Sicherheitsregelungen und -maßnahmen umsetzen zu können. Aus diesem Grund SOLLTEN die Sensibilisierungs- und Schulungsinhalte entsprechend den Zielgruppen, Aufgaben und Verantwortlichkeiten der Mitarbeiter strukturiert und geplant werden. Die geplanten Sensibilisierungs- und Schulungsmaßnahmen SOLLTEN gemäß dieser Planung in adäquater Form umgesetzt werden. Sensibilisierungs- und Schulungsprogramme SOLLTEN regelmäßig auf Aktualität überprüft und bei geändertem Bedarf angepasst bzw. weiterentwickelt werden.

ORP.3.A7 Schulung zur Vorgehensweise nach IT-Grundschutz

Sicherheitsverantwortliche SOLLTEN mit der IT-Grundschutz-Methodik vertraut sein. Wurde ein Schulungsbedarf verifiziert, SOLLTE eine entsprechende IT-Grundschutz-Schulung geplant und deren Inhalt vorher festgelegt werden. Innerhalb der Schulung SOLLTE die Vorgehensweise anhand praxisnaher Beispiele geübt werden.

ORP.3.A8 Messung und Auswertung des Lernerfolgs [Personalabteilung]

Die Lernerfolge im Bereich Informationssicherheit SOLLTEN zielgruppenbezogen gemessen und ausgewertet werden, um festzustellen, inwieweit die in den Sensibilisierungs- und Schulungsprogrammen beschriebenen Ziele erreicht sind. Die Messungen SOLLTEN sowohl quantitative als auch qualitative Aspekte der Sensibilisierungs- und Schulungsprogramme berücksichtigen. Die Ergebnisse SOLLTEN bei der Verbesserung des Sensibilisierungs- und Schulungsangebots geeignet einfließen.

3.3 Anforderungen bei erhöhtem Schutzbedarf

Im Folgenden sind exemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen(CIA)

Besonders exponierte Personen wie Funktionsträger sowie die Mitarbeiter in besonders exponierten Institutionen oder Organisationsbereichen SOLLTEN vertiefende Schulungen in Hinblick auf mögliche Gefährdungen sowie geeignete Verhaltensweisen und Vorsichtsmaßnahmen erhalten.

4 Weiterführende Informationen

4.1 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Sensibilisierung und Schulung" finden sich unter anderem in folgenden Veröffentlichungen:

5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen

Die folgenden elementaren Gefährdungen sind für den Baustein "Sensibilisierung und Schulung" von Bedeutung.

  • G 0.14 Ausspähen von Informationen (Spionage)
  • G 0.15 Abhören
  • G 0.19 Offenlegung schützenswerter Informationen
  • G 0.24 Zerstörung von Geräten oder Datenträgern
  • G 0.29 Verstoß gegen Gesetze oder Regelungen
  • G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen
  • G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen
  • G 0.32 Missbrauch von Berechtigungen
  • G 0.36 Identitätsdiebstahl
  • G 0.37 Abstreiten von Handlungen
  • G 0.38 Missbrauch personenbezogener Daten
  • G 0.42 Social Engineering
  • G 0.45 Datenverlust
  • G 0.46 Integritätsverlust schützenswerter Informationen

Die Kreuzreferenztabellen finden Sie aufgrund ihres Umfangs im Downloadbereich.

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK