Bundesamt für Sicherheit in der Informationstechnik

Umsetzungshinweise zum Baustein INF.8 Häuslicher Arbeitsplatz

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Telearbeiter, freie Mitarbeiter oder Selbstständige arbeiten typischerweise von häuslichen Arbeitsplätzen aus. Im Gegensatz zum Arbeitsplatz in einer Büroumgebung nutzen Mitarbeiter bei einem häuslichen Arbeitsplatz einen Arbeitsplatz im eigenen Wohnumfeld. Dabei muss ermöglicht werden, dass die berufliche Sphäre hinreichend von der privaten getrennt ist. Wenn Mitarbeiter dauerhaft häusliche Arbeitsplätze benutzen, müssen zudem diverse rechtliche Anforderungen erfüllt sein, beispielsweise müssen sie arbeitsmedizinischen und ergonomischen Bestimmungen entsprechen.

Bei einem häuslichen Arbeitsplatz kann nicht die gleiche infrastrukturelle Sicherheit vorausgesetzt werden, wie sie in den Büroräumen einer Institution anzutreffen ist, so ist z. B. oft der Arbeitsplatz auch für Besucher oder Familienangehörige zugänglich. Deshalb müssen Maßnahmen ergriffen werden, mit denen sich ein mit einem Büroraum vergleichbares Sicherheitsniveau erreichen lässt.

1.2 Lebenszyklus

Planung und Konzeption

Wenn Mitarbeiter vom häuslichen Arbeitsplatz aus arbeiten dürfen, muss der Arbeitsplatz geplant und konzipiert werden. Er ist dabei so einzurichten, dass ein für die geplante Tätigkeit ausreichendes Sicherheitsniveau analog zur Büroumgebung erreicht wird (siehe INF.8.M4 Geeignete Einrichtung des häuslichen Arbeitsplatzes).

Betrieb

Der häusliche Arbeitsplatz sollte immer so abgeschlossen werden, dass er möglichst keinem Einbruchsrisiko ausgesetzt ist (siehe INF.8.M3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz). Auch sollten dienstliche Unterlagen und Datenträger weggeschlossen werden und nicht offen herumliegen (siehe INF.8.M1 Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz).

Wie und welche Arbeitsmaterialien zwischen dem häuslichen Arbeitsplatz und der Institution hin und her transportiert werden dürfen, muss ebenfalls geregelt werden (siehe INF.8.M2 Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz).

Aussonderung

Gerade am häuslichen Arbeitsplatz ist es wichtig, Datenträger und Ausdrucke sorgsam zu entsorgen und nicht einfach in den Hausmüll zu werfen (siehe INF.8.M5 Entsorgung von vertraulichen Informationen am häuslichen Arbeitsplatz).

2 Maßnahmen

Im Folgenden sind spezifische Umsetzungshinweise im Bereich "Häuslicher Arbeitsplatz" aufgeführt.

2.1 Basis-Maßnahmen

Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

INF.8.M1 Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz

Jeder Mitarbeiter sollte dazu angehalten werden, seinen häuslichen Arbeitsplatz aufgeräumt zu hinterlassen. Die Mitarbeiter im häuslichen Umfeld müssen dafür sorgen, dass Unbefugte nicht auf IT-Anwendungen, Daten, Datenträger oder Unterlagen zugreifen können. Alle Mitarbeiter müssen ihre Arbeitsplätze überprüfen und sicherstellen, dass keine sensitiven Informationen frei zugänglich sind, sodass die Verfügbarkeit, Vertraulichkeit und Integrität von Daten nicht negativ beeinflusst werden kann.

Wenn ein Mitarbeiter während der Arbeitszeit nur kurz den häuslichen Arbeitsplatz verlässt, ist es ausreichend, den Raum, sofern möglich, zu verschließen und/oder den Bildschirm so zu sperren, dass Zugriffe nur nach erfolgreicher Authentisierung möglich sind. Ist ein Raum nicht verschließbar, sollten sensible Unterlagen auch bei kurzer Abwesenheit verschlossen werden. Ist ein Mitarbeiter länger abwesend, zum Beispiel, wenn er auf Dienstreise oder im Urlaub ist, muss er seinen Arbeitsplatz so aufräumen, dass keine schutzbedürftigen Datenträger oder Unterlagen unverschlossen herumliegen. Dafür benötigen die Mitarbeiter ausreichend dimensionierte und abschließbare Staumöglichkeiten, wie z. B. sichere Rollcontainer mit Schlössern.

Auch Passwörter dürfen auf keinen Fall leicht auffindbar (z. B. auf einem Klebezettel am Monitor oder unter der Schreibtischauflage) aufbewahrt werden. Auch sollten keine Trivialpasswörter benutzt werden.

Vorgesetzte und Mitarbeiter des Sicherheitsmanagements sollten die Mitarbeiter darauf hinweisen, dass sie ihren häuslichen Arbeitsplatz korrekt aufräumen müssen.

INF.8.M2 Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz [Haustechnik]

Damit dienstliche Aufgaben an einem häuslichen Arbeitsplatz erledigt werden können, müssen dort alle nötigen Informationen vorhanden sein. Akten, Datenträger und andere Unterlagen müssen dabei sicher transportiert werden. Dafür ist die Art und Weise zu regeln, wie Datenträger und Unterlagen zwischen dem häuslichen Arbeitsplatz und der Institution ausgetauscht werden. Folgende Punkte sind daher mindestens zu betrachten bzw. zu regeln:

  • Welche Akten, Datenträger und Unterlagen dürfen über welchen Transportweg (z. B. Postweg, Kurier, Paketdienst) ausgetauscht werden?
  • Welche Schutzmaßnahmen sind beim Transport zu beachten?

    • Dazu gehört es auch, eine geeignete Verpackung auszuwählen.
    • Informationen auf digitalen Datenträgern sind zu verschlüsseln, bevor sie transportiert werden.

  • Welche Akten, Datenträger und Unterlagen dürfen nur persönlich transportiert werden?

Da es sich bei Schriftstücken, Dokumenten und Akten oftmals um Unikate handelt, muss bei der Auswahl eines geeigneten Austauschverfahrens der mögliche Schaden im Falle eines Verlustes beachtet werden. Sofern möglich und zulässig, sollten vor dem Datenträgeraustausch Kopien angefertigt werden.

Alle betroffenen Mitarbeiter müssen darüber informiert sein, wie Akten und Datenträger zu transportieren und dabei angemessen zu schützen sind.

INF.8.M3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz [Haustechnik]

Institutionen müssen regeln, was Mitarbeiter tun müssen, um ihren häuslichen Arbeitsplatz vor unbefugtem Zutritt dauerhaft zu schützen. Die Regeln sind den Mitarbeitern in geeigneter Form bekannt zu machen.

In Abhängigkeit von den häuslichen Verhältnissen sind geeignete Maßnahmen festzulegen, die sicherstellen, dass Mitbewohner oder Besucher zu keiner Zeit auf dienstliche IT und Unterlagen zugreifen können. Diese Maßnahmen sind in sinnvollen zeitlichen Abständen, mindestens aber bei einer Änderung der häuslichen Verhältnisse zu überprüfen.

Zum Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz sollten z. B. folgende Punkte beachtet werden:

  • Innen- und Außentüren müssen in Zeiten, in denen ein häuslicher Arbeitsplatz nicht besetzt ist, abgeschlossen werden. Dadurch wird verhindert, dass Unbefugte auf darin befindliche Unterlagen und IT-Einrichtungen zugreifen. Dies ist insbesondere dann wichtig, wenn sich die häuslichen Arbeitsplätze in Bereichen mit Publikumsverkehr befinden oder der Zutritt nicht durch andere Maßnahmen kontrolliert wird.
  • Ebenso müssen Fenster und nach außen gehende Türen (Balkone, Terrassen) in Zeiten, in denen ein häuslicher Arbeitsplatz nicht besetzt ist, geschlossen werden. Im Keller- und Erdgeschoss und, je nach Fassadengestaltung, auch in den höheren Etagen, bieten offene Fenster und Türen Einbrechern ideale Einstiegsmöglichkeiten, die auch während der Betriebszeiten des häuslichen Mitarbeiters genutzt werden können.
  • Türen, die flurseitig über einen Blindknauf verfügen, müssen nicht abgeschlossen werden. Voraussetzung hierfür ist allerdings, dass die befugten Mitarbeiter ihren Schlüssel zum häuslichen Arbeitsplatz stets mit sich führen.
  • Bei laufendem Rechner kann darauf verzichtet werden die Tür abzuschließen, wenn der Mitarbeiter den häuslichen Arbeitsplatz nur kurzzeitig verlässt und auf den PC nur nach erfolgreicher Authentisierung zugegriffen werden kann. Bei ausgeschaltetem Rechner kann das Büro offen bleiben, wenn sich der Rechner nur mithilfe eines Passwortes booten lässt. Die gleiche Funktion erfüllen Zugangsmechanismen, die auf Token oder Chipkarten basieren. Sollten schützenswerte Unterlagen am Arbeitsplatz liegen, ist die Tür jedoch abzuschließen.

Gemeinsam mit den Basismaßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Häuslicher Arbeitsplatz".

2.2 Standard-Maßnahmen

Gemeinsam mit den Basis-Maßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Häuslicher Arbeitsplatz".

INF.8.M4 Geeignete Einrichtung des häuslichen Arbeitsplatzes [Haustechnik]

Bei der Auswahl eines häuslichen Arbeitsplatzes ist darauf zu achten, dass er geeignet eingerichtet werden kann, ergonomischen Anforderungen gerecht wird und notwendige Maßnahmen zum Einbruchsschutz vorhanden sind oder sich nachrüsten lassen.

Einrichtung

Für den häuslichen Arbeitsplatz ist ein eigenes Arbeitszimmer wünschenswert. Zumindest sollte der häusliche Arbeitsplatz von der übrigen Wohnung durch eine abschließbare Tür abtrennbar sein, damit sich dort befindliche Unterlagen und IT-Systeme außerhalb der Bereiche befinden, in denen sich weitere Bewohner, Angehörige oder Besucher aufhalten. Bei spontanen Besuchen kann so der Arbeitsplatz kurzfristig verlassen und vor unbefugtem Zugriff geschützt werden.

Die Einrichtung sollte unter Berücksichtigung von Ergonomie, Sicherheit und Gesundheitsschutz ausgewählt werden. Das bedeutet unter anderem:

  • ausreichend Platz für Möbel und Bildschirmarbeitsplatz,
  • regelbare Raumtemperatur und ausreichende Lüftungsmöglichkeiten,
  • Abschirmung gegenüber Lärmquellen,
  • Tageslicht sowie ausreichend künstliche Beleuchtung,
  • Sichtschutz des Monitors, falls er durch ein Fenster beobachtet werden könnte,
  • Vermeidung von störenden Blendungen, Reflexen oder Spiegelungen am Arbeitsplatz und
  • Anschlüsse für Telefon und Strom.

Die dienstlich genutzte IT sollte vom Arbeitgeber bereitgestellt werden, um Sicherheitsrichtlinien durchsetzen zu können. Nur dann kann z. B. per Dienstanweisung ausgeschlossen werden, dass die IT für private Zwecke benutzt wird.

Am häuslichen Arbeitsplatz müssen dieselben Vorschriften und Richtlinien bezüglich der Gestaltung des Arbeitsplatzes und der Arbeitsumgebung beachtet werden wie in der Institution. Ein häuslicher Arbeitsplatz muss also für die jeweiligen Aufgaben ausreichend ausgestattet sein, d. h. es muss nicht nur geeignetes Mobiliar, sondern es sollten auch angemessene Schutzvorkehrungen wie beispielsweise abschließbare Schränke vorhanden sein.

Mitarbeiter mit einem häuslichen Arbeitsplatz sollten regelmäßig befragt werden, ob der Arbeitsplatz ihren gesundheitlichen und betrieblichen Ansprüchen genügt. Stichprobenhafte Kontrollbesuche seitens der Institution sollten nur durchgeführt werden, wenn sie vorher mit dem Mitarbeiter abgesprochen wurden.

Einbruchsschutz

Erfahrungsgemäß wählen Einbrecher ihre Ziele danach aus, wie hoch Risiko und Aufwand im Verhältnis zum erwarteten Gewinn sind. Daher sollten alle Maßnahmen zum Einbruchsschutz beim häuslichen Arbeitsplatz darauf zielen, die Erfolgsaussichten von Tätern zu minimieren. Eventuell reichen die vorhandenen Sicherheitsmaßnahmen am häuslichen Arbeitsplatz bereits aus. Sollte das nicht der Fall sein, müssen die gängigen Maßnahmen zum Einbruchsschutz jeweils an die örtlichen Gegebenheiten und den vorliegenden Schutzbedarf angepasst werden. Dazu gehören beispielsweise:

  • einbruchhemmende Türen und Fenster, beispielsweise mit der Widerstandsklasse RC2 (nach DIN EN 1627:2011-09 "Türen, Fenster, Vorhangfassaden, Gitterelemente und Abschlüsse - Einbruchhemmung - Anforderungen und Klassifizierung") oder höherwertig, wenn die Gefährdungslage es erforderlich macht,
  • Rollladensicherungen bei einstiegsgefährdeten Türen oder Fenstern,
  • besondere Schließzylinder, Zusatzschlösser und Riegel,
  • gegebenenfalls Sicherung von Kellerlichtschächten,
  • Verschluss von nicht benutzten Nebeneingängen.

Empfehlungen hierzu können die örtlichen Beratungsstellen der Kriminalpolizei abgeben.

Während der Planung, bei der Umsetzung und später im Betrieb sollte eine fachkundige Person regelmäßig begutachten, ob der Einbruchsschutz durchgängig ist und möglichen Überwindungsversuchen überall einen gleichwertigen Widerstand entgegensetzt.

Den Mitarbeitern am häuslichen Arbeitsplatz ist bekanntzugeben, welche Regelungen und Maßnahmen zum Einbruchsschutz beachtet werden müssen, also beispielsweise dass Türen, Fenster oder Rollladensicherungen abends abgeschlossen werden müssen (siehe dazu auch INF.8.M3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz).

Auch direkt am häuslichen Arbeitsplatz kann es sinnvoll sein, einbruchhemmende Elemente einzubauen, zum Beispiel bei einem erhöhten Schutzbedarf.

Ergonomischer Arbeitsplatz

Die Belastungen durch dauerhafte Tätigkeiten an schlecht ausgestatteten häuslichen Arbeitsplätzen sind nicht zu unterschätzen, da sie zu gesundheitlichen Beschwerden führen können. Durch einen ergonomischen Arbeitsplatz können diese Belastungen jedoch verringert werden. Eine verbesserte Ergonomie bedeutet zudem eine effektivere Arbeitsweise. Das bringt nicht nur gesundheitliche Vorteile für den Arbeitnehmer, sondern hat auch ein wirtschaftlicheres Arbeiten und eine verbesserte Umsetzung von Sicherheitsmaßnahmen zur Folge.

Daher sollte jeder Arbeitsplatz ergonomisch gestaltet werden. Bei Computerarbeitsplätzen müssen beispielsweise Stuhl, Tisch, Bildschirm und Tastatur individuell einstellbar sein, um eine möglichst fehlerfreie Bedienung der IT zu ermöglichen und zu fördern. Das beinhaltet unter anderem, dass Rückenlehne, Sitzhöhe und Sitzfläche des Stuhls verstellbar sein müssen, aber auch, dass die Arbeitsmittel so angeordnet werden können, dass für die jeweilige Arbeitsaufgabe eine möglichst geringe Belastung entsteht.

Auch die am häuslichen Arbeitsplatz eingesetzten IT-Systeme, vor allem der Bildschirm, müssen ergonomisch aufgestellt werden. So sollte beispielsweise der Bildschirm immer im rechten Winkel zum Fenster aufgestellt werden, um die direkte Lichteinstrahlung darauf zu vermeiden. Außerdem sollte an IT-Systemen ein ungestörtes Arbeiten möglich sein. Mitarbeitern im häuslichen Bereich sollten andere Personen nicht ständig über die Schulter blicken können. Damit lässt sich auch verhindern, dass Informationen unbefugt eingesehen werden.

Ein entsprechend ausgestatteter Arbeitsplatz erleichtert es auch, Sicherheitsmaßnahmen einzuhalten. Wenn Datenträger, Dokumentationen, Unterlagen und Zubehör eingeschlossen werden sollen, muss es dafür verschließbare Schreibtische oder Schränke geben.

INF.8.M5 Entsorgung von vertraulichen Informationen am häuslichen Arbeitsplatz [Haustechnik]

Betriebsmittel oder Sachmittel am häuslichen Arbeitsplatz (z. B. Druckerpapier, USB-Festplatten, DVDs, USB-Sticks, SD-Karten, aber auch spezielle Tonerkassetten) werden irgendwann nicht mehr benötigt oder müssen ausgesondert werden. Wenn sie schützenswerte Daten enthalten, müssen sie so entsorgt werden, dass keine Rückschlüsse auf vorher gespeicherte Daten möglich sind. Bei funktionstüchtigen Datenträgern sollten die Daten sicher gelöscht werden. Nicht funktionierende oder nur einmal beschreibbare Datenträger müssen mechanisch zerstört werden (siehe dazu auch CON.6 Löschen und Vernichten).

Eine spezielle Sicherheitsrichtlinie sollte regeln, wie schutzbedürftiges Material entsorgt werden soll. Falls erforderlich müssen am häuslichen Arbeitsplatz die dafür benötigten Entsorgungseinrichtungen vorhanden sein, z. B. Aktenvernichter.

Es ist auch möglich, die schützenswerten Betriebsmittel durch den Mitarbeiter am häuslichen Arbeitsplatz sammeln zu lassen und für die Entsorgung die Entsorgungseinrichtungen am Standort der Institution bereitzustellen.

Wird schutzbedürftiges Material gesammelt, um es später zu entsorgen, muss es sicher verschlossen und vor unberechtigtem Zugriff geschützt werden.

Soweit in der Institution keine umweltgerechte und sichere Entsorgung durchgeführt werden kann, sind damit beauftragte Dienstleister darauf zu verpflichten, die erforderlichen Sicherheitsmaßnahmen einzuhalten. Ein Mustervertrag findet sich unter den Hilfsmitteln zum IT-Grundschutz auf den BSI-Webseiten [MVED]. Es sollte regelmäßig durch die Institution geprüft werden, ob der Entsorgungsvorgang der beauftragten Dienstleister verlässlich ist.

2.3 Maßnahmen für erhöhten Schutzbedarf

Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

INF.8.M6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz [Informationssicherheitsbeauftragter (ISB)](CIA)

Wenn Mitarbeiter mit dienstlichen Unterlagen arbeiten müssen, für die ein erhöhter Schutzbedarf besteht, sollte überlegt werden, ob von einem häuslichen Arbeitsplatz nicht ganz abzusehen ist. Wenn es dennoch unabdingbar ist, sollten möglichst dem Schutzbedarf angemessene Diebstahlsicherungen für die Speichersysteme der dienstlichen Unterlagen und verschließbare Schränke, Tresore, Rollcontainer sowie Schreibtische genutzt werden, um die dienstlichen Unterlagen geeignet wegzuschließen.

Die dienstlichen Unterlagen und Datenträger mit erhöhtem Schutzbedarf dürfen am häuslichen Arbeitsplatz nur autorisierten Personen zugänglich sein. Außerhalb der Nutzungszeit müssen sie so aufbewahrt werden, dass kein Unbefugter darauf zugreifen kann.

Damit die Anforderungen erfüllt werden, müssen die Mitarbeiter am häuslichen Arbeitsplatz darauf hingewiesen werden, dass Unterlagen und Datenträger mit erhöhtem Schutzbedarf verschlossen aufzubewahren sind.

Die Schlösser der verschließbaren Schränke, Rollcontainer sowie Schreibtische müssen mindestens Angriffen mit einfach herzustellenden oder einfach zu erwerbenden Nachschließmitteln (Büroklammer, Dietrich etc.) standhalten. Es sollten Möbelschlösser mit mindestens vier Zuhaltungen und mindestens 1000 Schließvarianten eingesetzt werden. Zudem ist darauf zu achten, dass der Verschluss nicht leicht umgangen werden kann, z. B. indem eine Rückwand entfernt wird. Insgesamt sollte die Schutzwirkung des Behältnisses den Sicherheitsanforderungen der darin zu verwahrenden Unterlagen und Datenträger entsprechen.

An häuslichen Arbeitsplätzen müssen deshalb für den Schutz- und Platzbedarf ausreichende verschließbare Behältnisse (Schreibtisch, Rollcontainer, Schrank, Tresor) mit angemessener Schutzwirkung vorhanden sein.

Um den Schutz der Datenträger und IT-Systeme mit vertraulichen Informationen zu erhöhen, sollten diese auch im häuslichen Umfeld so gesichert werden, dass Angreifer sie nicht einfach mitnehmen können, also beispielsweise mit Diebstahlsicherungen versehen werden.

3 Weiterführende Informationen

3.1 Wissenswertes

Je nach Branche, eingesetzter Technik oder anderen Rahmenbedingungen können sich für einen Informationsverbund weitere (benutzerdefinierte) Anforderungen ergeben. Zu diesen können beispielsweise die folgenden Maßnahmen gehören.

Zu den wichtigsten Grundpfeilern der Informationssicherheit in einer Institution gehören deren Mitarbeiter. Selbst die aufwendigsten technischen Sicherheitsvorkehrungen sind ohne das richtige Verhalten der Mitarbeiter wertlos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden Werten und Informationen der Institution sind dafür wesentlich.

Die für die Institution ausgewählten Sicherheitsmaßnahmen sollten sich daher immer an den Mitarbeitern orientieren. Dabei sollte deren Wissen und Umgang mit Informationen und IT einbezogen werden. Zur Beurteilung, wie sich Mitarbeiter aus Sicherheitssicht verhalten, können die Faktoren analysiert werden, die zu diesem Verhalten beitragen. Darauf aufbauend kann untersucht werden, wo die personelle und organisatorische Sicherheit noch verbessert werden kann, beispielsweise durch Sensibilisierung und Schulung zur Informationssicherheit.

Folgende Aspekte sollten berücksichtigt werden:

Sicherheitskultur

Der Begriff Sicherheitskultur umfasst die sicherheitsbezogenen Einstellungen, Werte und grundlegenden Überzeugungen einer Institution und aller ihrer Mitarbeiter. Zur Sicherheitskultur gehört auch, wie offen der Umgang mit Fragen zur Informationssicherheit in der Institution gelebt wird. So ist für die effektive und effiziente Behandlung von Sicherheitsvorfällen eine vertrauensvolle und offene Kommunikationskultur wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und lösungsorientiert angegangen werden.

  • Wie ist der Umgang in der Behörde oder dem Unternehmen mit geschäftsrelevanten Informationen und mit Risiken generell? Ist die Institution eher risiko-orientiert oder eher risiko-vermeidend? Werden Informationen eher freizügig oder nur restriktiv weitergegeben?
  • Wie sind die Anforderungen an Genauigkeit und Präzision? Sind kleinere Fehler beispielsweise in Texten tragbar, weil diese ohnehin noch mehrere Abstimmprozesse durchlaufen müssen? Kann ein Eingabefehler bereits zu folgenschweren Schäden führen?Wie sind die Ansprüche an Verfügbarkeit? Gibt es eine Vielzahl enger Termine? Können Bearbeitungszeiten für Anfragen und Geschäftsprozesse flexibel festgelegt werden? Sind kleinere Terminüberschreitungen oder -änderungen im Allgemeinen tragbar oder führen sie zu harten Konsequenzen?
  • Wie sind die Ansprüche an Verfügbarkeit? Gibt es eine Vielzahl enger Termine? Können Bearbeitungszeiten für Anfragen und Geschäftsprozesse flexibel festgelegt werden? Sind kleinere Terminüberschreitungen oder -änderungen im Allgemeinen tragbar oder führen sie zu harten Konsequenzen?

Stark beeinflusst wird die Sicherheitskultur einer Institution davon, in welcher Branche diese tätig ist. In Hochsicherheitsbereichen wird naturgemäß weniger offen mit Informationen umgegangen als in Forschungseinrichtungen.

Wissen und Können

  • Wie gut kennen sich die Mitarbeiter mit IT aus? Ist IT- und Internet-Nutzung eher eine Notwendigkeit, um Geschäftsprozesse effektiver gestalten zu können, oder sind Leben und Arbeiten ohne IT und Internet nicht mehr vorstellbar?
  • Welche Erfahrungen und Kenntnisse haben die Mitarbeiter über Informationssicherheit und Datenschutz? Wie sind deren Fähigkeiten zu IT-basierten Sicherheitsmaßnahmen wie Verschlüsselung? Wie ist das Wissen in den verschiedenen Bereichen der Institution verteilt?
  • Wie ist der gelebte Umgang der Mitarbeiter mit Fragen der Informationssicherheit und des Datenschutzes? Wie sehen die Mitarbeiter den Bedarf, Informationen vor Veränderungen oder unbefugter Weitergabe zu schützen?Können Mitarbeiter aktiv ihre Ideen und Vorstellungen zur Informationssicherheit in den Sicherheitsprozess einbringen?
  • Können Mitarbeiter aktiv ihre Ideen und Vorstellungen zur Informationssicherheit in den Sicherheitsprozess einbringen?

Sicherheitsrichtlinien

  • Passen die Sicherheitsrichtlinien der Institution zu den Geschäftsprozessen und der internen Sicherheitskultur? Sind sie einfach umzusetzen? Sind sie praxisnah und den aktuellen Umgebungsbedingungen angepasst? Behindern sie Arbeitsläufe? Unterstützen sie erwünschte Verhaltensweisen?

Anwendungen und IT

  • Ermöglichen die vorhandenen IT-, ICS- und IoT-Komponenten einen Umgang mit den geschäftsrelevanten Informationen, der sowohl deren Schutzbedarf als auch den festgelegten Sicherheitsvorgaben entspricht?

Leitungsebene

  • Wie steht die Leitungsebene zur Informationssicherheit? Nehmen Vorgesetzte ihre Vorbildfunktion wahr? Gibt es Wünsche der Leitungsebene zur Verbesserung der Sicherheitsprozesse?

Kulturelle Hintergründe

  • Auch die kulturellen Hintergründe können den Umgang mit zu schützenden Informationen und mit Sicherheitsvorgaben generell beeinflussen. Daher sollte untersucht werden, ob es regionale und nationale Unterschiede im Umgang mit Informationssicherheit gibt. Vor allem sollte auch ergründet werden, welche unterschiedlichen Herangehensweisen an Informationssicherheit es in den verschiedenen Bereichen der Institution gibt. Auch einzelne Abteilungen können bereits eigene Regeln und Verhaltensweisen im Umgang mit geschäftsrelevanten Informationen entwickeln.

Veränderungen

  • Alle Arten von weitreichenden Veränderungen für die Beschäftigten können deren Umgang mit Informationen, Geschäftsprozessen, IT und sonstigen Geräten ändern. Dazu gehören beispielsweise Umstrukturierungen, Entlassungen, Wechsel von Aufgaben oder Vorgesetzten.

Sollte sich bei der Analyse herausstellen, dass sich Mitarbeiter anders verhalten als es aus Sicherheitssicht sinnvoll ist, gibt es verschiedene Wege, um hiermit umzugehen. Es kann z. B. versucht werden, das Verhalten zu ändern. Andererseits kann es in vielen Fällen einfacher sein, die Sicherheitsvorgaben oder Arbeitsabläufe umzugestalten und sicherer zu machen.

Die Verantwortlichen für Sensibilisierungs- und Schulungsprogramme sollten klären, ob und in welchem Umfang sie eigene Mitarbeiter oder externe Anbieter als Trainer einsetzen wollen. Außerdem muss die Form der Ausbildung festgelegt werden. Sofern ein Programm mehrere Sensibilisierungs- und Schulungsmaßnahmen umfasst, sollte ein Schulungskoordinator ernannt werden. Darüber hinaus sollten verschiedene Angebote von Schulungsanbieter daraufhin verglichen worden, welche inhaltlich, qualitativ und preislich am besten geeignet sind. Die durchgeführten Sensibilisierungs- oder Schulungsmaßnahmen sollten von den Teilnehmern bewertet und diese Erfahrungen regelmäßig intern ausgewertet werden.

Wenn eigene Mitarbeiter als Trainer eingesetzt werden sollen, müssen diese das benötigte Fachwissen haben und dazu fähig sein, dieses Wissen auch zielgruppengerecht zu vermitteln. Neben den erforderlichen Informationssicherheitskenntnissen müssen die Trainer über ausgeprägte didaktische, methodische und kommunikative Fähigkeiten verfügen. Speziell für Sensibilisierungsmaßnahmen sind außerdem ausreichende Kenntnisse über die Institution, deren Sicherheitskultur sowie die Geschäftsprozesse erforderlich. Wichtig ist, dass Trainer die Sprache ihres jeweiligen Zielpublikums beherrschen, also die zu schulenden Informationssicherheitsaspekte in die jeweiligen Arbeits- und Projektzusammenhänge stellen können. Interne Trainer müssen die erforderliche Zeit bekommen, um Sensibilisierungs- und Schulungsmaßnahmen nicht nur durchführen, sondern auch vorbereiten und auswerten zu können.

Aus Kosten- oder Qualifikationsgründen kann es zumindest zu Beginn vorteilhafter sein, die Schulung durch externe Fachkräfte durchführen zu lassen. Schon in der Planungsphase muss geklärt werden, welche finanziellen Ressourcen dafür verfügbar sind. Die externen Trainer sollten sorgfältig anhand von inhaltlichen, qualitativen und preislichen Kriterien ausgewählt und auf ihre Aufgabe vorbereitet werden. Insbesondere müssen ihnen die erforderlichen institutionsinternen Hintergründe vermittelt werden.

Auch bei externer Durchführung von Sensibilisierungs- oder Schulungsmaßnahmen sind interne Ressourcen erforderlich. Es sollte ein verantwortlicher Schulungskoordinator benannt werden, der

  • qualifizierte Schulungsanbieter auswählt,
  • Lerninhalte und -methoden vorgibt sowie den Trainern erforderliche Informationen zur Verfügung stellt,
  • die interne Schulungsplanung, -vorbereitung und -durchführung koordiniert,
  • die Kommunikationsschnittstelle zwischen Trainern und eigenen Mitarbeitern bildet,
  • die Teilnehmerbewertungen analysiert und geeignete Verbesserungsmaßnahmen festlegt, gegebenenfalls zusammen mit den Trainern.

Die Schulungskoordination kann der Informationssicherheitsbeauftragter oder auch ein Mitarbeiter aus der Personalabteilung übernehmen. Der Informationssicherheitsbeauftragte und die Personalabteilung müssen hierbei auf jeden Fall eng zusammenarbeiten.

Erfahrungsgemäß gibt es eine Reihe von externen Anbietern, die geeignete Sensibilisierungs- oder Schulungsmaßnahmen in einer Form anbieten, die den Bedürfnissen der Institution entsprechen oder die mit vertretbarem Aufwand angepasst werden können.

Bei Sensibilisierungs- oder Schulungsmaßnahmen, die in mehreren Zyklen eine größere Zahl von Mitarbeitern erreichen sollen, bietet es sich an, über ein "Train the Trainer"-Konzept nachzudenken. Hierbei werden die initialen Maßnahmen entweder von geeigneten internen Mitarbeitern oder externen Trainern mit dem Ziel durchgeführt, dass die Teilnehmer dieser Maßnahmen später selbst eine Trainerrolle übernehmen. Dies kann für diese Mitarbeiter einen sehr positiven Effekt auf ihre eigene Sensibilisierung und Motivation für Informationssicherheit haben. Darüber hinaus können sie ihre eigenen Erfahrungen in die Trainingsmaßnahmen einbringen. Gerade bei Trainingsthemen, die Aspekte der Kultur und bestimmter Verhaltensweisen innerhalb der Institution beinhalten, kann ein interner Trainer aufgrund seiner tieferen Kenntnis interner Prozesse und Bekanntheit bei den Teilnehmern die Akzeptanz und den Lernerfolg des Trainings erhöhen. Sofern das "Train the Trainer"-Konzept eingesetzt werden soll, müssen die initialen Maßnahmen neben den vorgesehenen Fachinhalten auch Anleitungen zur methodisch-didaktischen Lehrstoffvermittlung beinhalten.

Die durchgeführten Sensibilisierungs- oder Schulungsmaßnahmen sollten von den Teilnehmern abschließend bewertet werden. Diese Erfahrungen sollten regelmäßig intern ausgewertet werden.

Viele Sicherheitsschulungen empfinden Teilnehmer als trocken, was negative Auswirkungen auf den gewünschten Lerneffekt mit sich bringt. Eine gute Möglichkeit, den Lehrstoff aufzulockern, sind Plan- oder Rollenspiele. An solche Spiele erinnern sich die Teilnehmer meist länger und prägnanter als an klassische Folienpräsentationen. Auch tragen sie dazu bei, die Bedrohungen stärker zu verdeutlichen und typische Schwachstellen, aber auch Lösungsmöglichkeiten in der eigenen Arbeitsumgebung aufzuzeigen. Sie ermöglichen es den Teilnehmern, Situationen zu üben, um dann im Ernstfall routinierter zu agieren. Es sollte geprüft werden, ob die restlichen Sensibilisierungs- und Schulungsinhalte durch den Einsatz von Planspielen unterstützt werden können.

Planspiele können aus praktischen Beispielen, z. B. anhand aktueller Vorfälle aus den Medien, selbst zusammengestellt oder bei Schulungsdienstleistern in Auftrag gegeben werden. Dabei sind die Inhalte der Planspiele möglichst an die eigene Institution anzupassen. Dadurch können sich die Mitarbeiter besser mit den aufgezeigten Lösungen identifizieren. Durch die Simulation z. B. von Sicherheitsvorfällen, die geschäftskritische Prozesse beeinträchtigen können, sind die Mitarbeiter im Ernstfall gut vorbereitet.

Genau wie bei Schulungen ist bei diesen Formaten die zielgruppengerechte Planung von Inhalten sehr wichtig. Die Teilnehmer sollen die Relevanz der Rollenspiele erkennen und in ihrem Arbeitsumfeld unmittelbar davon profitieren können.

Bei allen Bemühungen, die Mitarbeiter auf die Bedeutung von Informationssicherheit aufmerksam zu machen, soll eine positive und konstruktive Grundstimmung bewahrt werden. Ständige Angst vor Sicherheitsvorfällen kann einerseits zur Verdrängung von Sicherheitsproblemen und andererseits zu Panikreaktionen verleiten.

Die folgenden Beispiele zeigen, dass Planspiele von sehr einfach zu realisierenden Übungen, die im Rahmen einer Schulung durchgeführt werden können, bis hin zu komplexen Simulationsübungen reichen können. Die Aufgabe der verantwortlichen Planer ist es nun, entsprechend den Erfordernissen der unterschiedlichen Zielgruppen die geeigneten Szenarien zu entwickeln.

Tragen von Mitarbeiterausweise

Durch kurze Rollenspiele können Mitarbeiter sehr gut üben, wie sie sich verhalten sollen, wenn sie innerhalb der Institution organisationsfremde Personen antreffen. Es kann eingeübt werden, wie die Mitarbeiter optimal auf diese Situation reagieren können, beispielsweise indem sie anbieten, die Externen zum Gesprächspartner zu begleiten. Auch der Umgang mit Besuchern, die die Hausregeln kennen, aber verweigern, kann trainiert werden, beispielsweise wenn ein Besucher das Tragen eines Ausweises ablehnt, weil er persönlich mit dem Geschäftsführer bekannt sei.

Social

Im Rahmen von Simulationen können Mitarbeiter üben, wie sie sich bei Social-Engineering-Angriffen verhalten sollen. Dazu werden die ausgewählten Zielgruppen wie z. B. IT-Betreuer und verschiedene Administratorengruppen in einer gemeinsamen Simulation mit vermeintlich harmlosen Anfragen konfrontiert. Erst durch das fachübergreifende Betrachten dieser Anfragen wird deutlich, dass hier ein Angriff vorliegt. Ziel der Simulation ist es, diese Zusammenhänge durch entsprechende Übungen herauszufinden, um im Anschluss in definierter Art und Weise reagieren zu können. Diese Art von Simulation lässt sich in der Praxis sehr gut durch Workshops mit Moderationsmaterialien wie Pinnwand und Moderationskarten durchführen.

Simulationsübungen

Besonders wichtig sind Simulationen, in denen die Behandlung von Sicherheitsvorfällen bis hin zu Notfallsituationen geübt wird. Sie sollen Mitarbeiter in die Lage versetzen, zugeordnete Rollen und Verantwortlichkeiten innerhalb eines Szenarios auch unter erschwerten Bedingungen (Anspannung, Häufung von Anweisungen, unklare oder oft wechselnde Sachlage, Ressourcenmangel, Kommunikationsprobleme etc.) möglichst sicher wahrzunehmen. Das Ziel von Simulationen liegt primär im Training persönlicher Fähigkeiten anhand repräsentativer Szenarien, die dann in möglichst vielen Vorfallsituationen genutzt werden können. Daher sollte eine Simulation von einem erfahrenen Trainer geleitet werden, der nach ihrer Durchführung im Rahmen eines Reviews mit den Teilnehmern ihre Erfahrungen diskutiert und vertieft.

Bei der Konzeption von Sensibilisierungs- und Schulungsprogrammen ist die Lehrstoffsicherung wichtig, da nur dauerhaft präsentes Wissen auch zu den gewünschten Verhaltensänderungen führt. Nach Sensibilisierungs- und Schulungsaktivitäten sind die Teilnehmer in der Regel mit viel neuem Wissen und neuen Fertigkeiten ausgestattet. Wenn sie dieses Wissen im Anschluss an die Veranstaltungen nicht abrufen oder anwenden, besteht die Gefahr, dass sie es wieder ganz oder teilweise vergessen. Damit sich das Bewusstsein für Informationssicherheit bei den Mitarbeitern dauerhaft verbessert, sollten die Inhalte von Sensibilisierungs- und Schulungsmaßnahmen regelmäßig wiederholt bzw. angewendet werden. Dies wird durch die Lehrstoffsicherung unterstützt, die sowohl während der Schulung, am Ende einer Schulung als auch im Zeitraum danach durchgeführt werden sollte.

Die Auswahl von Maßnahmen zur Lehrstoffsicherung ist auf die jeweilige Organisationskultur und -größe abzustimmen.

Beispiele für Maßnahmen zur Lehrstoffsicherung sind:

  • schriftliche oder mündliche Tests während der Schulung oder/und zum Abschluss
  • Quizfragebögen mit Gewinnmöglichkeiten zu Schulungsinhalten
  • Intranet-basierte Befragungen zu den Inhalten der durchgeführten Schulungen
  • Nutzung von Teambesprechungen etc. für die Diskussion aktueller Aspekte der Informationssicherheit
  • Durchführung von Plan- oder Rollenspielen (siehe ORP.3.M11 Durchführung von Planspielen zur Informationssicherheit)
  • regelmäßige Wiederholung von Seminaren
  • kurze Hinweise im Intranetergänzende Kurzvorträge, z. B. im Rahmen anderer interner Veranstaltungen
  • ergänzende Kurzvorträge, z. B. im Rahmen anderer interner Veranstaltungen

3.2 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Häuslicher Arbeitsplatz" finden sich unter anderem in folgenden Veröffentlichungen:

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK