Bundesamt für Sicherheit in der Informationstechnik

Umsetzungshinweise zum Baustein ORP.3 Sensibilisierung und Schulung

Schnell zum Abschnitt

1 Beschreibung

1.1 Einleitung

Es ist nur dann möglich, Informationssicherheit innerhalb einer Institution erfolgreich und effizient zu verwirklichen, wenn alle Mitarbeiter erkennen und akzeptieren, dass sie ein bedeutender und notwendiger Faktor für den Erfolg der Institution ist und wenn sie bereit sind, Sicherheitsmaßnahmen wirkungsvoll zu unterstützen. Hierfür müssen eine Sicherheitskultur und ein Sicherheitsbewusstsein (Awareness) aufgebaut und gepflegt werden. Mitarbeiter müssen für relevante Gefährdungen sensibilisiert werden und wissen, wie sich diese auf ihre Institution auswirken können, denn je mehr sie sich damit auskennen, desto eher akzeptieren sie entsprechende Sicherheitsmaßnahmen. Sie müssen auch über die erforderlichen Kenntnisse verfügen, um Maßnahmen richtig verstehen und anwenden zu können. Insbesondere muss ihnen bekannt sein, was von ihnen im Hinblick auf Informationssicherheit erwartet wird und wie sie in sicherheitskritischen Situationen reagieren sollten.

Um den Mitarbeitern das nötige Wissen zu vermitteln, sind gleichermaßen Sensibilisierungs- und Schulungsmaßnahmen erforderlich. Ziel der Sensibilisierung für Informationssicherheit ist es, die Wahrnehmung der Mitarbeiter für sicherheitskritische Situationen und ihre Auswirkungen zu schärfen. Durch Schulungen zur Informationssicherheit sollen die Mitarbeiter die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten, für das private und berufliche Umfeld erwerben.

Eine angemessene Informationssicherheit sollte von allen Mitarbeitern als selbstverständlicher Teil ihrer Arbeitsumgebung verinnerlicht werden. Dies setzt in vielen Bereichen eine langfristige Verhaltensänderung voraus, besonders wenn Informationssicherheit mit Komfort- oder Funktionseinbußen verbunden ist. Um hier nachhaltige Ergebnisse zu erzielen, ist ein kontinuierlicher Prozess erforderlich. Daher muss die Institution ein durchgängiges Sensibilisierungs- und Schulungsprogramm zur Informationssicherheit erarbeiten und etablieren. Es sollte bereits bei der Einstellung von Mitarbeitern beginnen, unterschiedliche Zielgruppen mit deren Fähigkeiten, Arbeitsabläufen und benötigten Ressourcen berücksichtigen und die Mitarbeiter auch begleiten, wenn sich ihre Aufgaben oder Positionen verändern.

1.2 Lebenszyklus

Ein Sensibilisierungs- und Schulungsprogramm muss auf die Institution zugeschnitten sein und die dort vorhandene Kultur (siehe auch 3.1.1 Berücksichtigung sicherheitsrelevanter personeller Faktoren in den weiterführenden Informationen) sowie das notwendige Sicherheitsniveau berücksichtigen. In diesem Rahmen sind möglichst unterschiedliche und aufeinander abgestimmte Methoden und Medien zu verwenden.

Planung und Konzeption

Es ist für den Sicherheitsprozess sehr wichtig, dass dieser aktiv vom Management unterstützt wird. Hierfür muss das Management den Wert von Informationssicherheit für die Ziele der Institution erkannt und verinnerlicht haben (siehe ORP.3.M1 Sensibilisierung des Managements für Informationssicherheit).

Diese Unterstützung kann mit dem expliziten Auftrag zur Konzeption entsprechender Programme beginnen. Die notwendigen Schritte sind in der Maßnahme ORP.3.M4 Konzeption eines Schulungs- und Sensibilisierungsprogrammes zur Informationssicherheit beschrieben. Wichtig ist hier insbesondere, die Zielgruppen zu definieren (siehe ORP.3.M5 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme).

Beschaffung

Um Sensibilisierungs- und Schulungsmaßnahmen vorzubereiten und durchzuführen, wird internes und/oder externes Personal benötigt (siehe hierzu 3.1.2 Auswahl von Trainern oder externen Schulungsanbietern in den weiterführenden Informationen).

Umsetzung

In der Umsetzungsphase werden die Mitarbeiter den vorher definierten Zielgruppen zugeordnet und zielgruppenspezifisch geeignete Inhalte für Sensibilisierungs- und Schulungsmaßnahmen ausgewählt (siehe ORP.3.M6 Planung und Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit). Der Lehrstoff sollte geeignet vermittelt werden, beispielsweise mit Hilfe von Planspielen (siehe 3.1.3 Durchführung von Planspielen zur Informationssicherheit). Auch sind Maßnahmen umzusetzen, wodurch die Ansprechpartner für Sicherheitsfragen bei den Mitarbeitern bekannter werden (siehe ORP.3.M2 Ansprechpartner zu Sicherheitsfragen).

Betrieb, kontinuierliche Pflege und Weiterentwicklung

Ein weiterer wichtiger Bestandteil von Schulungen zur Informationssicherheit ist der Umgang mit der Informationstechnik. Besonders wenn neue Techniken eingeführt werden, sollten die Mitarbeiter frühzeitig über diese informiert und für Gefahrenpotenziale und Sicherheitsmaßnahmen sensibilisiert werden.

Um die Präsenz von vermittelten Lehrinhalten zu verbessern, können Methoden der Lehrstoffsicherung eingesetzt werden (siehe 3.1.4 Lehrstoffsicherung). Auch sollte regelmäßig überprüft werden, ob die Sensibilisierungs- und Schulungsmaßnahmen erfolgreich sind (siehe ORP.3.M8 Messung und Auswertung des Lernerfolgs). Bei Bedarf müssen diese angepasst werden.

2 Maßnahmen

Im Folgenden sind spezifische Umsetzungshinweise im Bereich "Sensibilisierung und Schulung" aufgeführt.

2.1 Basis-Maßnahmen

Die folgenden Maßnahmen sollten vorrangig umgesetzt werden:

ORP.3.M1 Sensibilisierung des Managements für Informationssicherheit [Vorgesetzte, Institutionsleitung]

Eine nachdrückliche und aktive Unterstützung durch die Behörden- bzw. Unternehmensleitung ist essentiell, damit Sicherheitskampagnen für die Mitarbeiter erfolgreich sein können. Daher ist es notwendig, dass vor Beginn von Sensibilisierungsmaßnahmen zur Informationssicherheit für Mitarbeiter das Management für Sicherheitsfragen sensibilisiert werden muss.

Die wichtigsten Informationen, die dem Management dabei geliefert werden müssen, sind:

  • Darstellung der Sicherheitsrisiken und damit verbundenen Kosten
    Die Aufmerksamkeit der Entscheidungsträger kann z. B. durch Berichte über Sicherheitsvorfälle erreicht werden, welche die eigene Institution ebenso betreffen könnten. Beispiele konkreter Sicherheitsvorfälle aus der Nachbarschaft oder bei vergleichbaren Institutionen können den Grad an Rückendeckung des Managements erhöhen.. Solche Beispiele finden sich in Fachzeitschriften, in Tageszeitungen (z. B. nach Hackerangriffen oder Virenvorfällen) und recht detailliert im Internet. Tatsächliche Schadensfälle der Vergangenheit aus der eigenen Institution können ebenfalls zu diesem Ziel eingesetzt werden. Auch die spezifischen Gefährdungen aus relevanten IT-Grundschutz-Bausteinen können hier als Grundlage dienen. Die Darstellung von finanziellen Schäden in konkreten Zahlen ist schwierig. Statistiken und Auswertungen, wie sie beispielsweise von den Polizeien oder Sicherheitsfachzeitschriften von Zeit zu Zeit veröffentlicht werden, bieten in manchen Fällen geeignete Informationen.
  • Auswirkungen auf die Geschäftsprozesse
    Es ist wichtig, dass die möglichen Auswirkungen von Informationssicherheitsvorfällen auf die geschäftskritischen Prozesse geschildert werden. Abhängigkeiten von Anwendungen und IT-Systemen sowie Industrial Control System (ICS), Internet of Things (IoT) und sonstigen Komponenten sind der Geschäftsführung nicht immer bekannt.Eine Auflistung von möglichen Sicherheitsrisiken reicht jedoch in der Regel nicht aus, um die Unterstützung des Managements zu gewinnen. Eine ausgewogene Argumentation sollte darüber hinaus auch die folgenden Punkte beinhalten.
  • Rechtliche Sicherheitsanforderungen
    Gesetze und andere juristische Vorgaben können ebenfalls Anforderungen an die Informationssicherheit in einer Institution nach sich ziehen, hierzu gehören beispielsweise Datenschutzgesetze, Sozialgesetzbuch, Handelsgesetzbuch, Bürgerliches Gesetzbuch, Strafgesetzbuch, IT-Sicherheitsgesetz, etc.. Viele gesetzliche Formulierungen zu Anforderungen der Informationssicherheit sind allgemein gehalten und können unverbindlich erscheinen.Durch konkrete Analyse lassen sich hieraus konkrete Verpflichtungen für die Gewährleistung eines angemessenen Sicherheitsniveaus ableiten. Eine Institution muss untersuchen, welche Regularien und Gesetze zur Wirkung kommen können.
  • Vorteile einer Zertifizierung
    Eine Zertifizierung der Informationssicherheitsprozesse bestätigt offiziell die hohe Wertschätzung der Informationssicherheit in einer Institution. Das Vertrauen der Geschäftspartner und der Öffentlichkeit in die Institution wird dadurch gestärkt. Eine Zertifizierung bringt für Vertrieb und im Marketing Wettbewerbsvorteile mit sich.
  • Standard-Vorgehensweisen zur Informationssicherheit für die Branche
    Eine zusätzliche Motivation für den Einsatz von Informationssicherheitsstandards ist das Verhalten anderer ähnlicher Organisationen. Informationen zu Branchen-Standards können aus Fachzeitschriften der Branchen, aus Veranstaltungen oder durch Kontakte zu Kammern und Verbänden bezogen werden.

Ein geeigneter Einstieg für die Sensibilisierung der Leitungsebene ist ein kurzer Bericht (evtl. Live Hackings), gefolgt von einer Präsentation, die mit aktuellen Beispielen (extern und intern) das Thema Informationssicherheit erläutert. Hierbei sollte beispielsweise aufgezeigt werden, dass technische Maßnahmen ohne gleichzeitige personelle und organisatorische Maßnahmen sinnlos sind. Um die Unterstützung des Managements zu bekommen, ist es hilfreich, den Nutzen solcher Maßnahmen aufzuzeigen.

Informationssicherheit wird erfahrungsgemäß in einer Institution nur dann erfolgreich umgesetzt, wenn alle Vorgesetzten mit gutem Beispiel vorangehen. Sinnvoll ist es daher, alle Führungskräfte explizit darauf zu verpflichten, ihre Mitarbeiter auf die Einhaltung der Sicherheitsvorgaben hinzuweisen und zu sensibilisieren.

ORP.3.M2 Ansprechpartner zu Sicherheitsfragen

In jeder Institution muss es Ansprechpartner für Sicherheitsfragen geben, sowohl für scheinbar einfache wie auch für komplexe und technische Fragen. Das können IT-Administratoren, IT-Anwendungsverantwortliche oder der Informationssicherheitsbeauftragte sein.

Oft ist die Hemmschwelle, konkrete Sicherheitsvorfälle zu melden, hoch. Wenn der Informationssicherheitsbeauftragte den Mitarbeitern jedoch bereits als Ansprechpartner zu allgemeinen Fragen der Informationssicherheit bekannt ist, kann dies Barrieren abbauen, konkrete Sicherheitsprobleme zu melden.

Die Institution muss den Beschäftigten zudem verbindlich kommunizieren, dass die Meldung von Sicherheitsvorfällen sich nicht negativ für sie auswirkt und sie auffordern, jeden Verdacht eines Sicherheitsvorfalls zeitnah und notfalls anonym zu melden.

Da viele Sicherheitsfragen bei der privaten Nutzung von IT-Systemen auftreten, sollten Informationssicherheitsbeauftragte auch zu vermeintlich nicht dienstlichen Belangen Informationen weitergeben, z. B. zu Phishing, zur Problematik von Computer-Viren und Trojanischen Pferden bei der Internet-Nutzung oder zum Schutz von persönlichen Daten beim E-Commerce. Dadurch werden die Mitarbeiter gegenüber Sicherheitsmaßnahmen offener und der Informationssicherheitsbeauftragter wird mehr akzeptiert. Zudem treten viele vermeintlich private Probleme erfahrungsgemäß äquivalent auch im Büro auf.

Allen Mitarbeitern müssen die Ansprechpartner zu Sicherheitsfragen ebenso wie die Meldewege für Sicherheitsvorfälle bekannt sein. Die Kontaktdaten der Meldestelle sollten effizient im Intranet mit Namen, Telefonnummern und E-Mail-Adressen veröffentlicht werden. Flyer, die dauerhaft an der Arbeitsplätzen verbleiben, unterstützen die Nachhaltigkeit.

ORP.3.M3 Einweisung des Personals in den sicheren Umgang mit IT [Vorgesetzte, Personalabteilung, IT-Betrieb]

Viele Sicherheitsprobleme entstehen durch fehlerhafte Benutzung bzw. Konfiguration der IT. Um solchen Problemen vorzubeugen, müssen alle Mitarbeiter und externen Benutzer in den sicheren Umgang mit den IT-, ICS- und IoT-Komponenten der Institution eingewiesen und geschult werden, soweit dies ihre Arbeitszusammenhänge betrifft.

Allen Benutzern von IT-, ICS- und IoT-Komponenten muss deutlich gemacht werden, welche Rechte und Pflichten sie bei deren Nutzung haben. Dafür müssen ihnen spezifische Richtlinien an die Hand gegeben werden, was sie im Umgang mit den IT-, ICS- und IoT-Komponenten beachten müssen. In einer solchen Richtlinie ist zu beschreiben, welche Rahmenbedingungen es beim Einsatz der betrachteten IT-, ICS- und IoT-Komponenten gibt und welche Sicherheitsmaßnahmen zu ergreifen sind. Dabei hilft den Benutzern die klare und unmissverständliche Information darüber, was sie auf keinen Fall machen dürfen. Diese Richtlinien müssen verbindlich, verständlich, aktuell und verfügbar sein. Um die Verbindlichkeit zu dokumentieren, sollten sie von der Behörden- bzw. Unternehmensleitung oder zumindest von den Verantwortlichen für deren Betrieb unterzeichnet sein. Es empfiehlt sich auch, sie kurz und verständlich zu formulieren, sodass sie beispielsweise als Poster, Merkzettel, Flyer oder Ähnliches verteilt werden können. Zusätzlich sollten sie im Intranet abrufbar sein.

Benutzerrichtlinien sollten grundsätzlich nur Regelungen enthalten, die auch umgesetzt werden können und so positiv und nachvollziehbar wie möglich formuliert werden. Beispielsweise könnte eine Benutzerrichtlinie statt

"Benutzer dürfen keine Software selbständig installieren."

besser folgendermaßen lauten:

"Alle IT-Systeme werden in einer Standardkonfiguration ausgeliefert, die auf Ihre spezifischen Arbeitsbedingungen angepasst wurde und Ihnen maximale Sicherheit bieten. Bei Problemfällen können wir Ihnen durch eine Neuinstallation der Standardkonfiguration eine schnelle Problemlösung garantieren. Verändern Sie daher die Einstellungen nicht! Wenn Sie zusätzliche Hard- oder Software benötigen, wenden Sie sich bitte an den Benutzerservice."

Weitere Beispiele für Benutzerrichtlinien finden sich unter den Hilfsmitteln zum IT-Grundschutz.

Eine Benutzerrichtlinie für die allgemeine IT-Nutzung soll mindestens die folgenden Punkte umfassen:

  • Hinweis, dass keine IT-Systeme, IT- oder IoT-Komponenten ohne ausdrückliche Erlaubnis benutzt werden dürfen
  • Hinweis, dass nur diejenigen Mitarbeiter Informationen auf IT-Systemen ändern dürfen, die dazu autorisiert sind
  • Einbringen von externen Daten in das eigene Haus (z.B. USB, Download oder Mailanhang)
  • Umgang mit Passwörtern
  • Nutzungsverbot nicht freigegebener Software
  • Hinweis, dass dienstliche IT-Systeme nur für dienstliche Zwecke eingesetzt werden dürfen, beziehungsweise eine präzise Beschreibung möglicher Ausnahmen von dieser Regel, falls es sie gibt
  • Hinweise zur sicheren Verwahrung und Aufstellung von IT-Systemen und Datenträgern
  • Schutz vor Computer-Viren und anderer Schadsoftware
  • Durchführung von Datensicherungen
  • Nutzung von Internet- und E-Mail-Diensten

Neben solchen Richtlinien müssen klare Aussagen darüber vorliegen, welche Benutzer auf welche Informationen zugreifen dürfen, an wen diese weitergegeben werden dürfen und welche Maßnahmen bei einem Verstoß gegen diese Richtlinien unternommen werden.

Wenn ein Benutzer seinen Arbeitsplatz verlässt, sollte er sich davon überzeugen, dass jedes Arbeitsmittel (Dokumente, Datenträger, etc.) sicher verwahrt ist. Alle IT-Systeme sollten durch Passwörter gegen unbefugten Zugriff geschützt sein. Bei unbeaufsichtigten IT-Systemen ist der Computer mindestens zu sperren.

Die Grundkonfiguration aller IT-Systeme sollte möglichst eingeschränkt bzw. schlank sein. In der Standardkonfiguration von Arbeitsplatzrechnern sollten nur die Dienste vorhanden sein, die von allen Benutzern einer Gruppe benötigt werden. Weitere Programme oder Funktionen dürfen nur dann aufgespielt bzw. freigeschaltet werden, wenn die Benutzer in deren Handhabung eingewiesen und für eventuelle Sicherheitsprobleme sensibilisiert wurden.

Jede Benutzerordnung sollte in Zusammenarbeit mit Vertretern aller beteiligten Gruppen erstellt werden, insbesondere sind Personalvertretungen und Datenschutz- sowie Informationssicherheitsbeauftragter rechtzeitig zu beteiligen. Bei Änderung einer Benutzerordnung ist darauf zu achten, dass die Betroffenen wieder im Vorfeld beteiligt werden. Die geänderte Benutzerordnung muss allen Benutzern bekannt gegeben werden.

Die Aufgabenbeschreibung muss alle für die Informationssicherheit relevanten Aufgaben und Verpflichtungen enthalten. Dazu gehört u. a. die Verpflichtung auf die hausinternen Leitlinien zur Informationssicherheit.

Werden IT-, ICS- oder IoT-Systeme oder Dienste in einer Weise benutzt, die den Interessen der Behörde bzw. des Unternehmens widersprechen, muss jeder, der davon Kenntnis erhält, dies seinen Vorgesetzten mitteilen.

Gemeinsam mit den Basismaßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich Sensibilisierung und Schulung.

2.2 Standard-Maßnahmen

Gemeinsam mit den Basis-Maßnahmen entsprechen die folgenden Maßnahmen dem Stand der Technik im Bereich "Sensibilisierung und Schulung".

ORP.3.M4 Konzeption eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit

Die Mitarbeiter sind die wesentlichen Erfolgsfaktoren, um Informationssicherheit in einer Institution zu etablieren und aufrechtzuerhalten. Sie sind es, die technische Schutzsysteme nutzen oder administrieren, die Richtlinien und Vorgaben mehr oder weniger sorgfältig beachten und die aus Unkenntnis oder Vorsatz sicherheitsrelevante Fehler machen können. Deshalb sollte ein zielgruppenorientiertes Sensibilisierungs- und Schulungsprogramm erstellt und regelmäßig überprüft und aktualisiert werden.

Die im Rahmen eines Sicherheitskonzeptes realisierten technischen und organisatorischen Maßnahmen wirken sich in vielfältiger Weise auf die einzelnen Mitarbeiter aus. So könnten sie zu regelmäßigen Passwortwechseln gezwungen sein, bestimmte Bereiche der Institution ohne Genehmigung nicht betreten dürfen, ihre Mitarbeiterausweise gut sichtbar tragen oder regelmäßig Sicherheitsschulungen besuchen müssen.

Ziel jeder Institution sollte es daher sein, dass alle Mitarbeiter den Wert und die Notwendigkeit einer angemessenen Informationssicherheit zur Erfüllung ihrer Aufgaben und den Fortbestand der Institution erkennen, akzeptieren und aktiv unterstützen. Sie sollten die bestehenden Regelungen und Maßnahmen beachten und durch ihr Verhalten dazu beitragen, die Informationssicherheit aufrechtzuerhalten und weiterzuentwickeln. Sie sollen sicherheitskritische Situationen möglichst frühzeitig erkennen können und darauf richtig reagieren.

Dies setzt eine systematische Sensibilisierung der Mitarbeiter voraus, die durch einen kontinuierlichen Prozess in der Institution zu verankern ist. Aufbauend auf der Sensibilisierung sollten die Mitarbeiter durch ergänzende Schulungen alle erforderlichen Informationen und Fähigkeiten vermittelt bekommen (siehe ORP.3.M3 Einweisung des Personals in den sicheren Umgang mit IT). Sensibilisierungs- und Schulungsprogramme sind somit eng verwandte Themengebiete, denen auf allen Organisationsebenen eine hohe Bedeutung zugemessen werden sollte. Damit das besondere Gewicht von Sensibilisierungsmaßnahmen erkennbar ist und die benötigten Ressourcen zur Planung, Umsetzung und Aufrechterhaltung verfügbar sind, muss das Management die Maßnahmen unterstützen.

Die nachfolgenden Aspekte sind bei Konzeption und Aufbau des Sensibilisierungs- und Schulungsprogrammes hilfreich.

Sensibilisierung für Informationssicherheit bedeutet, dass bei Mitarbeitern die Wahrnehmung von Informationssicherheit geschärft und ihr Sicherheitsbewusstsein entsprechend den Anforderungen der Institution geschult wird.

Zu Beginn der Sensibilisierung sollte ein Ziel definiert und im weiteren Verlauf dieser Maßnahme zielgruppenbezogen verfeinert werden. So können später Inhalte passgenau entwickelt und der Erfolg der Maßnahmen gemessen werden. Bei der Zieldefinition sollte die Frage im Vordergrund stehen, warum Informationssicherheit für die Institution und ihre Mitarbeiter wichtig ist.

Beispiel für eine Zieldefinition:

Durch eine Zielgruppenanalyse können die Sensibilisierungsmaßnahmen an spezielle Anforderungen und unterschiedliche Hintergründe der Mitarbeiter angepasst werden (siehe ORP.3.M5 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme). Durch Hilfe der Zielgruppenanalyse werden Mitarbeiter mit vergleichbaren Merkmalen in Bezug auf die Informationssicherheit identifiziert, wie z. B. "Administratoren", "Mitarbeiter der Personalabteilung" oder "externe Mitarbeiter". Weiterhin sollten auch die Entwicklungen der Mitarbeiterlaufbahn betrachtet werden, die für die Institution charakteristisch sind, z. B. Abteilungs-, Funktions- oder Standortwechsel.

Die Sensibilisierungsmaßnahmen sind zielgruppengerecht aufzubereiten. Als Ergebnis können z. B. Auswirkungen von Sicherheitsvorfällen für die jeweiligen Mitarbeiter so praxisnah wie möglich beschrieben werden. Weiterhin hat es sich auch als äußerst wirksam erwiesen, Beispiele aus dem privaten Umfeld der Mitarbeiter in Sensibilisierungsprogramme aufzunehmen, wie der Verlust der Digitalfotos aus dem letzten Urlaub oder ein verlorenes Smartphone.

Sensibilisierungskampagnen können alle Themen beinhalten, die begründen, warum Informationssicherheit für die Institution und ihre Mitarbeiter wichtig ist. Hierzu zählen z. B. relevante Gefährdungen oder beispielhafte wie auch reale Sicherheitsvorfälle, an denen richtiges Verhalten trainiert werden kann. Dabei sollte darauf geachtet werden, dass genügend Inhalte einen engen Bezug zur Institution sowie deren Rahmenbedingungen und der angesprochenen Zielgruppe haben. Zusätzlich können Beispiele aus vergleichbaren Institutionen oder aussagekräftigen Publikationen die Inhalte untermauern.

Es sind solche Medien und Methoden auszuwählen, die sich eng an der herrschenden Kultur der Institution orientieren. Ziel ist es, die Mitarbeiter mit vertretbaren Kosten möglichst eindrucksvoll und nachhaltig zu erreichen und für Informationssicherheit zu sensibilisieren. Das heißt, die Wahrnehmungen, Emotionen und Fähigkeiten der Mitarbeiter für Schwachstellen und Vorfälle in ihrer Arbeitsumgebung müssen gestärkt werden, damit sie diese frühzeitig erkennen, bewerten und richtig darauf reagieren. Dabei sollte auf reine Anweisungstexte, ausführliche und detaillierte schriftliche Regelungen sowie auf eine unverständliche Fachsprache zugunsten einer kurzen und prägnanten Kommunikation verzichtet werden (siehe auch ORP.3.1.3 Durchführung von Planspielen zur Informationssicherheit).

Sensibilisierung und Schulung sind eng verwandte Themen, die sich in der Umsetzung ergänzen und aufeinander aufbauen. Sensibilisierung soll die Mitarbeiter zum Handeln motivieren. Die richtigen Verhaltensweisen werden anschließend durch Schulungsmaßnahmen weiter unterstützt. Es ist in der Praxis eine große Herausforderung, Mitarbeiter für Informationssicherheit zu interessieren und das richtige Verhalten aufrechtzuerhalten. Je klarer, begeisterungsfähiger aufgearbeitet und eindrucksvoller das Gesamtkonzept der Maßnahmen ist, umso wirksamer kann der Lehrstoff beim Mitarbeiter verarbeitet und angewandt werden. Deshalb muss der Lehrstoff durch geeignete Maßnahmen gefestigt werden (siehe ORP.3.1.4 Lehrstoffsicherung).

Der Erfolg der festgelegten Sensibilisierungs- und Schulungsziele ist zu messen und auszuwerten. Dafür sollte der Stand der Teilnehmer vor, während und nach der Maßnahme anhand geeigneter Kennzahlen oder Kriterien erfasst werden. So lässt sich verfolgen, ob die Kampagne erfolgreich ist und wie sich die Sensibilisierung entwickelt. Weitere Informationen sind in Maßnahme ORP.3.M8 Messung und Auswertung des Lernerfolgs dargestellt.

Die Informationssicherheit in einer Institution ist permanenten Veränderungen unterworfen. IT-Systeme, Prozesse, Leistungsspektren, Wettbewerbssituationen wandeln sich und damit einhergehend auch Gefährdungslagen, Risikobewertungen und erforderliche Sicherheitsmaßnahmen. Zusätzlich müssen die Ergebnisse der bisherigen Sensibilisierungsmaßnahmen betrachtet werden, insbesondere notwendige Veränderungen aufgrund der Messung und Auswertung des Lernerfolgs.

Diese Veränderungen müssen sorgfältig analysiert und das Sensibilisierungs- und Schulungsprogramm regelmäßig aktualisiert werden.

ORP.3.M5 Analyse der Zielgruppen für Sensibilisierungs- und Schulungsprogramme

Wird für eine Institution ein Sensibilisierungs- und Schulungsprogramm erstellt, sollten im Konzept die jeweiligen Zielgruppen definiert werden (siehe ORP.3.M4 Konzeption eines Schulungs- und Sensibilisierungsprogrammes zur Informationssicherheit). Dazu sollte eine detaillierte Zielgruppenanalyse durchgeführt werden, sodass Maßnahmen auf spezielle Anforderungen und unterschiedliche Hintergründe fokussiert werden können.

Es können beispielsweise Mitarbeiter mit vergleichbaren fachlichen Hintergründen, Kenntnissen oder Aufgaben zu einer Zielgruppe zusammengefasst werden. Ein praktikabler Ansatz ist auch die Zielgruppen aus den organisatorischen Einheiten abzuleiten. In der Regel kann hier davon ausgegangen werden, dass Mitarbeiter mit vergleichbarer Technik und ähnlichen Vorgaben arbeiten.

Ein weiteres Kriterium sind Ereignisse, die innerhalb einer Mitarbeiterlaufbahn eintreten. Hierzu zählen z. B. Neueinstellung, Aufgaben- oder Abteilungswechsel, Standortwechsel, Technikwechsel, Änderungen in der bestehenden Organisation oder der Weggang aus der Institution.

Beispiele möglicher Zielgruppen und deren Merkmale:

Managementebene

Die Mitglieder der Managementebene haben eine Vorbildfunktion für die Mitarbeiter. Oft haben sie wenig Zeit, sodass die Sensibilisierungs- und Schulungsmaßnahmen strukturiert und prägnant sein müssen. Die Motivation der Managementebene für die Informationssicherheit kann durch geeignete persönlichen Zielvereinbarungen erreicht werden.

Mitarbeiter

Das Verhalten dieser Zielgruppe im Arbeitsalltag hat die stärksten direkten Auswirkungen auf die Informationssicherheit. Hier ist zu berücksichtigen, dass der Wissensstand und die Rahmenbedingungen innerhalb der Zielgruppe sehr unterschiedlich sein können. Beispielsweise haben Software-Entwickler eine andere IT-Ausstattung und andere Aufgaben und Kenntnisse als Mitarbeiter der Personalverwaltung. Ebenso ist davon auszugehen, dass die persönlichen Ausrichtungen dieser beiden Zielgruppen recht verschieden sind. Die beiden Gruppen benötigen unterschiedliche Schulungsinhalte zur Informationssicherheit.

Administratoren

Administratoren und Support-Mitarbeiter müssen tief gehende Fachkenntnisse der von ihnen betreuten IT-Systeme und Anwendungen haben, sodass sie auch in der Lage sind, Sicherheitsprobleme zu erkennen und zu beheben sowie diesen vorzubeugen.

Personalabteilung (Vorzimmer, Poststelle, Pressebereich)

Mitarbeiter dieser Abteilung haben einen hohen Informationsbedarf über Datenschutzanforderungen. Weiterhin sind die Mitarbeiter der Personalabteilung wesentlicher Treiber für die Beschreibung der Aufgabengebiete je Mitarbeiter, dem Nachvollziehen der Vertreterregelung sowie der Veröffentlichung zentraler Zuständigkeitsbereiche der Kollegen innerhalb der Institution.

Externe Projektmitarbeiter

In vielen Fällen haben auch Externe, die eng mit oder sogar in der Institution tätig sind, Zugriff auf interne Informationen, Anwendungen oder Systeme.

Diese Zielgruppe muss die Informationssicherheitsziele und -regeln der Institution ebenso unterstützen und darauf verpflichtet werden, wie interne Mitarbeiter. Dies erfordert entsprechende Schulungsmaßnahmen, z. B. in Form von Einweisungen mit dokumentierter Kenntnisnahme. Diese Maßnahmen sollte die externe Institution entsprechend den mit der eigenen Institution vereinbarten Anforderungen durchführen.

Neueinstellungen

Diese Zielgruppe hatte bisher keine Berührung mit der organisationsinternen Informationssicherheit. Daher müssen grundsätzlich im Rahmen der Erstinformation die Inhalte der Informationssicherheit wirksam vermittelt und Mitarbeiter darauf verpflichtet werden. Hier haben sich Vorgehensweisen bewährt, die diesen Schritt in den Willkommensprozess einbeziehen.

ORP.3.M6 Planung und Durchführung von Sensibilisierungen und Schulungen zur Informationssicherheit

Ein Schulungsprogramm zur Informationssicherheit sollte den Mitarbeitern alle Informationen und Fähigkeiten vermitteln, die erforderlich sind, um in der Institution geltende Sicherheitsregelungen und -maßnahmen umsetzen zu können.

Nachdem die Ziele der Informationssicherheitsschulungen für die Institution festgelegt, sowie relevante Zielgruppen und deren spezifischer Schulungsbedarf identifiziert wurden (siehe ORP.3.M5 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme), müssen die konkreten Schulungsmodule und -inhalte geplant und entsprechend umgesetzt werden, indem die Zielgruppen gemäß dieser Planung geschult werden.

Hierzu sollten folgende Aspekte betrachtet werden:

  • In welcher Tiefe und mit welcher Methodik soll welche Zielgruppe geschult werden?
  • Welche Mitarbeiter gehören in welche Zielgruppe?
  • Welche Ressourcen sind für eine Zielgruppe erforderlich, z. B. Trainerkapazität, Räumlichkeiten, benötigte IT-Infrastruktur, Organisation etc.?
  • Welche speziellen Arbeitsumgebungen mit ihren Anforderungen an die Informationssicherheit und welche zugeordneten Maßnahmen müssen berücksichtigt werden, z. B. Prozesse, Verfahren, Aufgaben und Rollen inklusive möglicher Veränderungen?

Mögliche Schulungsinhalte

Im Folgenden werden beispielhaft eine Struktur und wichtige Inhalte von Schulungsmodulen vorgestellt, die entsprechend den dargestellten Aspekten noch rollen- und ressourcenbezogen aufbereitet werden müssen. Für viele Bereiche stehen Schulungsangebote von entsprechenden Anbietern zur Verfügung, falls eine interne Planung und Durchführung in der Institution nicht möglich ist.

Die Module unterscheiden sich zunächst nur nach Themen. Jedes Modul kann in angepasster inhaltlicher Tiefe durchgeführt werden. Dies ist abhängig davon, für welche Arbeitsumgebung oder welchen Abschnitt einer Mitarbeiterlaufbahn das Modul bestimmt ist.

Die Schulungsinhalte sollten auf Basis der in Maßnahme ORP.3.M4 Konzeption eines Schulungs- und Sensibilisierungsprogrammes zur Informationssicherheit erarbeiteten Analyse festgelegt sowie regelmäßig überprüft und angepasst werden, um eine größtmögliche Wirksamkeit der Schulungsmaßnahmen zu erzielen. Zusätzlich sollen alle für den jeweiligen Informationsverbund relevanten Bausteine des IT-Grundschutz-Kompendiums daraufhin überprüft werden, ob die erforderlichen Maßnahmen nicht nur angeordnet, sondern auch geschult wurden.

Ebenfalls exemplarisch wurden hier die Schulungsmodule den Zielgruppen zugeordnet. Dabei wird mit "X" gekennzeichnet, dass das jeweilige Modul für die entsprechende Rolle empfohlen wird. Mit einem "O" werden die optionalen Schulungsmodule gekennzeichnet, bei denen von Fall zu Fall entschieden werden sollte, ob die Inhalte für die entsprechende Rolle benötigt werden.

Modul 1: Grundlagen der Informationssicherheit

Modul 2: Informationssicherheit am Arbeitsplatz

Modul 3: Gesetze und Regularien

Modul 4: Sicherheitskonzept der Organisation

Modul 5: Risikomanagement

Modul 6: Informationssicherheitsmanagement

Modul 7: IT-Systeme

Modul 8: Operativer Bereich

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Modul 10: Notfallvorsorge/Notfallplanung

Modul 11: Neue Entwicklungen im IT-Bereich

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Modul 13: Infrastruktur-Sicherheit

Modul → Funktion ↓12345678910111213
VorgesetzteXXXX





OX
SicherheitsmanagementXXXXXXXXXXXXX
DatenschutzbeauftragterXXXX





XO
InfrastrukturverantwortlicheXXXXXO


X

X
BenutzerXX










AdministratorenXX
XX
XXXXX
O

Tabelle: Vorgeschlagene Schulungsmodule je Funktion

In diesem Beispiel dienen die beiden Module 1 und 2 als Basisschulung für alle Mitarbeiter und sind eng mit Sensibilisierungsmaßnahmen abzustimmen. Alle anderen Module zeigen auf, welche Vertiefungsgebiete je nach Fachaufgabe außerdem vermittelt werden sollten.

Je nach Art der Institution kann es sinnvoll sein, weitere Zielgruppen und die zugehörigen Schulungsziele zu definieren (siehe ORP.3.M5 Analyse der Zielgruppen für Sensibilisierungs und Schulungsprogramme). Wichtig ist auch die Einbindung der Mitarbeiter, die in erster Linie wenig oder nichts mit Informationstechnik zu tun haben, wie z. B. der Sicherheits- und Reinigungsdienst.

Modul 1: Grundlagen der Informationssicherheit

Institutionen sind stark von einer ausreichend verfügbaren und gegen Angriffe geschützten IT und Infrastruktur abhängig. Daher ist die wichtigste Aufgabe von Sensibilisierung und Schulung, den Mitarbeitern den Wert von Informationssicherheit für die Institution und entsprechende Grundlageninformationen zu vermitteln.

Unter anderem sollten in diesem Modul folgende Themen behandelt werden:

  • Motivation

    • Fallbeispiele aus der Praxis für Gefährdungen und Risiken
    • Auswirkungen von Angriffen, inklusive Social Engineering

Informationen als Werte einer Institution und ihr Schutzbedarf

  • Begriffserläuterungen:

    • Informationssicherheit
    • Vertraulichkeit, Integrität, Verfügbarkeit
    • Security, Safety, Datenschutz und ihre Abgrenzung zur Informationssicherheit

  • Informationssicherheit in der eigenen Institution

    • Aufgaben und Ziele der Institution
    • Sicherheitsanforderungen und Risiken in der Institution
    • Informationssicherheitsstrategie und -konzept der Institution im Überblick
    • Aufgaben und Verpflichtungen der einzelnen Mitarbeiter

  • Wesentliche Sicherheitsregeln für Mitarbeiter

    • Überblick über interne Sicherheitsregelungen
    • Umgang mit sensiblen Informationen (inklusive Passwörtern)
    • Nutzung von E-Mail und Internet
    • Schutz vor Schadprogrammen und Datensicherung
    • Umgang mit mobilen Endgeräten
    • Arbeiten in fremden oder öffentlichen Umgebungen

Modul 2: Informationssicherheit am Arbeitsplatz

Mitarbeiter können durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, Schäden zu vermeiden. Das Modul zur Umsetzung von Informationssicherheit am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:

  • Sensibilisierung von Mitarbeitern
  • Vermeidung von typischen Fehler von Anwendern

    • leichtsinniger Umgang mit Passwörtern
    • Verzicht auf Verschlüsselung
    • mangelnder Schutz von Informationen
    • mangelndes Misstrauen
    • Diebstahl von mobilen Geräten (wie Laptops und Smartphones)

  • Vorbeugung gegen Social Engineering
  • Organisation und Sicherheit

    • Die Sicherheitsvorgaben der Institution und deren Bedeutung für den Arbeitsalltag
    • Verantwortlichkeiten und Meldewege in der Institution (mit persönlicher Vorstellung der Informationssicherheitsbeauftragten)

  • Zutritts-, Zugangs- und Zugriffsschutz
  • Bedeutung der Datensicherung und gegebenenfalls deren Durchführung
  • E-Mail- und Internet-Sicherheit
  • Schutz vor Schadprogrammen
  • Sicherheitsaspekte relevanter IT-Systeme und Anwendungen
  • Rechtliche Aspekte
  • Verhalten bei Sicherheitsvorfällen

    • Erkennung von Sicherheitsvorfällen
    • Meldewege und Ansprechpartner
    • Verhaltensregeln im Verdachtsfall

Die hier angegebenen Themen stellen eine Auswahl dar. Das Schulungsmodul "Informationssicherheit am Arbeitsplatz" muss stets an die individuellen Gegebenheiten der Institution angepasst sein.

Modul 3: Anforderungen, Gesetze und Regularien

Dieses Schulungsmodul sollte den rechtlichen Anforderungsrahmen, in dem Informationssicherheit innerhalb der Institution zu betrachten ist, für die Mitarbeiter umreißen.

Hierzu zählen Sicherheitsanforderungen, die sich aus den folgenden Punkten ergeben können:

  • Verträge (z. B. mit Kunden, Lieferanten, Outsourcing-Partnern, Kreditgebern)
  • regulatorische Anforderungen, einschlägige Gesetze, Vorschriften, Informationssicherheitsstandards und -richtlinien, etc.
  • sonstigen Anforderungen der Institution (z. B. bewusste Marktdifferenzierung, Produktstrategie, Sicherheitsimage etc.)

Es ist wichtig, Mitarbeiter nicht nur auf die Einhaltung relevanter Anforderungen zu verpflichten, sondern ihnen diese auch nahe zu bringen sowie Hintergründe und Auswirkungen zu erläutern.

Relevante Anforderungen können je nach Branche und Ländern, in denen eine Institution tätig ist, sehr unterschiedlich sein. Eine wichtige Komponente stellen die Standards und Richtlinien zur Informationssicherheit und ihre konkrete Umsetzung in der Institution dar, da hier erfahrungsgemäß schon eine Reihe der übrigen Anforderungen verarbeitet wurde.

Beispielhafte Themen sind:

  • Datenschutz in der Institution

    • Rolle und Aufgabe des Datenschutzbeauftragten
    • Datenschutzgesetz
    • Organisationspflichten
    • Umgang mit personenbezogenen Daten durch Mitarbeiter, z. B. Zusammenhang mit Protokoll-Dateien

  • Arbeitsschutz

    • Rolle des Arbeitsschutzbeauftragten
    • Regelungen zu Bildschirmarbeitsplätzen

  • Rechtliche oder regulatorische Vorgaben mit Bezug zur Informationssicherheit, soweit sie für die Institution relevant sind, wie z. B. PCI DSS, Basel III, etc.
  • Gesetze und Normen zur technischen Infrastruktur

    • Brandschutz, Klimatisierung, Verkabelung, Blitzschutz, etc.

  • Juristische Haftungsrisiken und IT-Nutzung

    • Nutzung oder Angebot von TK- oder Internetdiensten
    • Haftung des Unternehmens nach außen (z. B. KonTraG, Schäden durch Schadsoftware)
    • Haftung bei der Privatnutzung von IT-Komponenten
    • Rechtsrahmen bei der Mitarbeiterüberwachung

  • Sonstige rechtliche Rahmenbedingungen

    • Ausfuhrbestimmungen für IT-Produkte, z. B. bei Verschlüsselung
    • digitale Signaturen und ihre rechtliche Stellung
    • Lizenz- und Urheberrecht für Software

  • Umgang mit Angriffen auf interne IT

    • Strafbarkeit im Bereich Hacking
    • Gesetzlich zulässige Abwehrmaßnahmen
    • Verfolgung von Hacker-Straftaten

Modul 4: Sicherheitskonzept der Institution

Dieses Schulungsmodul vertieft die im Modul 2 behandelten Themen. Darüber hinaus soll es die System- und Aufgabenverantwortlichen in die Lage versetzen, an der permanenten Verbesserung und Weiterentwicklung des Sicherheitskonzeptes aufgrund technischer, organisatorischer oder rechtlicher Änderungen mitzuwirken.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • detaillierte Kenntnis der Anforderungen und Risiken, die als Basis für das Sicherheitskonzept dienen
  • spezifische Risiken und Sicherheitsmaßnahmen des Sicherheitskonzeptes aus den Bereichen Management, Organisation, Infrastruktur, IT-Betrieb und Mitarbeiter
  • Anpassung dieser Sicherheitsmaßnahmen an neue technische, organisatorische und rechtliche Gegebenheiten
  • Revision und Aufrechterhaltung des Sicherheitskonzeptes

Modul 5: Risikomanagement

Dieses Schulungsmodul zeigt Verantwortlichen, wie sie Risiken der Informationssicherheit systematisch analysieren, bewerten und behandeln können.

Beispielhafte Themen sind:

  • Definitionen und Beispiele zu den Begriffen: Gefährdung, Bedrohung, Schwachstelle, Risiko, Sicherheitsziel
  • Typische Gefährdungen und Bedrohungen:

    • Höhere Gewalt: Feuer, Wasser, Explosion, Sturm, Erdbeben, Blitzschlag, Streik, Demonstration, etc.
    • Organisatorische Mängel: fehlende oder unzureichende Regelungen, ungeeignete Rechtevergabe, unkontrollierter Einsatz von IT-Systemen, Umgang mit sensiblen Informationen / Datenträgern etc.
    • Menschliche Fehlhandlungen: Irrtum, Nachlässigkeit, Neugier, Unwissenheit, etc.
    • Technisches Versagen: Stromausfall, Ausfall der Klimaanlage, Überspannung, Ausfall von Schaltelementen oder Schaltkreisen, Störungen in der Mechanik oder Elektronik, etc.
    • Vorsätzliche Handlungen: Schadprogramme, Diebstahl, Sabotage, Spionage, Manipulation, Vandalismus, Hacking und Cracking inklusive Gegenüberstellung von Angreifertypen und Motivationen, z. B. bei Innentätern oder bei Angreifern von außen

  • Risikomanagement

    • Begriffe zum Risikomanagement: Risikoanalyse, -bewertung, -behandlung, -akzeptanz, Restrisiko
    • Erstellung einer Gefährdungsübersicht
    • Ermittlung zusätzlicher Gefährdungen
    • Gefährdungsbewertung
    • Identifizierung und Bewertung der Risiken
    • Risikobehandlung (Reduktion, Vermeidung, Übernahme, Transfer)
    • Umgang mit Restrisiken

Modul 6: Sicherheitsmanagement

Dieses Schulungsmodul umfasst für die Verantwortlichen wichtige Grundlagen zur Umsetzung der Informationssicherheit in der Institution. Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Sicherheitsmanagement

    • Ziel und Aufgaben
    • Prozess (Informationssicherheitsmanagementsystem, ISMS) und Strategie (Leitlinie)
    • Bereitstellung von Ressourcen
    • Organisation und Verantwortlichkeiten
    • Standards wie ISO/IEC 2700x, IT-Grundschutz, ITIL, CobiT etc.
    • Durchführen von Reviews, Audits, Managementbewertungen
    • Planung und Umsetzung von Verbesserungsmaßnahmen
    • Einbindung der Mitarbeiter

  • Sicherheitskonzept

    • Ziele und Inhalte eines Sicherheitskonzeptes
    • Aufbau eines Sicherheitskonzeptes
    • Verpflichtung von Mitarbeitern, System- und Aufgabenverantwortlichen zur Umsetzung des Sicherheitskonzeptes

  • System- und anwendungsspezifische Sicherheitsrichtlinien
  • Berechtigungsmanagement

    • Berechtigungskonzepte, Gestaltung der Rechtevergabe
    • Zugriffsrechte auf Systemressourcen, Zuweisung und zeitliche Begrenzung
    • Authentisierung (z. B. Stärken und Auswahl von Mechanismen)
    • Remote Zugriff (z. B. bei Telearbeit)

  • Sensibilisierung und Training zur Informationssicherheit

    • Ausarbeitung passender Programme entsprechend den Rahmenbedingungen der Institution

  • Evaluierung und Zertifizierung im Bereich Informationssicherheit

    • Produkt-/System-Zertifizierung (z. B. nach ITSEC, Common Criteria usw.)
    • Zertifizierung des Sicherheitsmanagements (z. B. nach IT-Grundschutz)
    • Experten-Zertifikate (z. B. TISP, CISA, CISSP, IT-Sicherheitskoordinator, Security+ usw.)
    • Experten-Zertifikate (z. B. TISP, CISA, CISSP, IT-Sicherheitskoordinator, Security+ usw.)

  • Spezielle Probleme in der Informationssicherheit

    • Kommunikation mit Management und Fachabteilung
    • Kosten- und Akzeptanzprobleme

Modul 7: IT-Systeme

Dieses Schulungsmodul beschreibt die Steuerungsinstrumente, die in den verschiedenen Phasen des Lebenszyklus von IT-Systemen gewährleisten, dass die Sicherheitsnormen eingehalten werden.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Sicherheitsmaßnahmen in den Lebenszyklus-Phasen

    • Planung
    • Beschaffung/Entwicklung
    • Test und Evaluierung
    • Implementierung bzw. Installation
    • produktiver Betrieb
    • Aussonderung
    • Notfallvorsorge

  • Sicherheitsplanung für den Systembetrieb

    • Feststellung des Einsatzzweckes und -nutzens eines bestimmten IT-Systems
    • Festlegung der Schutzmaßnahmen für dieses System
    • Bestimmung der für den Systembetrieb Verantwortlichen
    • Installation und Konfiguration der in jeder Phase des Lebenszyklus erforderlichen Sicherheitsmechanismen

  • Festlegung von Konfigurations-, Patch- und Änderungsmanagement in Abhängigkeit von den Sicherheitszielen
  • Festlegung der Freigabekriterien für den operativen Betrieb
  • Tests und Freigabe der Sicherheitsmechanismen

Modul 8: Operativer Bereich

Dieses Schulungsmodul beschreibt die Prozeduren und Maßnahmen, die operationelle Systeme und Anwendungen schützen sollen.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Infrastruktur-Maßnahmen

    • Zugangskontrollen, Werkschutz, Alarmanlagen
    • Haustechnik, Energie- und Wasserversorgung
    • Brandschutzeinrichtungen
    • Klimaanlagen

  • Organisatorische Maßnahmen

    • Dokumentation von Systemen und Konfgurationen, Applikationen, Soft- und Hardware-Bestand
    • Regelmäßige Kontrolle von Protokolldateien
    • Regelungen für die Datensicherung
    • Regelungen für den Datenträgeraustausch
    • Lizenzverwaltung und Versionskontrolle von Standardsoftware

  • Maßnahmen im Bereich Personal

    • Auswahl, Einarbeitung und Schulung von Mitarbeitern
    • Geregelte Verfahrensweise beim Weggang von Mitarbeitern
    • Funktionen und Verantwortlichkeiten
    • Funktionstrennung und funktionsbezogene Rechtevergabe
    • Vertretungsregelungen
    • Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und Regelungen

  • Maßnahmen im Bereich Hardware und Software

    • Grundlagen Betriebssystem-Sicherheit
    • Sichere Konfiguration von Hardware und Software
    • Schutz vor Schadprogrammen
    • Nutzung der in der Hardware bzw. den Anwendungsprogrammen vorhandenen Sicherheitsfunktionen
    • Implementierung zusätzlicher Sicherheitsfunktionen
    • Rechteverwaltung
    • Protokollierung

  • Maßnahmen im Bereich Kommunikation

      • Sichere Konfiguration von TK-Anlagen und Netzdiensten
      • E-Mail- und Internet-Sicherheit
      • Absicherung externer Remote-Zugriffe
      • Virtual Private Networks (VPN)
      • Sichere Nutzung mobiler IT-Systeme und drahtloser Kommunikation
      • Information über Sicherheitslücken (z. B. über CERTs) und Umgang mit Sicherheitsvorfällen

Modul 9: Technische Realisierung von Sicherheitsmaßnahmen

Dieses Schulungsmodul vermittelt Kenntnisse über die Möglichkeiten der technischen Realisierung der in den Modulen 6 bis 8 abstrakt beschriebenen Steuerungs- und Kontrollinstrumente.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Basiswissen Kryptographie

    • Problemabgrenzung Vertraulichkeit, Integrität, und Authentizität
    • Grundbegriffe wie Klartext, Chiffrat und Schlüssel
    • Symmetrische, asymmetrische und hybride Verschlüsselung
    • Public Key Infrastrukturen
    • Digitale Signaturen
    • Aufzählung "guter" und "schlechter" bekannter Algorithmen

  • Identifizierung und Authentisierung, z. B.

    • Begriffsdefinition (Wissen, Besitz, Eigenschaft)
    • Authentisierung durch Wissen: Passwörter, Einmal-Passwörter, Challenge-Response-Verfahren, digitale Signaturen
    • Authentisierung durch Besitz: Token, Chipkarten, etc.
    • Biometrische Verfahren: Fingerabdruckerkennung, Handvenenerkennung, Iriserkennung, Gesichtserkennung, etc.
    • Zwei- bzw. Multi-Faktor-Authentisierung
    • Single Sign-On
    • Berechtigungsmanagement

  • Protokollierung und Monitoring, z. B.

    • Technische Möglichkeiten des "Transaction Logging"
    • Intrusion Detection, Response und Prevention Systeme (IDS, IRS, IPS), Unterschiede zwischen aktiven und passiven Systemen
    • Zwangsprotokollierung aller Administratoraktivitäten
    • Datenschutzaspekte

  • Überblick über Administrationswerkzeuge

    • Werkzeuge, mit denen Sicherheitsvorgaben realisiert und kontrolliert werden können
    • Zusatzprodukte zur Ergänzung bzw. Verbesserung der Sicherheitsfunktionen von Betriebssystemen ("gehärtete Betriebssysteme")
    • Netzmanagement-Software
    • Remote-Management-Software

  • Firewalls (Sicherheitsgateways)

    • Internet-Technik (OSI-Modell, TCP/IP)
    • Realisierungsformen (statische Paketfilter, Stateful Inspection, Application Level Gateways)
    • Content Security
    • Hochverfügbare Firewalls

  • Schutz der Vertraulichkeit: Kryptografische Verfahren und Produkte, Zugriffsschutz z. B. durch Festplattenverschlüsselung, Kryptografie auf den verschiedenen Schichten des OSI-Modells

    • Protokolle für Schicht 1 und 2 (ISDN-Verschlüsselung, ECP und CHAP, WLAN, Bluetooth )
    • Protokolle für Schicht 3 (IPsec, IKE, SINA)
    • Protokolle für Schicht 4 und höher (SSL/TLS, S/MIME)

  • Schutz der Verfügbarkeit

    • Organisatorische Maßnahmen zur Erhöhung der Verfügbarkeit (SLAs, Change Management, Vermeidung von SPOF)
    • Datensicherung, Datenwiederherstellung
    • Speichertechnologien
    • Netzkonfigurationen zur Erhöhung der Verfügbarkeit
    • Infrastrukturelle Maßnahmen zur Erhöhung der Verfügbarkeit
    • Verfügbarkeit auf der Client, Server und Anwendungsebene (Server-Standby, Failover)
    • Methoden zur Replikation von Daten
    • Wiederanlauf- und Geschäftsfortführungsmaßnahmen

  • Technische Möglichkeiten zum Schutz von TK-Anlagen

    • Schutz vor Abhören
    • Schutz der Datenleitungen z. B. durch alarmüberwachte und plombierte Leitungsschächte, gesicherte Verteiler (Knoten), Verschlüsselung der Nachrichten, etc.
    • Sicherung von Wartungs-, Fernwartungs-, und Administratorenzugängen
    • Protokollierung jedes Systemzugangs, Löschungsschutz der Protokolldateien

  • Erkennen von Schwachstellen des eigenen Systems mittels Penetrationstests
  • Hacker-Methoden, Web-Seiten-Hacking, Schutz vor: Sniffer, Scanner, Password Cracker, etc.

Modul 10: Notfallmanagement

Dieses Schulungsmodul soll die Grundlagen zur Etablierung und Aufrechterhaltung eines Notfallmanagements in der Institution vermitteln. Thematisch stellt es einen Aufbaukurs zum Modul 5 "Risikomanagement" dar. Die Schulungsinhalte können gemäß der Struktur des BSI-Standards 100-4 aufgebaut werden.

Folgende Inhalte sollten vorgesehen und entsprechend den Inhalten des BSI-Standards 100-4 weiter detailliert werden:

  • Einführung: Ziel, Aufgaben, Begriffe, Abgrenzung von Business Continuity und IT Service Continuity, Standards
  • Der Prozess im Überblick
  • Initiierung des Prozesses
  • Konzeption
  • Umsetzung des Notfallvorsorgekonzepts
  • Notfallbewältigung und Krisenmanagement
  • Tests und Übungen

Modul 11: Neue Entwicklungen im IT-Bereich

Dieses Schulungsmodul soll IT-Systembetreiber über Innovationen auf ihrem Gebiet informieren. Um stets auf dem aktuellen Stand zu sein, sollte dieses Seminar in regelmäßigen Abständen von etwa zwei Jahren wieder besucht werden. Alternativ können der angesprochenen Zielgruppe auch die Ressourcen bereitgestellt werden, um sich aus verfügbaren Informationsquellen entsprechend selbstständig zu informieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Hardware-Architekturen, Schnittstellen, Bussysteme, Peripherie
  • Speicher-/Archivierungstechnologien und -systeme
  • Hochverfügbarkeitslösungen
  • Client- / Server-Betriebssysteme
  • Software-Architekturen
  • Terminal Server, N-Tier, Host versus Client/Server
  • Datenbanken
  • Cloud Computing
  • Mobile Computing
  • Data Warehouse, SharePoint, etc.
  • Netztechnologie
  • Informationssicherheit, insbesondere neue Bedrohungen und Schwachstellen zu allen angesprochenen Themen

Modul 12: Betriebswirtschaftliche Seite der Informationssicherheit

Dieses Schulungsmodul ist speziell für das Management und Entscheidungsträger gedacht, um Informationssicherheit übergreifend in die Planung der Institution zu integrieren.

Folgende Inhalte gehören unter anderem zu diesem Themengebiet:

  • Betriebswirtschaftliche Vorteile der Informationssicherheit

    • Risikominimierung
    • Beschleunigung der Bearbeitung
    • Reduzierung des Aufwands
    • Umsatzerhöhung
    • Erschließen neuer Geschäftsfelder
    • sonstiger Nutzen

  • Kalkulation der Investitionen für Informationssicherheit

    • Erstellung einer Kostenübersicht
    • Abgrenzung gegenüber Betriebs- und Fortschreibungskosten
    • Verdeckte Kosten

  • Investitionsrechnung in der Informationssicherheit

    • Investitionsrechnung
    • Argumentation gegenüber dem Management

  • Verzahnung von Sicherheitsmaßnahmen im Unternehmen

    • Berücksichtigung der Geschäftsprozesse und der Geschäftsvorfälle bei den Sicherheitsmaßnahmen
    • Einfluss- und Verantwortungsbereiche, typische Stolpersteine
    • Informationssicherheit bei der IT-Beschaffung und in IT-Projekten

  • Erfolgsfaktoren der Informationssicherheit

    • Wie gelingt ein Projekt zur Informationssicherheit?
    • Klärung der Erwartungshaltung
    • Konzeption von Sicherheitslösungen
    • Erstellen eines Konzepts
    • Gliedern in Teilprojekte
    • Umsetzen der Teilprojekte
    • Modul- und Funktionstests
    • Akzeptanz- und Integrationstests
    • Inbetriebnahme

  • Häufige Fehler bei der Umsetzung von Informationssicherheit

      • Fehler bei der Projektleitung
      • andere typische Fehler

Modul 13: Infrastruktursicherheit

Dieses Modul befasst sich mit dem Schutz der Informationstechnik mit Hilfe von baulichen und technischen Maßnahmen. Diese Maßnahme schließt die prozessuale Aktualisierung der Inhalte bei Veränderungen in Infrastrukturen und Rahmenbedingungen ein.

Wichtige Punkte dabei sind unter anderem:

  • Objektschutz

    • Absicherung des Standortes: Umgebung, Umfriedung, Freilandschutz, Nachbarschaftsgefahren und Zonenbildung
    • Bautechnik: Einbruchschutz, Brandschutz, Klimaschutz, Schutz gegen Wasser, etc.
    • Technische Überwachung
    • Geräteschutz

  • Zutrittskontrolle

    • Pförtnerdienst
    • Verschluss von Räumen
    • Technische Zutrittskontrolle

  • Stromversorgung

    • Überspannungsschutz
    • Unterbrechungsfreie Stromversorgung
    • Trassen/Verkabelung

Weitere Module

Je nach Art und Ausprägung der Institution kann es sinnvoll sein, zielgruppenspezifische weitere Module vorzusehen. Wenn die Institution industrielle Steuerungssysteme einsetzt, ist es beispielsweise sinnvoll, hierzu ein Modul anzubieten.

ORP.3.M7 Schulung zur Vorgehensweise nach IT-Grundschutz

Sicherheitsverantwortliche müssen die IT-Grundschutz-Methodik sehr gut kennen, um sie erfolgreich anwenden zu können. Das Vorgehen in der Institution muss sich an der jeweils aktuellen Ausprägung des Standards und der Ausrichtung des ISMS in der Institution orientieren. Es gibt verschiedene Möglichkeiten, um sich in die Vorgehensweise nach IT-Grundschutz einzuarbeiten:

  • Selbststudium
  • Web-Kurs des BSI zum Einstieg in die IT-Grundschutz-Vorgehensweise
  • Durcharbeiten der BSI-Beispielunterlagen des fiktiven Unternehmens RECPLAST
  • Externe Schulungsanbieter von IT-Grundschutz-Schulungen
    Hinweis: Auf den BSI-Webseiten findet sich eine Liste von Schulungsanbietern zum Thema IT-Grundschutz. Das BSI hat dabei Schulungsqualität und Schulungsinhalte nicht bewertet.
  • Erarbeitung eigener IT-Grundschutz-Schulungen

Wenn eine neue IT-Grundschutz-Schulung geplant wird oder eine extern angebotene Schulung zu beurteilen ist, sollten die folgenden Inhalte einbezogen werden:

  • Sensibilisierung für Informationssicherheit
  • Was ist ein Informationssicherheitsmanagementsystem (ISMS)? Wie wird ein funktionierender Sicherheitsprozess etabliert?
  • Überblick über das IT-Grundschutzkonzept (Philosophie, Anwendungsgebiet, Struktur)
  • Erstellung einer Leitlinie zur Informationssicherheit

    • Definition von Informationssicherheitszielen
    • Definition des Informationsverbundes

  • Informationssicherheitsmanagement

    • Organisationsstrukturen (Darstellung geeigneter Organisationsstrukturen für das Informationssicherheitsmanagement)
    • Rollen (Informationssicherheitsbeauftragter, Sicherheitsmanagement-Team, etc.)
    • Verantwortlichkeiten

  • Sicherheitskonzept: typischer Aufbau und Inhalte
  • Auswahl einer geeigneten IT-Grundschutz-Vorgehensweise:

    • Basis-Absicherung
    • Kern-Absicherung
    • Standard-Absicherung

  • Strukturanalyse

    • Gruppenbildung
    • Erfassung der Anwendungen und der zugehörigen Informationen
    • Erstellung eines Netzplans
    • Erhebung der IT-, ICS- und IoT-Systeme
    • Erfassung der Räume

  • Schutzbedarfsfeststellung

    • Vorgehensweise
    • Definition der Schutzbedarfskategorien inklusive individueller Anpassung der Bewertungstabellen
    • Schadensszenarien
    • Schutzbedarfsfeststellung für Geschäftsprozesse, Anwendungen, IT-, ICS- und IoT-Systeme, Kommunikationsverbindungen und Räume

  • Modellierung nach IT-Grundschutz

    • Überblick über die IT-Grundschutz-Bausteine
    • Schichtenmodell

      • Bausteine der Prozess-Schichten
      • Bausteine der System-Schichten

  • IT-Grundschutz-Check

    • Darstellung der Vorgehensweise
    • Umsetzungsstatus

  • Risikoanalyse basierend auf IT-Grundschutz
  • Erfüllung der Sicherheitsanforderungen

    • Sichtung aller noch nicht erfüllten Anforderungen
    • Konsolidierung der Anforderungen
    • Kosten und Aufwandsabschätzungen (Budgetierung)
    • Realisierung von Maßnahmen zur Erfüllung der Anforderungen (Umsetzungsreihenfolge, Verantwortliche, Realisierungsplan)

  • IT-Grundschutz-Profile als Schablone
  • Hilfsmittel zur Arbeit mit dem IT-Grundschutz-Kompendium
    Das BSI stellt verschiedene Hilfsmittel zur Verfügung, die die praktische Arbeit mit dem IT-Grundschutz-Kompendium erleichtern. Die Folgenden sollten den Anwendern vorgestellt werden:

    • Leitfaden als Motivation für Informationssicherheit
    • Webkurs als Einstieg in die IT-Grundschutz-Vorgehensweisen
    • Tabellen und Formblätter als Hilfsmittel bei der Umsetzung
    • Musterrichtlinien und Profile als Beispielanwendungen
    • Tool-Unterstützung bei der Erstellung, Verwaltung und Fortschreibung von Sicherheitskonzepten auf der Basis von IT-Grundschutz. Diverse Hersteller bieten hierfür geeignete IT-Grundschutz-Tools an.

  • Kurzvorstellung der ISO 27001

    • Die Standardfamilie ISO 2700x
    • Aufbau des Standards ISO 27001
    • Zuordnung der Normkapitel von ISO 27001 zu den BSI-Standards sowie der Themen im Anhang A zu den Bausteinen der Schicht 1

  • Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz: Überblick Zertifizierungsschema

In einer umfassenden IT-Grundschutz-Schulung sollten die Teilnehmer die dargestellte Vorgehensweise anhand von Beispielen üben.

ORP.3.M8 Messung und Auswertung des Lernerfolgs [Personalabteilung]

Die Lernerfolge im Bereich Informationssicherheit sollten zielgruppenbezogen gemessen und ausgewertet werden, um festzustellen, inwieweit die in den Sensibilisierungs- und Schulungsprogrammen beschriebenen Ziele erreicht sind (vergleiche ORP.3.M4 Konzeption eines Schulungs- und Sensibilisierungsprogrammes zur Informationssicherheit). Dadurch ist es möglich, ein detailliertes Gesamtbild zu erhalten und punktuelle Korrekturmaßnahmen zu ergreifen, falls einzelne Ziele nicht erreicht wurden.

Die Personalabteilung verfügt oft über gute Erfahrungen in der Auswertung von Schulungsmaßnahmen. Daher ist es empfehlenswert, sich an dieser Vorgehensweise zu orientieren und sich dazu mit der Personalabteilung abzustimmen.

Um den Lernerfolg zu testen, sollten sowohl quantitative als auch qualitative Aspekte der Sensibilisierungs- und Schulungsprogramme berücksichtigt werden. Die Ergebnisse sollten bei der Verbesserung des Sensibilisierungs- und Schulungsangebots geeignet einfließen.

Die folgenden Möglichkeiten können dafür genutzt werden:

Dokumentation durchgeführter Sensibilisierungs- oder Schulungsmaßnahmen

Die Dokumentation aller Maßnahmen inklusive einer Kurzbeschreibung der Inhalte und der Durchführungszyklen geben einen ersten Überblick über den Umfang und die betroffenen Zielgruppen der durchgeführten Aktivitäten.

Dokumentation der Teilnehmerzahlen an Sensibilisierungs- oder Schulungsmaßnahmen

Die Dokumentation der Teilnehmerzahlen von Schulungen oder die Anzahl der von Sensibilisierungsmaßnahmen erreichten Mitarbeiter pro Abteilung, Bereich, Standort, etc. liefern einen Hinweis auf die erzielte Durchdringung der Maßnahmen in der Institution.

Anzahl der Anfragen an Ansprechpartner in Sicherheitsfragen (siehe ORP.3.M2 Ansprechpartner zu Sicherheitsfragen)

Wenn nach Schulungs- oder Sensibilisierungsmaßnahmen die Anzahl der Kontakte zu den Ansprechpartnern in Sicherheitsfragen steigt, kann das als Indiz für eine stärkere Sensibilität der Mitarbeiter gewertet werden, aber auch als Folge des gestiegenen Bekanntheitsgrades der Einrichtung.

Schulungsbewertungen

Einen ersten qualitativen Überblick über die Schulungserfolge geben standardisierte Schulungsbewertungsbögen, wie sie üblicherweise am Ende einer Veranstaltung durch die Teilnehmer ausgefüllt werden. Neben Fragen zum Ablauf, der Veranstaltungsorganisation oder der Vorgehensweise des Referenten können hier Fragen zur Nutzenbewertung durch die Teilnehmer eingearbeitet werden.

Test zum Schulungsabschluss

Während oder nach einer Schulungsveranstaltung durchgeführte Wissenstests sind erprobte Methoden zur Lernerfolgskontrolle. Angepasst auf die jeweiligen Veranstaltungsinhalte können dabei Fragen nach erlerntem Wissen, aber auch Fragen zur Einschätzung beschriebener Situationen die Grundlage bilden.

Wissenstest in zeitlichem Abstand

Um den Verlauf von Lernkurven nach Schulungsveranstaltungen zu ermitteln, können nach dem Ende einer Schulung zu festgelegten Zeitpunkten weitere Tests durchgeführt werden. Da hier ein direkter Bezug zur Veranstaltung fehlt, kann es schwierig sein, die Teilnehmer dazu zu motivieren, Wissensfragen zu beantworten. Um dem entgegenzuwirken, kann dieser Test auch in Quiz-Form durchgeführt werden, z. B. mit Preisen für die Teilnehmer. Weit verbreitet ist auch das Vorgehen, jährlich ein Mindestmaß an grundlegendem Wissen nachzuweisen. Dazu empfehlen sich WBT-Module (Web Based Traning), also Intranet-basierte Schulungsmodule, die von den Mitarbeitern zu einer selbstbestimmten Zeit bearbeitet werden können.

Mitarbeiterbefragungen

Durch Mitarbeiterinterviews mit standardisierten Fragebögen können Informationen darüber gesammelt werden, ob auch nicht-schulische Sensibilisierungsmaßnahmen wirksam sind.

Anzahl von Regelverstößen

Eine weitere Variante zu bewerten, ob eine Maßnahme erfolgreich war, ist es, die Anzahl von Regelverstößen vor und nach den Sensibilisierungsmaßnahmen zu zählen. Dazu können Verantwortliche auch bewusst und kontrolliert Sicherheitslücken platzieren und dann beobachten, wie Mitarbeiter damit umgehen. Hierzu eignen sich beispielsweise:

  • Fremdpersonen ohne Mitarbeiterausweis, die unbegleitet in der Institution herumlaufen
  • USB-Sticks, die an verschiedenen Stellen in der Institution ausliegen
  • E-Mails, die mit Anhang oder Links auf unbekannte Webseiten, aber mit vertraut klingenden Absenderadressen an die Mitarbeiter versendet werden
  • Türschließfunktionen, die blockiert werden

Wichtig ist hierbei, die Ergebnisse nie als Fehlverhalten einzelner Mitarbeiter zu deuten, sondern als Ergebnisse von Gruppen. Ein solches Vorgehen ist zudem sorgfältig in der Institution abzustimmen (etwa unter Einbeziehung von Führungsebene und Personalvertretung).

Social-Penetration-Tests / Social-Engineering-Audits

Um einen Lernerfolg im Rahmen der Social-Engineering-Vorbeugung zu prüfen, können Social-Penetration-Tests bzw. Social-Engineering-Audits durchgeführt werden. Hierbei wird in der Rolle eines externen Angreifers versucht, Fehlverhalten von Mitarbeitern auszunutzen und Informationen zu erlangen, mit deren Hilfe der Tester zu den vorgesehenen Angriffszielen kommt.

Diese Art von Audits sind jedoch immer umstritten, da Mitarbeiter, die ohne ihr Wissen als Angriffsziel ausgewählt wurden, die Auswertung nach einem erfolgreichen Angriff als Vertrauensbruch oder Bloßstellung ansehen könnten. Auf der anderen Seite liefern solche Audits gute Einblicke, inwieweit Informationssicherheit wirklich gelebt wird. Daher ist der Einsatz dieser Methode im Einzelfall zu prüfen und gemeinsam mit der Personalvertretung und dem Management abzuwägen.

Praktische Übungen

Als Alternative zu den beschriebenen Social-Penetration-Tests können auch praktische Übungen eingesetzt werden. Hier sind unterschiedliche Varianten möglich, die einen Überblick über das Sensibilisierungs- und Schulungsniveau geben. Im Nachgang zu Schulungen können Übungssequenzen aufgebaut werden, in denen Situationen spielerisch dargestellt sind, zum Beispiel ein Social-Engineering-Angriff. Die Aufgabe für freiwillige Teilnehmer aus der Gruppe würde darin bestehen, auf diesen Angriff zu reagieren. Eine anonyme Bewertung der Übung durch den Seminarleiter gibt Aufschluss über den Lernerfolg vorangegangener Maßnahmen.

Tools und Spiele

Lernspiele oder -tools jeglicher Art bieten in den meisten Fällen ebenfalls die Möglichkeit, Spielergebnisse oder Ergebnisentwicklungen auszuwerten.

2.3 Maßnahmen für erhöhten Schutzbedarf

Im Folgenden sind Maßnahmenvorschläge aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und bei erhöhtem Schutzbedarf in Betracht gezogen werden sollten. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Maßnahme vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

ORP.3.M9 Spezielle Schulung von exponierten Personen und Institutionen(CIA)

Gibt es in der Institution besonders exponierte Personen wie Funktions- oder Geheimnisträger, oder ist die Institution bzw. einzelne Bereiche selbst ein attraktives Ziel (z. B. für mögliche IT-Angriffe oder Industriespionage), so sollten diesbezüglich vertiefende Schulungen in Hinblick auf mögliche Gefährdungen und geeignete Verhaltensweisen sowie Vorsichtsmaßnahmen durchgeführt werden.

Hierzu gehören beispielsweise präzise Vorgaben zum Umgang mit sensiblen Informationen oder Verhaltenstrainings für konkrete Situationen.

Wenn in der Institution hochschutzbedürftige oder geheimschutzrelevante Informationen verarbeitet werden, sollte überlegt werden, auch hierzu spezielle Schulungen anzubieten. Beispielsweise könnte das Schulungsprogramm (siehe ORP.3.M6 Planung und Durchführung von Schulungen zur Informationssicherheit) um ein weiteres Modul zum Geheimschutz erweitert werden.

Modul: Geheimschutz

Mitarbeiter, die mit Aufgaben im Umfeld des materiellen und IT-Geheimschutz befasst sind, sollten grundlegende Kenntnisse und Fähigkeiten für die Ausübung von Tätigkeiten im Bereich des materiellen und IT-Geheimschutzes haben. Das Modul zum Umgang mit geheimschutzrelevanten Informationen am Arbeitsplatz sollte unter anderem die folgenden Themenschwerpunkte umfassen:

  • Grundlagen des personellen und materiellen Geheimschutzes
  • Struktur und Inhalt der Verschlusssachenanweisung (VSA)
  • aktuelle und vertiefende Darstellung der
  • organisatorischen Maßnahmen (z. B. Geheimschutzdokumentation)
  • materiell-technischen Maßnahmen (z. B. technische Leitlinien, Lauschabwehr)
  • IT-spezifische Maßnahmen (z. B. IT-Sicherheitsprodukte und Betriebsumgebungen, Zulassung/Zertifizierung/Freigabe, Abstrahlsicherheit)
  • Anwendungsbeispiel zur Verarbeitung von geheimschutzrelevanten Informationen im Informationsverbund

3 Weiterführende Informationen

3.1 Wissenswertes

Je nach Branche, eingesetzter Technik oder anderen Rahmenbedingungen können sich für einen Informationsverbund weitere (benutzerdefinierte) Anforderungen ergeben. Zu diesen können beispielsweise die folgenden Maßnahmen gehören.

Zu den wichtigsten Grundpfeilern der Informationssicherheit in einer Institution gehören deren Mitarbeiter. Selbst die aufwendigsten technischen Sicherheitsvorkehrungen sind ohne das richtige Verhalten der Mitarbeiter wertlos. Ein Bewusstsein dafür, was Informationssicherheit für die Institution und deren Geschäftsprozesse bedeutet und der richtige Umgang der Mitarbeiter mit den zu schützenden Werten und Informationen der Institution sind dafür wesentlich.

Die für die Institution ausgewählten Sicherheitsmaßnahmen sollten sich daher immer an den Mitarbeitern orientieren. Dabei sollte deren Wissen und Umgang mit Informationen und IT einbezogen werden. Zur Beurteilung, wie sich Mitarbeiter aus Sicherheitssicht verhalten, können die Faktoren analysiert werden, die zu diesem Verhalten beitragen. Darauf aufbauend kann untersucht werden, wo die personelle und organisatorische Sicherheit noch verbessert werden kann, beispielsweise durch Sensibilisierung und Schulung zur Informationssicherheit.

Folgende Aspekte sollten berücksichtigt werden:

Sicherheitskultur

Der Begriff Sicherheitskultur umfasst die sicherheitsbezogenen Einstellungen, Werte und grundlegenden Überzeugungen einer Institution und aller ihrer Mitarbeiter. Zur Sicherheitskultur gehört auch, wie offen der Umgang mit Fragen zur Informationssicherheit in der Institution gelebt wird. So ist für die effektive und effiziente Behandlung von Sicherheitsvorfällen eine vertrauensvolle und offene Kommunikationskultur wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und lösungsorientiert angegangen werden.

  • Wie ist der Umgang in der Behörde oder dem Unternehmen mit geschäftsrelevanten Informationen und mit Risiken generell? Ist die Institution eher risiko-orientiert oder eher risiko-vermeidend? Werden Informationen eher freizügig oder nur restriktiv weitergegeben?
  • Wie sind die Anforderungen an Genauigkeit und Präzision? Sind kleinere Fehler beispielsweise in Texten tragbar, weil diese ohnehin noch mehrere Abstimmprozesse durchlaufen müssen? Kann ein Eingabefehler bereits zu folgenschweren Schäden führen?
  • Wie sind die Ansprüche an Verfügbarkeit? Gibt es eine Vielzahl enger Termine? Können Bearbeitungszeiten für Anfragen und Geschäftsprozesse flexibel festgelegt werden? Sind kleinere Terminüberschreitungen oder -änderungen im Allgemeinen tragbar oder führen sie zu harten Konsequenzen?

Stark beeinflusst wird die Sicherheitskultur einer Institution davon, in welcher Branche diese tätig ist. In Hochsicherheitsbereichen wird naturgemäß weniger offen mit Informationen umgegangen als in Forschungseinrichtungen.

Wissen und Können

  • Wie gut kennen sich die Mitarbeiter mit IT aus? Ist IT- und Internet-Nutzung eher eine Notwendigkeit, um Geschäftsprozesse effektiver gestalten zu können, oder sind Leben und Arbeiten ohne IT und Internet nicht mehr vorstellbar?
  • Welche Erfahrungen und Kenntnisse haben die Mitarbeiter bzgl. Informationssicherheit und Datenschutz? Wie ausgebildet sind deren Fähigkeiten auf dem Gebiet der IT-basierten Sicherheitsmaßnahmen wie z.B. Verschlüsselung? Wie ist das Wissen in den verschiedenen Bereichen der Institution verteilt?
  • Wie ist der gelebte Umgang der Mitarbeiter mit Fragen der Informationssicherheit und des Datenschutzes? Wie sehen die Mitarbeiter den Bedarf, Informationen vor Veränderungen oder unbefugter Weitergabe zu schützen?
  • Können Mitarbeiter aktiv ihre Ideen und Vorstellungen zur Informationssicherheit in den Sicherheitsprozess einbringen?

Sicherheitsrichtlinien

  • Passen die Sicherheitsrichtlinien der Institution zu den Geschäftsprozessen und der internen Sicherheitskultur? Sind sie einfach umzusetzen? Sind sie praxisnah und den aktuellen Umgebungsbedingungen angepasst? Behindern sie Arbeitsläufe? Unterstützen sie erwünschte Verhaltensweisen? Sind Sie allen bekannt?

Anwendungen und IT

  • Ermöglichen die vorhandenen IT-, ICS- und IoT-Komponenten einen Umgang mit den geschäftsrelevanten Informationen, der sowohl deren Schutzbedarf als auch den festgelegten Sicherheitsvorgaben entspricht?

Leitungsebene

  • Wie steht die Leitungsebene zur Informationssicherheit? Nehmen Vorgesetzte ihre Vorbildfunktion wahr? Gibt es Wünsche der Leitungsebene zur Verbesserung der Sicherheitsprozesse?

Kulturelle Hintergründe

  • Auch die kulturellen Hintergründe können den Umgang mit zu schützenden Informationen und mit Sicherheitsvorgaben generell beeinflussen. Daher sollte untersucht werden, ob es regionale und nationale Unterschiede im Umgang mit Informationssicherheit gibt. Vor allem sollte auch ergründet werden, welche unterschiedlichen Herangehensweisen an Informationssicherheit es in den verschiedenen Bereichen der Institution gibt. Auch einzelne Abteilungen oder Außenstellen können bereits eigene Regeln und Verhaltensweisen im Umgang mit geschäftsrelevanten Informationen entwickeln.

Veränderungen

  • Alle Arten von weitreichenden Veränderungen für die Beschäftigten können deren Umgang mit Informationen, Geschäftsprozessen, IT und sonstigen Geräten ändern. Dazu gehören beispielsweise Umstrukturierungen, Entlassungen, Wechsel von Aufgaben oder Vorgesetzten.

Sollte sich bei der Analyse herausstellen, dass sich Mitarbeiter anders verhalten als es aus Sicherheitssicht sinnvoll ist, gibt es verschiedene Wege, um hiermit umzugehen. Es sollte versucht werden, das Verhalten der Beschäftigten zu ändern. Andererseits kann es in vielen Fällen einfacher sein, die Sicherheitsvorgaben oder Arbeitsabläufe umzugestalten und sicherer zu machen.

Die Verantwortlichen für Sensibilisierungs- und Schulungsprogramme sollten klären, ob und in welchem Umfang sie eigene Mitarbeiter oder externe Anbieter als Trainer einsetzen wollen. Außerdem muss die Form der Ausbildung festgelegt werden. Sofern ein Programm mehrere Sensibilisierungs- und Schulungsmaßnahmen umfasst, sollte ein Schulungskoordinator ernannt werden. Darüber hinaus sollten verschiedene Angebote von Schulungsanbieter daraufhin verglichen worden, welche inhaltlich, qualitativ und preislich am besten geeignet sind. Die durchgeführten Sensibilisierungs- oder Schulungsmaßnahmen sollten von den Teilnehmern bewertet und diese Erfahrungen regelmäßig intern ausgewertet werden.

Wenn eigene Mitarbeiter als Trainer eingesetzt werden sollen, müssen diese das benötigte Fachwissen haben und dazu fähig sein, dieses Wissen auch zielgruppengerecht zu vermitteln. Neben den erforderlichen Informationssicherheitskenntnissen müssen die Trainer über ausgeprägte didaktische, methodische und kommunikative Fähigkeiten verfügen. Speziell für Sensibilisierungsmaßnahmen sind außerdem ausreichende Kenntnisse über die Institution, deren Sicherheitskultur sowie die Geschäftsprozesse erforderlich. Wichtig ist, dass Trainer die Sprache ihres jeweiligen Zielpublikums beherrschen, also die zu schulenden Informationssicherheitsaspekte in die jeweiligen Arbeits- und Projektzusammenhänge stellen können. Interne Trainer müssen die erforderliche Zeit bekommen, um Sensibilisierungs- und Schulungsmaßnahmen nicht nur durchführen, sondern auch vorbereiten und auswerten zu können.

Aus Kosten- oder Qualifikationsgründen kann es zumindest zu Beginn vorteilhafter sein, die Schulung durch externe Fachkräfte durchführen zu lassen. Schon in der Planungsphase muss geklärt werden, welche finanziellen Ressourcen dafür verfügbar sind. Die externen Trainer sollten sorgfältig anhand von inhaltlichen, qualitativen und preislichen Kriterien ausgewählt und auf ihre Aufgabe vorbereitet werden. Insbesondere müssen ihnen die erforderlichen institutionsinternen Hintergründe vermittelt werden. Interne Referentinnen und Referenten können diese Kurse begleitend nutzen, um sich auf ihren eigenen Einsatz vorzubereiten.

Auch bei externer Durchführung von Sensibilisierungs- oder Schulungsmaßnahmen sind interne Ressourcen erforderlich. Es sollte ein verantwortlicher Schulungskoordinator benannt werden, der

  • qualifizierte Schulungsanbieter auswählt,
  • Lerninhalte und -methoden vorgibt sowie den Trainern erforderliche Informationen zur Verfügung stellt,
  • die interne Schulungsplanung, -vorbereitung und -durchführung koordiniert,
  • die Kommunikationsschnittstelle zwischen Trainern und eigenen Mitarbeitern bildet,
  • die Teilnehmerbewertungen analysiert und geeignete Verbesserungsmaßnahmen festlegt, gegebenenfalls zusammen mit den Trainern.

Die Schulungskoordination kann der Informationssicherheitsbeauftragter, auch ein Mitarbeiter aus der Personalabteilung oder eine Person aus dem ISMS Team rund um den ISB übernehmen. Der Informationssicherheitsbeauftragte und die Personalabteilung müssen hierbei auf jeden Fall eng zusammenarbeiten.

Erfahrungsgemäß gibt es eine Reihe von externen Anbietern, die geeignete Sensibilisierungs- oder Schulungsmaßnahmen in einer Form anbieten, die den Bedürfnissen der Institution entsprechen oder die mit vertretbarem Aufwand angepasst werden können.

Bei Sensibilisierungs- oder Schulungsmaßnahmen, die in mehreren Zyklen eine größere Zahl von Mitarbeitern erreichen sollen, bietet es sich an, über ein "Train the Trainer"-Konzept nachzudenken. Hierbei werden die initialen Maßnahmen entweder von geeigneten internen Mitarbeitern oder externen Trainern mit dem Ziel durchgeführt, dass die Teilnehmer dieser Maßnahmen später selbst eine Trainerrolle übernehmen. Dies kann für diese Mitarbeiter einen sehr positiven Effekt auf ihre eigene Sensibilisierung und Motivation für Informationssicherheit haben. Darüber hinaus können sie ihre eigenen Erfahrungen in die Trainingsmaßnahmen einbringen. Gerade bei Trainingsthemen, die Aspekte der Kultur und bestimmter Verhaltensweisen innerhalb der Institution beinhalten, kann ein interner Trainer aufgrund seiner tieferen Kenntnis interner Prozesse und Bekanntheit bei den Teilnehmern die Akzeptanz und den Lernerfolg des Trainings erhöhen. Sofern das "Train the Trainer"-Konzept eingesetzt werden soll, müssen die initialen Maßnahmen neben den vorgesehenen Fachinhalten auch Anleitungen zur methodisch-didaktischen Lehrstoffvermittlung beinhalten.

Die durchgeführten Sensibilisierungs- oder Schulungsmaßnahmen sollten von den Teilnehmern abschließend bewertet werden. Diese Erfahrungen sollten regelmäßig intern ausgewertet werden.

Viele Sicherheitsschulungen empfinden Teilnehmer als trocken, was negative Auswirkungen auf den gewünschten Lerneffekt mit sich bringt. Eine gute Möglichkeit, den Lehrstoff aufzulockern, sind Plan- oder Rollenspiele. An solche Spiele erinnern sich die Teilnehmer meist länger und prägnanter als an klassische Folienpräsentationen. Auch tragen sie dazu bei, die Bedrohungen stärker zu verdeutlichen und typische Schwachstellen, aber auch Lösungsmöglichkeiten in der eigenen Arbeitsumgebung aufzuzeigen. Sie ermöglichen es den Teilnehmern, Situationen zu üben, um dann im Ernstfall routinierter zu agieren. Es sollte geprüft werden, ob die restlichen Sensibilisierungs- und Schulungsinhalte durch den Einsatz von Planspielen unterstützt werden können.

Planspiele können aus praktischen Beispielen, z. B. anhand aktueller Vorfälle aus den Medien, selbst zusammengestellt oder bei Schulungsdienstleistern in Auftrag gegeben werden. Dabei sind die Inhalte der Planspiele möglichst an die eigene Institution anzupassen. Dadurch können sich die Mitarbeiter besser mit den aufgezeigten Lösungen identifizieren. Durch die Simulation z. B. von Sicherheitsvorfällen, die geschäftskritische Prozesse beeinträchtigen können, sind die Mitarbeiter im Ernstfall gut vorbereitet.

Genau wie bei Schulungen ist bei diesen Formaten die zielgruppengerechte Planung von Inhalten sehr wichtig. Die Teilnehmer sollen die Relevanz der Rollenspiele erkennen und in ihrem Arbeitsumfeld unmittelbar davon profitieren können.

Bei allen Bemühungen, die Mitarbeiter auf die Bedeutung von Informationssicherheit aufmerksam zu machen, soll eine positive und konstruktive Grundstimmung bewahrt werden. Ständige Angst vor Sicherheitsvorfällen kann einerseits zur Verdrängung von Sicherheitsproblemen und andererseits zu Panikreaktionen verleiten.

Die folgenden Beispiele zeigen, dass Planspiele von sehr einfach zu realisierenden Übungen, die im Rahmen einer Schulung durchgeführt werden können, bis hin zu komplexen Simulationsübungen reichen können. Die Aufgabe der verantwortlichen Planer ist es nun, entsprechend den Erfordernissen der unterschiedlichen Zielgruppen die geeigneten Szenarien zu entwickeln.

Tragen von Mitarbeiterausweise

Durch kurze Rollenspiele können Mitarbeiter sehr gut üben, wie sie sich verhalten sollen, wenn sie innerhalb der Institution organisationsfremde Personen antreffen. Es kann eingeübt werden, wie die Mitarbeiter optimal auf diese Situation reagieren können, beispielsweise indem sie anbieten, die Externen zum Gesprächspartner zu begleiten. Auch der Umgang mit Besuchern, die die Hausregeln kennen, aber verweigern, kann trainiert werden, beispielsweise wenn ein Besucher das Tragen eines Ausweises ablehnt, weil er persönlich mit dem Geschäftsführer bekannt sei.

Social

Im Rahmen von Simulationen können Mitarbeiter üben, wie sie sich bei Social-Engineering-Angriffen verhalten sollen. Dazu werden die ausgewählten Zielgruppen wie z. B. IT-Betreuer und verschiedene Administratorengruppen in einer gemeinsamen Simulation mit vermeintlich harmlosen Anfragen konfrontiert. Erst durch das fachübergreifende Betrachten dieser Anfragen wird deutlich, dass hier ein Angriff vorliegt. Ziel der Simulation ist es, diese Zusammenhänge durch entsprechende Übungen herauszufinden, um im Anschluss in definierter Art und Weise reagieren zu können. Diese Art von Simulation lässt sich in der Praxis sehr gut durch Workshops mit Moderationsmaterialien wie Pinnwand und Moderationskarten durchführen.

Simulationsübungen

Besonders wichtig sind Simulationen, in denen die Behandlung von Sicherheitsvorfällen bis hin zu Notfallsituationen geübt wird. Sie sollen Mitarbeiter in die Lage versetzen, zugeordnete Rollen und Verantwortlichkeiten innerhalb eines Szenarios auch unter erschwerten Bedingungen (Anspannung, Häufung von Anweisungen, unklare oder oft wechselnde Sachlage, Ressourcenmangel, Kommunikationsprobleme etc.) möglichst sicher wahrzunehmen. Das Ziel von Simulationen liegt primär im Training persönlicher Fähigkeiten anhand repräsentativer Szenarien, die dann in möglichst vielen Vorfallsituationen genutzt werden können. Daher sollte eine Simulation von einem erfahrenen Trainer geleitet werden, der nach ihrer Durchführung im Rahmen eines Reviews mit den Teilnehmern ihre Erfahrungen diskutiert und vertieft.

Bei der Konzeption von Sensibilisierungs- und Schulungsprogrammen ist die Lehrstoffsicherung wichtig, da nur dauerhaft präsentes Wissen auch zu den gewünschten Verhaltensänderungen führt. Nach Sensibilisierungs- und Schulungsaktivitäten sind die Teilnehmer in der Regel mit viel neuem Wissen und neuen Fertigkeiten ausgestattet. Wenn sie dieses Wissen im Anschluss an die Veranstaltungen nicht abrufen oder anwenden, besteht die Gefahr, dass sie es wieder ganz oder teilweise vergessen. Damit sich das Bewusstsein für Informationssicherheit bei den Mitarbeitern dauerhaft verbessert, sollten die Inhalte von Sensibilisierungs- und Schulungsmaßnahmen regelmäßig wiederholt bzw. angewendet werden. Dies wird durch die Lehrstoffsicherung unterstützt, die sowohl während der Schulung, am Ende einer Schulung als auch im Zeitraum danach durchgeführt werden sollte.

Die Auswahl von Maßnahmen zur Lehrstoffsicherung ist auf die jeweilige Organisationskultur und -größe abzustimmen.

Beispiele für Maßnahmen zur Lehrstoffsicherung sind:

  • schriftliche oder mündliche Tests während der Schulung oder/und zum Abschluss
  • Quizfragebögen mit Gewinnmöglichkeiten zu Schulungsinhalten
  • Intranet-basierte Befragungen zu den Inhalten der durchgeführten Schulungen
  • Nutzung von Teambesprechungen etc. für die Diskussion aktueller Aspekte der Informationssicherheit
  • Durchführung von Plan- oder Rollenspielen (siehe ORP.3.M11 Durchführung von Planspielen zur Informationssicherheit)
  • regelmäßige Wiederholung von Seminaren
  • kurze Hinweise im Intranet
  • ergänzende Kurzvorträge, z. B. im Rahmen anderer interner Veranstaltungen

3.2 Literatur

Weiterführende Informationen zu Gefährdungen und Sicherheitsmaßnahmen im Bereich "Sensibilisierung und Schulung" finden sich unter anderem in folgenden Veröffentlichungen:

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK