Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit

Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team

Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Vorgesetzte

Viele Sicherheitsvorfälle werden nicht durch organisationsfremde Angreifer, sondern durch unsachgemäßes Verhalten eigener Mitarbeiter hervorgerufen. Daher sollte Wert darauf gelegt werden, dass alle Mitarbeiter die für ihren Arbeitsplatz erforderlichen IT-Sicherheitskenntnisse haben, Zwischenfälle frühzeitig als solche erkennen können und eigenverantwortlich sinnvolle Maßnahmen bei Sicherheitsproblemen ergreifen können. Eine der wichtigsten Aufgaben des IT-Sicherheitsmanagements besteht daher in der Durchführung von Veranstaltungen, um die Mitarbeiter für das Thema IT-Sicherheit zu sensibilisieren. Diese sollten unter anderem folgende Themen umfassen:

Alle diese Themen sollen zum besseren Verständnis anhand von Beispielen untermauert werden.

Jeder Mitarbeiter sollte diese Inhalte kennen, sinnvollerweise findet die Sensibilisierung im Rahmen der Einarbeitung statt. Da die Sensibilisierung für IT-Sicherheit der wichtigste Garant für die Umsetzung (manchmal lästiger) IT-Sicherheitsmaßnahmen ist, empfiehlt es sich, solche Veranstaltungen für alle Mitarbeiter regelmäßig anzubieten.

Zur Umsetzung von IT-Sicherheit bedarf es nicht nur abstrakter Regularien, sondern auch eines praxisorientierten Sicherheitsbewusstseins. Wie sich an vielen konkreten Beispielen - wie den Schadensstatistiken von Elektronik-Versicherern - belegen lässt, resultieren IT-Schäden oft schlicht aus der Unkenntnis elementarer Sicherheitsmaßnahmen. Umgekehrt können Mitarbeiter oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden.

Neben der regelmäßigen Sensibilisierung für grundsätzliche Aspekte der IT-Sicherheit müssen die Mitarbeiter auch für die IT-Sicherheitsmaßnahmen sensibilisiert werden, die sie in ihrer täglichen Arbeit zu beachten haben. Dies sollte unter anderem die folgenden Themenschwerpunkte umfassen:

Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Aktionsprogramm zur "IT-Sicherheit" sollte stets den individuellen Gegebenheiten der Behörde oder des Unternehmens angepasst sein.

Um wirkungsvoll das Bewusstsein für IT-Sicherheit zu schärfen und eingeschliffene Verhaltensweisen dauerhaft zu ändern, ist ein fortwährender Lernprozess erforderlich. Sinnvolle kontinuierliche Sensibilisierungsmaßnahmen müssen dabei auf das Arbeitsumfeld und Zielpublikum angepasst sein. Um die Lerneffekte zu verstärken, ist es empfehlenswert, regelmäßig Aspekte zur IT-Sicherheit in den Köpfen der Mitarbeiter zu verankern, z. B. durch E-Mailaktionen, Hinweise im Intranet und Integration von Sicherheitsthemen in internen Veranstaltungen. Andere wirksame Möglichkeiten zur Sensibilisierung für IT-Sicherheit sind auch

Programme zur Sensibilisierung für IT-Sicherheitsaspekte haben zunächst den generellen Effekt, dass die Beteiligten über die IT-Sicherheitsbelange aufgeklärt und dafür aufgeschlossen werden. Damit auch ein Verhaltenswandel eintritt, muss IT-Sicherheit auch in das allgemeine Wertebild des Unternehmens bzw. der Behörde eingebunden werden. Das bezüglich IT-Sicherheit erwünschte Verhalten muss also genauso bewertet werden wie das zu anderen Zielvorgaben. Seitens der Vorgesetzten muss Interesse daran gezeigt und auch positive oder negative Rückmeldungen (Lob bzw. Tadel) gegeben werden. Die Vorgesetzten sollten außerdem als gutes Vorbild agieren, ebenso wie Administratoren und Support-Mitarbeiter wichtige Multiplikatoren sind. Wenn diese Gruppen die Sicherheitsrichtlinien nicht einhalten oder nicht als wichtig erachten, wird es der Rest der Mitarbeiter auch nicht tun.

Die einzelnen Themen sollten durchgängig mit Beispielen unterlegt werden, die dem Tagesgeschäft der Teilnehmer entnommen oder daran angelehnt sind. Dadurch werden die Inhalte für die Teilnehmer einprägsamer vermittelt und leichter umsetzbar.

Beispiel:

In einem Unternehmen wird zur Verbesserung der E-Mail-Sicherheit ein Produkt zur Verschlüsselung und Signatur von E-Mails eingeführt. Damit diese Mechanismen sinnvoll und kontinuierlich genutzt werden, sollten

Der offene Umgang mit IT-Sicherheitsfragen muss in der gesamten Institution gelebt werden. Eine vertrauensvolle und offene Kommunikationskultur ist wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen werden. Dazu gehört auch, dass die Mitarbeiter über organisationsinterne IT-Sicherheitsvorkommnisse informiert werden und was diese für ihren Arbeitsplatz bedeuten. Dies sollte zeitnah erfolgen und nicht erst, wenn diese öffentlich bekannt geworden sind.

Materialien zur IT-Sicherheit

Zur Sensibilisierung können auch attraktive Werbematerialen bzw. -aktionen beitragen. Hierzu gehören zielgerichtete Mitteilungen und Slogans zur IT-Sicherheit. Damit sie lange im Blickfeld der Mitarbeiter verbleiben, können kurze IT-Sicherheitshinweise beispielsweise auf Kalendern, Kaffeetassen, Merkzetteln, Frisbees, Mousepads oder Screensavern untergebracht werden.

Über Plakate können Botschaften ebenfalls effektiv vermittelt werden. Diese sollten an auffälligen Stellen aufgehängt werden, z. B. in der Kantine, im Aufzug und in Besprechungsräumen, und regelmäßig gewechselt werden. Poster zu IT-Sicherheitsthemen gibt es beispielsweise von diversen Herstellern von Sicherheitsprodukten und Werbemittelherstellern.

Merksprüche zur IT-Sicherheit sollten einfach und einprägsam sein und können (je nach Organisationskultur) auch lustig sein, beispielsweise

Bei allen Aktivitäten zur Sensibilisierung der Mitarbeiter für IT-Sicherheit dürfen auch die Personen nicht vergessen werden, die keinen direkten IT-Zugang haben, wie Reinigungskräfte oder Hausarbeiter. Auch bei diesen kann eine angemessene Aufklärung über Sicherheitsvorgaben helfen, Schäden zu vermeiden.

Ergänzende Kontrollfragen: