G 2.102 Unzureichende Sensibilisierung für IT-Sicherheit
Die Aktivitäten zur Sensibilisierung für IT-Sicherheitsfragen müssen sich an der IT-Umgebung der jeweiligen Institution orientieren, um auch die richtigen Bereiche zu adressieren. Dadurch muss unter Umständen eine Vielzahl von Themengebieten angesprochen werden. Hierfür müssen die Schulungsaktivitäten sorgfältig geplant und organisiert werden. Die Erfahrung zeigt, dass es nicht genügt, lediglich die Umsetzung von bestimmten Sensibilisierungsmaßnahmen anzuordnen. Folgende Fallstricke erschweren häufig eine nachhaltige Sensibilisierung:
- Es fehlt Unterstützung durch das Management der verschiedenen Ebenen, was dazu führen kann, dass
- Mitarbeiter von verschiedenen Bereichen für Schulungen zur IT-Sicherheit nicht freigestellt werden,
- die Teilnahme weder seitens der Mitarbeiter noch seitens derer Vorgesetzte ernst genommen wird, da auch die Vorgesetzten die Bedeutung von IT-Sicherheit für den Organisationserfolg nicht kommunizieren oder sogar IT-Sicherheit als unwesentlich abtun.
- Die Planung der Sensibilisierungsmaßnahmen ist mangelhaft.
- Das Ziel des Sensibilisierungsprogramms ist nicht oder unklar definiert.
- Es findet keine Erfolgskontrolle statt. Wenn aber Erfolgsmeldungen fehlen, entzieht das Management schnell die Unterstützung oder priorisiert solche Projekte niedriger.
- Es werden nur einzelne Aktionen und Schulungen zur IT-Sicherheit durchgeführt. Wenn diese nicht in Zusammenhang mit anderen IT-Sicherheitsmaßnahmen stehen, können diese unter Umständen mehr Schaden als Nutzen anrichten. Beispielsweise können Mitarbeiter hierdurch verwirrt oder demotiviert werden.
- Es werden zu wenige finanzielle oder personelle Ressourcen zur Durchführung von IT-Sicherheitskampagnen zur Verfügung gestellt. Häufig werden teure Sicherheitskomponenten angeschafft oder mit hohem Aufwand Sicherheitskonzeptionen erarbeitet, ohne dass die Benutzer in deren Anwendung bzw. Umsetzung geschult werden. Dadurch können die ausgeklügelsten Sicherheitslösungen sinnlos werden.