M 2.198 Sensibilisierung der Mitarbeiter für IT-Sicherheit
Verantwortlich für Initiierung: IT-Sicherheitsmanagement-Team
Verantwortlich für Umsetzung: IT-Sicherheitsmanagement-Team, Vorgesetzte
Viele Sicherheitsvorfälle werden nicht durch organisationsfremde Angreifer, sondern durch unsachgemäßes Verhalten eigener Mitarbeiter hervorgerufen. Daher sollte Wert darauf gelegt werden, dass alle Mitarbeiter die für ihren Arbeitsplatz erforderlichen IT-Sicherheitskenntnisse haben, Zwischenfälle frühzeitig als solche erkennen können und eigenverantwortlich sinnvolle Maßnahmen bei Sicherheitsproblemen ergreifen können. Eine der wichtigsten Aufgaben des IT-Sicherheitsmanagements besteht daher in der Durchführung von Veranstaltungen, um die Mitarbeiter für das Thema IT-Sicherheit zu sensibilisieren. Diese sollten unter anderem folgende Themen umfassen:
- die Aufgaben und Ziele der Organisation,
- wie die Aufgaben der Organisation durch den IT-Einsatz unterstützt werden,
- Gefährdungen und Risiken durch den IT-Einsatz,
- Werte für die Organisation,
- Erläuterung der Grundprinzipien der IT-Sicherheit: Vertraulichkeit, Integrität, Verfügbarkeit,
- die IT-Sicherheitsrichtlinien des Hauses,
- Ziel und Inhalt des IT-Sicherheitskonzeptes,
- Verpflichtung von IT-Benutzern, System- und Aufgabenverantwortlichen zur Umsetzung des IT-Sicherheitskonzeptes,
- Anpassung des IT-Sicherheitskonzeptes an neue Entwicklungen und Aufgaben.
Alle diese Themen sollen zum besseren Verständnis anhand von Beispielen untermauert werden.
Jeder Mitarbeiter sollte diese Inhalte kennen, sinnvollerweise findet die Sensibilisierung im Rahmen der Einarbeitung statt. Da die Sensibilisierung für IT-Sicherheit der wichtigste Garant für die Umsetzung (manchmal lästiger) IT-Sicherheitsmaßnahmen ist, empfiehlt es sich, solche Veranstaltungen für alle Mitarbeiter regelmäßig anzubieten.
Zur Umsetzung von IT-Sicherheit bedarf es nicht nur abstrakter Regularien, sondern auch eines praxisorientierten Sicherheitsbewusstseins. Wie sich an vielen konkreten Beispielen - wie den Schadensstatistiken von Elektronik-Versicherern - belegen lässt, resultieren IT-Schäden oft schlicht aus der Unkenntnis elementarer Sicherheitsmaßnahmen. Umgekehrt können Mitarbeiter oft bereits durch die Beachtung einfacher Vorsichtsmaßregeln dazu beitragen, dass Schäden vermieden werden.
Neben der regelmäßigen Sensibilisierung für grundsätzliche Aspekte der IT-Sicherheit müssen die Mitarbeiter auch für die IT-Sicherheitsmaßnahmen sensibilisiert werden, die sie in ihrer täglichen Arbeit zu beachten haben. Dies sollte unter anderem die folgenden Themenschwerpunkte umfassen:
- Zutritts- und Zugangsschutz: Verschließen von Büro- und Serverräumen, Sperren der Arbeitsstation auch bei kurzfristiger Abwesenheit (z. B. durch Bildschirmschoner mit Passwortschutz), Clean Desk Policy, Beaufsichtigen von Externen, etc...
- Zugriffsschutz: Umgang mit Passwörtern und anderen Zugriffsmitteln (nicht weitergeben, sicher aufbewahren, etc.), Auswahlregeln für sichere Passwörter, etc...
- Technische Sicherheit: keine Abdeckung von Lüftungsöffnungen durch Akten, Kleider oder ähnliches, Vermeiden gefährlicher "Fallbrücken" durch unsachgemäße Aufstellung von Geräten oder über den Fußboden verlegte Kabel, keine unsachgemäßen Reparaturversuche an der Elektroinstallation, etc...
- Sicherheitsmaßnahmen bei Nutzung von E-Mail und Internet: Sensibilisierung für die fehlende Vertraulichkeit unverschlüsselter E-Mails (wenn sie vorhanden sind, sollte die Nutzung von Verschlüsselungs- und Signaturkomponenten geschult werden), sichere Konfiguration des Internet-Browsers (z. B. Deaktivierung von ActiveX und Java-Script), kein sorgloses Herunterladen ausführbarer Programme wegen möglicher Schadensfunktionen, etc...
- Schad-Software: Erläuterung der Begriffe Viren, Trojanische Pferde, Würmer usw., Surfen im Internet nur bei aktiviertem Virenschutz, Virenprüfung vor dem Öffnen von E-Mail-Anhängen, etc...
- Umgang mit Sicherheitsvorfällen: Woran sind sie zu erkennen, was sollen Benutzer machen, an wen sollen sie sie melden, etc...
- Rechtliche Aspekte: Grundlagen des Datenschutzes, keine Installation unlizenzierter Software, Urheberrecht (z. B. bezüglich der Nutzung von Material aus dem Internet), etc...
Die hier angegebenen Themen stellen lediglich eine Auswahl dar. Ein Aktionsprogramm zur "IT-Sicherheit" sollte stets den individuellen Gegebenheiten der Behörde oder des Unternehmens angepasst sein.
Um wirkungsvoll das Bewusstsein für IT-Sicherheit zu schärfen und eingeschliffene Verhaltensweisen dauerhaft zu ändern, ist ein fortwährender Lernprozess erforderlich. Sinnvolle kontinuierliche Sensibilisierungsmaßnahmen müssen dabei auf das Arbeitsumfeld und Zielpublikum angepasst sein. Um die Lerneffekte zu verstärken, ist es empfehlenswert, regelmäßig Aspekte zur IT-Sicherheit in den Köpfen der Mitarbeiter zu verankern, z. B. durch E-Mailaktionen, Hinweise im Intranet und Integration von Sicherheitsthemen in internen Veranstaltungen. Andere wirksame Möglichkeiten zur Sensibilisierung für IT-Sicherheit sind auch
- die regelmäßige Information über aktuelle Bedrohungen und Schwachstellen, beispielsweise
- des IT-Sicherheitsbeauftragten durch entsprechende Informationsdienste oder
- der Mitarbeiter durch den IT-Sicherheitsbeauftragten.
- der Aufbau eines Kommunikationsforums, um Mitarbeiter zu ermutigen, aktuelle Sicherheitsthemen zu diskutieren, Fragen zu stellen und auch Sicherheitsprobleme vorzubringen.
- die regelmäßige Befragung von Mitarbeitern zu IT-Sicherheitsaspekten, wodurch nicht nur der vorhandene Wissenstand ermittelt, sondern dieser auch verbessert werden kann. Außerdem werden dadurch IT-Sicherheitsprobleme besser wahrgenommen und IT-Sicherheitsmaßnahmen besser umgesetzt (Beispiel: "Wie oft sichern Sie Ihre Daten? ").
- die Durchführung von Simulationsspielen, z. B. über die Auswirkungen von Schwachstellen auf die konkrete Arbeitsumgebung.
- Mitarbeiter-Workshops, um Schwachstellen aufzudecken und passende Sicherheitsmaßnahmen zu finden.
- Einrichtung eines Sicherheitspools im Intranet, wo über aktuelle IT-Sicherheitsvorfälle und Lösungsansätze berichtet wird. Hier sollte auch darüber informiert werden, wie sie zuhause ihre IT schützen können. Dies motiviert zusätzlich und reduziert die Sicherheitsprobleme, die über private IT-Nutzung entstehen können.
Programme zur Sensibilisierung für IT-Sicherheitsaspekte haben zunächst den generellen Effekt, dass die Beteiligten über die IT-Sicherheitsbelange aufgeklärt und dafür aufgeschlossen werden. Damit auch ein Verhaltenswandel eintritt, muss IT-Sicherheit auch in das allgemeine Wertebild des Unternehmens bzw. der Behörde eingebunden werden. Das bezüglich IT-Sicherheit erwünschte Verhalten muss also genauso bewertet werden wie das zu anderen Zielvorgaben. Seitens der Vorgesetzten muss Interesse daran gezeigt und auch positive oder negative Rückmeldungen (Lob bzw. Tadel) gegeben werden. Die Vorgesetzten sollten außerdem als gutes Vorbild agieren, ebenso wie Administratoren und Support-Mitarbeiter wichtige Multiplikatoren sind. Wenn diese Gruppen die Sicherheitsrichtlinien nicht einhalten oder nicht als wichtig erachten, wird es der Rest der Mitarbeiter auch nicht tun.
Die einzelnen Themen sollten durchgängig mit Beispielen unterlegt werden, die dem Tagesgeschäft der Teilnehmer entnommen oder daran angelehnt sind. Dadurch werden die Inhalte für die Teilnehmer einprägsamer vermittelt und leichter umsetzbar.
Beispiel:
In einem Unternehmen wird zur Verbesserung der E-Mail-Sicherheit ein Produkt zur Verschlüsselung und Signatur von E-Mails eingeführt. Damit diese Mechanismen sinnvoll und kontinuierlich genutzt werden, sollten
- die Mitarbeiter zunächst zu Wirkung und Funktion geschult werden,
- die Vorgesetzten auch intern verschlüsselte und signierte E-Mails senden,
- Reiseabrechnungen per E-Mail abgegeben werden können, aber nur noch elektronisch signiert akzeptiert werden und
- Mitarbeiter seitens der Vorgesetzten angesprochen werden, wenn diese trotzdem noch unverschlüsselte E-Mails verschicken.
Der offene Umgang mit IT-Sicherheitsfragen muss in der gesamten Institution gelebt werden. Eine vertrauensvolle und offene Kommunikationskultur ist wichtig, damit Sicherheitsvorfälle auch umgehend weitergemeldet und offen angegangen werden. Dazu gehört auch, dass die Mitarbeiter über organisationsinterne IT-Sicherheitsvorkommnisse informiert werden und was diese für ihren Arbeitsplatz bedeuten. Dies sollte zeitnah erfolgen und nicht erst, wenn diese öffentlich bekannt geworden sind.
Materialien zur IT-Sicherheit
Zur Sensibilisierung können auch attraktive Werbematerialen bzw. -aktionen beitragen. Hierzu gehören zielgerichtete Mitteilungen und Slogans zur IT-Sicherheit. Damit sie lange im Blickfeld der Mitarbeiter verbleiben, können kurze IT-Sicherheitshinweise beispielsweise auf Kalendern, Kaffeetassen, Merkzetteln, Frisbees, Mousepads oder Screensavern untergebracht werden.
Über Plakate können Botschaften ebenfalls effektiv vermittelt werden. Diese sollten an auffälligen Stellen aufgehängt werden, z. B. in der Kantine, im Aufzug und in Besprechungsräumen, und regelmäßig gewechselt werden. Poster zu IT-Sicherheitsthemen gibt es beispielsweise von diversen Herstellern von Sicherheitsprodukten und Werbemittelherstellern.
Merksprüche zur IT-Sicherheit sollten einfach und einprägsam sein und können (je nach Organisationskultur) auch lustig sein, beispielsweise
- Die Sicherung ist null und nichtig, nimmt man das Passwort nicht so wichtig!
- Viel Ärger hat sich der erspart, der heikle Dinge gut verwahrt!
- Verzichte auf den Mailversand, ist der Inhalt sehr pikant!
- Fremder Zugriff wird erschwert, bleibt der Zugang stets verwehrt!
Bei allen Aktivitäten zur Sensibilisierung der Mitarbeiter für IT-Sicherheit dürfen auch die Personen nicht vergessen werden, die keinen direkten IT-Zugang haben, wie Reinigungskräfte oder Hausarbeiter. Auch bei diesen kann eine angemessene Aufklärung über Sicherheitsvorgaben helfen, Schäden zu vermeiden.
Ergänzende Kontrollfragen:
- Wie wird sichergestellt, dass eine kontinuierliche Sensibilisierung zu IT-Sicherheit erfolgt?
- Stehen den IT-Sicherheitsverantwortlichen und allen interessierten Mitarbeitern Fachzeitschriften bzw. andere aktuelle Informationen zur IT-Sicherheit zur Verfügung?
- Wird in geeigneter Form auf organisationsinterne oder öffentlich bekannt gewordene IT-Sicherheitsvorkommnisse hingewiesen? Werden, wo möglich,Wege zu deren Vermeidung aufgezeigt?
- Existieren allgemein akzeptierte und genutzte Foren zur organisationsinternen Kommunikation über Belange der IT-Sicherheit?