Security Awareness im Unternehmen

20.10.2009

Wie werden Mitarbeitende bezüglich IT-Sicherheit sensibilisiert? Wie sieht ein Security Awareness Programm aus? Was für Mittel werden in einer Awareness Kampagne angewandt?

Security Awareness muss heutzutage in Unternehmen als kritische Maßnahme betrachtet werden, welche maßgebend zum Erfolg eines globalen Sicherheitsprogramms beiträgt. Die Sicherheits-Sensibilisierung verfügt über mehrere Komponenten und Blickwinkel, welche je nach Unternehmen (Größe, Alter, Auftrag, Kultur etc…) und Branche zum Einsatz kommen. Nebst technischen Schutzmaßnahmen aller Art, muss der selbstbewusst denkende und handelnde Mitarbeiter mit geeigneten Mitteln geschützt werden. Leider greifen für den Faktor Mensch keine technischen Schutzfunktionen.

Deshalb kommen administrative Maßnahmen (Richtlinien) zum Einsatz. Damit diese aber erfolgreich sind, müssen Direktiven, Policies, Richtlinien und Weisungen gelebt sowie angewandt werden! Eine verabschiedete Policy hat nur dann ihren Nutzen, wenn sie durchgesetzt wird und Verstöße wie festgelegt geahndet werden.

Verantwortlichkeit

Das (Senior) Management ist für die Sicherheit vom Organisations-Vermögen (Informationen, Assets) verantwortlich und kann bei Verletzung der kaufmännischen Sorgfalt (due care) zur Verantwortung gezogen werden. Dafür ist es wichtig, dass die Sicherheitsverantwortlichen dem Management klar aufzeigen weshalb ein anhaltendes Security Awareness Programm im Ganzen notwendig ist. Dem Management muss konkreten Mehrwert aufgezeigt und ein Realisierungs-Konzept vorgelegt werden.

Zielsetzung

Security Awareness befasst sich damit, unternehmerisch sicherheitsbezogene Interessen zu kommunizieren und somit die Sensibilisierung der Mitarbeitenden mit diversen Methoden zu unterstützen. Dabei werden Inhalte vermittelt welche unter dem Dachpapier (Direktive) angesiedelt sind. Dazu zählen Policies, Standards, Richtlinien, Weisungen und Good/Best Practices. Hierbei ist wichtig, dass den Mitarbeitenden aufgezeigt wird, wie sie bei ihrer Arbeit konkret handeln müssen.

Man kann Direktiven per Unterschrift erzwingen aber leben muss sie jeder Mitarbeitende selbst. Und genau letzter Punkt trägt zu einer Risikominimierung auf menschlicher Ebene bei. Die dutzenden Papiere müssen verstanden werden! Und die Mitarbeitenden müssen wissen, wieso diese existieren und was für Bedrohungen existieren.

Methodik

Eine solche Awareness Bemühung wird meistens als vorlaufendes Programm etabliert. Hierbei werden Schulungen in kleinen Gruppen abgehalten. Ebenso können Informationen per Web Based Training, Newsletter, E-Mail oder Intranet kommuniziert werden. Wichtig ist, dass die Informationen so abgefasst sind, dass sie auch gelesen und verstanden werden sowie, dass über die Kanäle möglichst viele Mitarbeitende im Unternehmen erreicht werden können (wichtig bei größeren Unternehmen). Die Sicherheits-Prävention sollte in die unternehmensweite (interne) Kommunikation eingegliedert werden und sich je nach Awareness Konzept und Bedürfnis wiederholen. Der periodische Refresh ist hier äußerst wichtig. Die Leute sollen erneut mit Tipps & Tricks versorgt und das Bewusstsein soll erneut wachgerüttelt werden. Ein Beispiel:

  • wöchentliche Nachricht auf einer Web-Plattform (Intranet);
  • monatlicher Versand eines Newsletters (inkl. Story und Interview);
  • quartärer Awareness-Workshop in kleinen Gruppen;
  • halbjährige Awareness-Kampagne mit Postern, Flyern, Web Based Training;
  • jährliche umfassendere Awareness- Schulung in kleinen Gruppen.

Im Hinterkopf des Sicherheitsverantwortlichen ist stets die Sicherheitsstrategie, die vom Management abgesegnet wurde. Es gilt diese voll umfassend zu erfüllen.

Zielgruppen

Die meisten Anwender in einem Unternehmen verfolgen Sicherheitsvorfälle bzw. Security-Trends nicht. Dies kann auch in keiner Weise verlangt werden. Denn die Wenigsten arbeiten in der IT-Abteilung (abgesehen von IT-Unternehmen) oder aber in der Security-Abteilung. Deshalb ist es notwendig einen Prozess aufzusetzen, bei welchem in wiederholender Weise klar und deutlich kommuniziert wird, was im Interesse des Unternehmen und aller Mitarbeitenden ist und wie dieses Interesse erreicht werden kann. Sicherheit muss im Unternehmen Akzeptanz finden. Ansonsten wird diese nicht getragen und somit auch nicht gelebt!

Die technischen Schutzmaßnahmen sind nur eine der drei klassischen Kontrollen (siehe Grafik). Generell kann gesagt werden, dass je routinierter Security Awareness betrieben wird, um so mehr identifizieren sich die Mitarbeiter mit dem Thema Sicherheit und realisieren dass jedermann seinen Beitrag leisten muss. Es sollte auf unterschiedliche Zielgruppen fokussiert werden:

  • Unternehmensweit (alle Mitarbeitende);
  • (Senior) Management;
  • Technische Mitarbeitende (IT).

Je nach Bedürfnis und Unternehmens-Struktur kommen weitere hinzu. Als Beispiel könnte noch nach Funktion/Aufgabe aufgeteilt werden (bei Großunternehmen) und somit die Awareness-Maßnahmen weiter verfeinern und Zielgruppengerecht zuschneiden (z.B. Call Center Agents).

Einordnung der Security Awareness innerhalb des administrativen Kontrollmechanismus

Alle Mitarbeitende

Unternehmensweite Bewusstseinsbildung stellt sicher, dass Policies, Weisungen, Richtlinien und Good/Best Practices verstanden und angewandt werden. Im Folgenden einige Punkte die für alle Mitarbeitenden (IT-Bereich als auch Fachbereich) in eine Kampagne Einzug halten sollten:

  • Relevanz von Enterprise- und Information- Security;
  • Verantworten von Personen im Unternehmen (Anlaufstelle bei Fragen oder Sicherheitsproblemen);
  • Verständnis der Papiere (Direktive, Policies etc.) erklärungsbedürftig sind W-Fragen: Was? Wieso? Wie? …;
  • Prävention zur Thematik Social Engineering;
  • Umgang mit sensiblen Daten und der Internet- sowie E-Mail Nutzung;
  • Konsequenzen bei Nichteinhaltung von Weisungen (…);
  • Geltungsbereich von Weisungen, Richtlinien, Regeln;
  • spezifische Richtlinien auf Geschäftsbereichs- oder Abteilungsebene.

Solche Sensibilisierungs-Schulungen können per internen oder externen Referenten durchgeführt werden. Der Referent sollte als Fachspezialist sowie als Autoritätsperson gelten. Es empfiehlt sich, den Chief Security Officier (CSO) dafür heranzuziehen.

Management

Die Zielgruppe Management hat punkto Awareness einen anderen Fokus. Das Management will wissen wieso ein solches Security Programm notwendig ist, inwieweit es das tägliche Geschäft (Businessabläufe) tangiert und wie bei diesem Awareness Programm vorgegangen wird.

Technische Mitarbeitende

Bei den technischen Mitarbeitenden dürfen technische Konzepte angesprochen werden. Bei dieser Zielgruppe ist wichtig, zu vermitteln dass alle technischen Komponenten, die in irgendeiner Weise implementiert werden sollen, messbar sein müssen. Ein Sicherheits-Level muss messbar sein, damit dieses gemanaged (verwaltet) werden kann. Äußerst wichtig ist, dass die richtige Zielgruppe bearbeitet wird. Es hat keinen Nutzen eine Stunde über Backend Datenbank-Sicherheit zu sprechen, wenn die Zuhörer Data-Entry Leute sind, die lediglich dafür bezahlt werden wie viel Daten sie pro Zeiteinheit einpflegen.

Awareness Programm

Security Awareness wird gerne in einem globalen Security Programm heruntergespielt bzw. an hinteren Stellen betrachtet. Der Mensch ist bekanntlich das schwächste Glied in der Kette. Deshalb muss dieser mit geeignetem Training bearbeitet werden. Diverse Faktoren sind kritisch für den Erfolg eines Security Awareness Programm (nicht abschließend):

  • Senior-Level Management Support. Das Management unterstützt den kompletten Security Awareness Prozess finanziell, mittels Statements, geht mit gutem Beispiel voran und plädiert an die Mitarbeitenden;
  • Klares Aufzeigen, wie Sicherheit das Business des Unternehmens positiv unterstützt;
  • Klare Kommunikation wieso Security für alle Individuen und deren Tätigkeit im Unternehmen bedeutend ist;
  • Verständnis für die Zielgruppe welche mit einer Awareness-Maßnahme bearbeitet wird. Training das zu grundlegend ist, wird ignoriert und eine Schulung die zu technisch bzw. zu komplex ist, wird nicht verstanden;
  • Aktionen und Follow-Ups! Eine geniale Präsentation die aber nach Ende des Referats in Vergessenheit gerät ist wertlos. Finden Sie Wege um das vermittelte in die täglichen Abläufe bzw. Prozesse der Unternehmung und somit der Mitarbeiter einzubauen und planen Sie nächste Schritte! Die Mitarbeitenden brauchen Visionen, was in punkto Security erreicht werden soll.

Für eintretende Mitarbeitende könnte gelten:

  • Unternehmensweite Awareness am Einführungstag (Entry Day);
  • Unternehmensweite Awareness nach rund 2 Monaten im Unternehmen (Refresh-Day);
  • Spezifische Awareness welche funktions-/ abteilungszugeschnitten ist;
  • Repetive Security Awareness (wie alle anderen Mitarbeitenden).

Kommunikationsmittel die gerne zum Einsatz kommen:

  • Newsletter (Versand per E-Mail);
  • Intranet-Nachricht (kann per RSS abonniert werden);
  • Broschüren, Flyer, Kleber und Poster;
  • Web Based Training (WBT);
  • Audio- und Video-Podcasts (können abonniert werden);
  • Artikel im Mitarbeitermagazin;
  • Onsite Schulung und Workshops;
  • Slogans, Kurzfilme (Spots).

Grundsätzlich gibt es zwei Varianten von Sensibilisierungs-Schwerpunkten welche in der Theorie unterschieden aber in der Praxis jeweils kombiniert werden:

  • Schwerpunkt liegt auf der eigentlichen Sensibilisierung vor Bedrohungen und dem Vermitteln von Verfahren sowie Tipps & Tricks;
  • Schwerpunkt ist das eigentliche Vermitteln des Dachpapieres und der Richtlinien, Weisungen (…) und was die Verletzung für Auswirkungen auf das Unternehmen haben können.

Die Management-Direktive in Bezug auf die Sicherheit wird in der Sicherheits-Policy festgehalten. Standards, Richtlinien, Prozeduren und Good/Best Practices wurden kreiert um die globale Sicherheits-Policy und somit die Direktive zu unterstützten. Diese Papiere sind nicht erfolgreich, wenn niemand über sie Bescheid weiß und die Unternehmung noch keinen effektiven Plan hat wie diese theoretischen Konstrukte in der Organisation implementiert werden. Damit Sicherheit erfolgreich und effektiv ist, müssen alle im Unternehmen die Relevanz von Enterprise- und Informations-Sicherheit verstehen. Ein Security Awareness Programm sollte im Kontext der Unternehmens-Kultur erarbeitet und durchgeführt werden. Die Mitarbeitenden müssen sich damit identifizieren können. Denn sie müssen im Endeffekt handeln.

Top Artikel

  1. Contentmanager.de Relaunch
  2. Tipps für einen erfolgreichen Website Relaunch
  3. Content Management Trends - Rückblick 2011
  4. Off-Page SEO - Linkaufbau
  5. Wettlauf um neue Domains

Unsere Experten

alle Experten

Premium Lösungen

Marktübersicht

Premium Services

Dienstleisterübersicht