Wie Sie Ihre Mitarbeiter für IT-Sicherheit sensibilisieren

Sieben Empfehlungen für Informationssicherheitsbeauftragte

Sie sind Informationssicherheitsbeauftrage(r) und haben daher die Aufgabe, Ihre Kollegen und Kolleginnen, deren primäres Ziel nicht Informationssicherheit ist, für das Thema Informationssicherheit zu sensibilisieren? Dann haben wir in diesem Beitrag einige Tipps und Empfehlungen – aus Praxis und Wissenschaft – zur Planung und Ausgestaltung Ihrer Security Awareness Maßnahmen.

Archiv

Rubrik:

KI, Cloud & Zukunftstechnologien

Tags:

IT-Sicherheit

21.08.20

Melanie Volkamer

Benjamin Bachmann

Empfehlung 1: Klarheit erlangen und Ziel festlegen

Es existieren verschiedene Security Awareness Definitionen, zum Beispiel

Bewusstsein für Angriffe schaffen
Bewusstsein schaffen, dass jeder mithelfen muss, damit ein angemessenes Schutzniveau für die eigene Organisation erreicht werden kann
Wissen vermitteln, wie Angreifer vorgehen beziehungsweise wie man sich schützen kann
Wissen vermitteln, wie man mit (erkannten) Angriffen umgehen soll
Vermitteltes Wissen und gestellte Situationen trainieren
Anwenden des erlernten Wissens im Arbeitsalltag

Entsprechend ist es wichtig, dass Sie sich im Klaren sind, was Ihr Ziel ist und welche Aspekte Sie mit den Maßnahmen abdecken möchten.

Mehrere MitarbeiterInnen sitzen in einem Büro

Gute Security Awareness Maßnahmen führen dazu, dass Mitarbeiterinnn und Mitarbeiter aufmerksamer und vorsichtiger werden.

Empfehlung 2: Erst technische Maßnahmen und Security Policies auf den aktuellen Stand bringen

Ein adäquater Schutz vor Cyber-Angriffen ist nur dann möglich, wenn die technischen Schutzmaßnahmen ausgereizt sind, die Security Policies dem aktuellen Stand der Technik entsprechen und die verbleibenden Einfallstore durch geeignete Security Awareness-Maßnahmen adressiert werden.

Beispielsweise sind die technischen Schutzmaßnahmen noch nicht ausgereizt, wenn

Betriebssystem und/oder Software nicht auf dem aktuellen Stand sind
Anhangstypen wie .exe in E-Mails nicht geblockt werden
(externe) USB-Geräte einfach verwendet werden können
Geräte nicht nach kurzer Zeit der Nicht-Benutzung automatisch gesperrt werden

So ist Ihre Password Policy nicht auf dem aktuellen Stand der Technik, wenn diese verlangt, dass Passworte regelmäßig geändert werden müssen oder Passworte mit sechs Stellen erlaubt sind.

Weiterhin empfiehlt es sich zu prüfen, ob genügend technische Unterstützung für die Umsetzung von Policies geboten wird. Als Beispiele: Sind Password Manager im Einsatz? Werden Links in E-Mails automatisiert geprüft?

Es ist wichtig, dass technische Maßnahmen und Security Policies klar definiert sind und Ihnen bekannt ist, auf welche Annahmen an das Nutzerverhalten Sie beruhen, denn dann können Sie zielgenaue Security Awareness Maßnahmen definieren.

Empfehlung 3: Einführung eines Frage- bzw. Meldewesens für Informationssicherheit

Gute Security Awareness Maßnahmen führen dazu, dass Ihre Kolleginnen und Kollegen aufmerksamer und vorsichtiger werden beziehungsweise eher merken, wenn sie potentiell auf einen Angriff reingefallen sind oder sich unsicher verhalten haben. Daher ist es wichtig, dass vor dem Start der eigentlichen Security Awareness Maßnahme ein entsprechendes Frage- und Meldewesen eingerichtet und etabliert ist. Sprich, es muss jedem klar sein, wann wo nachfragt beziehungsweise wann wo gemeldet werden kann. Es ist auch wichtig, dass sich niemand beim Nachfragen und Melden unwohl fühlt, weil Konsequenzen drohen. Im Gegenteil, es ist gewünscht, dass offen über das Thema Informationssicherheit geredet wird.

Empfehlung 4: Die Chef-Etage ist an Board

Wie bei allen Maßnahmen ist es entscheidend, dass die Chefetage diese unterstützt und ohne Ausnahme teilnimmt, um anhand ihrer Unterstützung zu zeigen, wie wichtig das Thema für die Organisation ist.

Chefs, die Trainings selbst nicht machen und die Ausnahmeregelungen von den Security Policies haben, sind kein Vorbild, sondern im Gegenteil eine Sicherheitslücke.

Symbolbild: Ein Regenschirm schützt vor Regen

Um einen breiten Schutz vor Cyper-Angriffen zu gewährleisten, ist ein weit aufgespannter Schirm an Maßnahmen erforderlich

Empfehlung 5: Inhaltliche Ausgestaltung im Einklang mit Adressaten, Technik, Arbeitsabläufen und Security Policies

Bei der inhaltlichen Ausgestaltung ist es zunächst wichtig, die Ausgangslage der Adressaten zu kennen – sprich: Welche mentalen Modelle und welches Wissen haben diese im Bezug auf Informationssicherheit, wo brauchen sie Unterstützung und wie stehen sie allgemein zum Thema Informationssicherheit. Daraus resultierend wird es unterschiedliche Maßnahmen für unterschiedliche Gruppen in der Organisation geben.

Die Inhalte sollten unbedingt im Einklang mit der eingesetzten Sicherheitstechnik und den Security Policies stehen, als Beispiele: Das Passwort-Training sollte nicht empfehlen, auf sehr lange statt sehr komplexe Passwörter zu setzen, wenn die Passwort-Richtlinie sich mit 6 Zeichen zufrieden gibt. Es ist auch nicht zielführend, in den Awareness Maßnahmen daraufhinzuweisen, dass man pro Dienst ein anderes Passwort verwenden soll, wenn Passwort Manager verboten oder nicht unterstützt werden.

Achten Sie weiterhin darauf, dass die vermittelten Inhalte konkret sind und die verschiedenen Angriffsarten abdecken. Es sollte nicht nur vermittelt werden, dass man wegen Phishing-E-Mails vorsichtig mit Anhängen und Links sein sollte, sondern auch welche Kanäle für Phishing genutzt werden und woran man erkennen kann, dass das Öffnen eines Anhangs beziehungsweise das Klicken eines Links gefährlich ist.

Meist stellt sich auch die Frage: Mit welchem Thema sollte ich beginnen? Was hat die höchste Priorität? Hier gibt es kein One-size-fits-all. Entscheidend ist es hier, risikobasiert entsprechend des jeweiligen Behördenprofils zu handeln.

Empfehlung 6: Vielfalt an Medien

Ihre Kolleginnen und Kollegen werden unterschiedliche Vorlieben für unterschiedliche Medien haben, zum Beispiel eLearnings, Podcasts, Interivews, Erklärvideos, Serious Games (online wie auch offline), Studium der Policies (oder einer Empolyee-Summary) in Papierform, als PDF oder als Präsentation.

Security Awareness Maßnahmen sind am effektivsten, wenn für jeden was dabei ist. Das Thema Informationssicherheit sollte möglichst breit platziert werden. So sollte die Hauptmaßnahme möglichst mit kleinen Angeboten erweitert werden, etwa mit entsprechenden Give-Aways, thematisch passenden Poster als Erinnerung oder als Challenge, das Wissen gerade auf die Probe zu stellen, Security-Stammtische für Beginners.

Empfehlung 7: Messen Sie die Effektivität

Nachdem die Vorbedingungen für effektive Security Awareness Maßnahmen durch die ersten vier Empfehlungen gegeben sind und Sie auch bei Inhalten und Ausgestaltung den Empfehlungen gefolgt sind, stehen die Chancen gut, dass die entwickelten Maßnahmen auch wirklich effektiv sind. Was mit „effektiv“ genau gemeint ist, hängt von dem definierten Ziel ab. Bevor Sie damit allerdings an alle Kolleginnen und Kollegen herantreten und diese dafür wertvolle Arbeitszeit investieren, sollte sichergestellt sein, dass die geplanten Maßnahmen auch wirklich effektiv sind. Dies kann entweder geschehen, weil Sie die Maßnahme erst für einzelne Kolleginnen und Kollegen evaluieren oder – im Fall, dass Sie die Maßnahmen einkaufen –, dass der Anbieter Ihnen einen Nachweis gibt, dass die Maßnahme in ähnlichen Organisationen effektiv mit Bezug zu den von Ihnen definierten Zielen war.

Weiterführende Empfehlungen

Weitere wichtige Themen in diesem Zusammenhang sind

Kolleginnen und Kollegen die Zeit für die Teilnahme an den Security Awareness Maßnahmen zu geben
Ihnen die Zeit im Arbeitsalltag für Security zu geben
das Auffrischen des Wissens nach einer gewissen Zeit – und nicht indem das gleiche Training einmal im Jahr durchlaufen werden soll; hierzu ist es nötig, die Effektivität auch über die Zeit beurteilen zu können
das On-Boarding neuer Kolleginnen und Kollegen.

Eine neue Ära der Effizienz

Vorteile künstlicher Intelligenz für Kommunalverwaltungen

Ein besonders vielversprechender Anwendungsbereich der künstlichen Intelligenz ist die Gemeindeverwaltung. Die Verwendung von KI in kommunalen Prozessen eröffnet innovative Wege zur Effizienzsteigerung, verbesserten Dienstleistungen und nachhaltiger Ressourcennutzung. Aber welche Daten sollen …

Erst denken, dann digitalisieren

Wie die Verwaltung Menschen und Digitalisierung gleichermaßen in den Fokus stellen kann

Die digitale Transformation impliziert die Umwandlung analoger Prozesse in digitale Dienstleistungen, sollte aber in der Praxis weit darüber hinausgehen. Spätestens seit dem Onlinezugangsgesetz (OZG) und dessen aktueller Novellierung befasst sich auch die öffentliche Verwaltung mit der digitalen …

Crashkurs Cloud in der Öffentlichen Verwaltung

Die wichtigsten Begriffe

IaaS, Hyperscaler, Public oder Hybrid? Das Thema Cloud ist vielseitig und unter Umständen verwirrend. Denn es herrschen zu den ohnehin schon komplizierten technischen Bezeichnungen sehr unterschiedliche Ansichten zu den Definitionen. Eine Übersicht der wichtigsten Begriffe zu Cloud in der Verwaltung …

Bewältigung des demografischen Wandels

Die Rolle des prozessorientierten Wissensmanagements

Der Umbau der Verwaltung unter Demografie-Aspekten ist im vollen Gange. Der Schlüssel für eine erfolgreiche Transformation der Verwaltungsarbeit ist die Digitalisierung von Verfahren und Entscheidungen. Aber der behördliche Alltag besteht nicht nur aus modellierbaren Prozessen, die man mit Software …

14. Beschaffungskongress der Krankenhäuser

6. Berliner Kongress wehrhafte Demokratie

10. Zukunftskongress Staat & Verwaltung

3. ZuKo-THINKTANK: Der kreative Satellit des Zukunftskongresses

25. Beschaffungskonferenz 2024 - Das Original aller Vergabetage

3. Digital Justice Summit

3. ZuKo-Sozialversicherungsforum - Soziale Sicherheit im digitalen Wandel

3. BKK-THINKTANK: Der agile Satellit des Beschaffungskongresses