Informationssicherheit: Technik hui, Bewusstsein pfui?

In unserem letzten Newsletter zum Thema „Sicherheit, Compliance und Revision“ hatte ich Gedanken zur pragmatischen Informationssicherheit wiedergegeben und CISIS12 (Informations-Sicherheitsmanagement System in 12 Schritten) als einen möglichen Ansatz genannt, in 12 Schritten zu einem wirksamen ISMS (Informationssicherheits-Managementsystems) zu gelangen. Heute lege ich auf den zweiten Schritt des Vorgehens, „Mitarbeiter:innen sensibilisieren“ ein besonderes Augenmerk. Und so erklärt sich auch der provokante Titel des Beitrages, den ich noch einmal, weniger provokant, als Frage formuliere:

Welcher Faktor gefährdet Verfügbarkeit, Vertraulichkeit und Integrität Ihrer Informationen mehr:

  • eine Fehlfunktion oder Sicherheitslücke Ihrer Firewall, Ihres Sicherungssystems, Ihrer Virenschutzsoftware,
  • oder eine Unachtsamkeit Ihrer Mitarbeiter:innen?
Sicherheitslücke bei Mitarbeiter:innen

Wie sieht es mit der Information Security Awareness, dem Bewusstsein für Informationssicherheit, in Ihrem Unternehmen aus?

Die Situation

Es gibt zwei allgemein anerkannte Grundwahrheiten der Informationssicherheit:

  • Es gibt keinen 100-prozentigen Schutz.
  • Die größte Gefahr geht von den Anwender:innen aus.

Gerade die Kombination der beiden Aussagen ist brisant, weil es nun einmal nicht ausreicht, bei 80 % der Belegschaft hinreichende Aufmerksamkeit zu erzeugen. Wenn 80 von 100 Phishingmails ungeöffnet bleiben, jedoch 20 bearbeitet werden, ist nichts gewonnen. Das ist vermutlich auch der Grund, warum wir immer wieder dazu tendieren, die Technik aufzurüsten und die Mitarbeitersensibilisierung eher vernachlässigen. Aber die Technik kann nur einen Teil der menschlichen Unzulänglichkeiten kompensieren. Für den anderen Teil ist ein konsequentes und umfängliches Bewusstmachen der Gefahren, Auswirkungen und Schutzmöglichkeiten erforderlich.

Wie kann dieses Bewusstmachen aussehen – dazu ein paar Gedanken…

Herausfordernd

Sie kennen das – nach einem Datenverlust wird die Datensicherung deutlich ernster genommen; wenn in der Nachbarschaft ein Einbruch verübt wurde, achtet man noch einmal mehr auf das korrekte Abschließen des eigenen Wohnbereiches.

Eine ähnliche Herausforderung gilt es bei der Sensibilisierung der Kolleg:innen zu erzeugen. Ich empfehle dringend, Angriffe auf die Informationssicherheit zu simulieren. Es ist mit relativ einfachen Mitteln möglich, eine Phishing-Mail zu erzeugen und „den Erfolg“ zu messen oder einen USB-Stick zu präparieren, der nicht ungeprüft eingesteckt werden sollte. Diese Test-Szenarien haben zwei wesentliche Vorteile. Sie erhöhen, wie ausgeführt, die Awareness und ermöglichen später eine Erfolgsmessung der Awareness-Maßnahmen. Für einen Selbsttest schauen Sie sich doch einmal auf der vom BSI empfohlenen Seite Phish-Test um.

Motivierend

Alle Maßnahmen zur Steigerung der Security Awareness in einem Unternehmen haben das Ziel, die Wahrnehmung von Gefahren zu erhöhen und Verhaltensänderungen zu bewirken. Voraussetzung und damit grundlegende Motivation dafür ist, dass allen Kolleg:innen die wesentlichen Informations-Werte des Unternehmens sowie die Auswirkungen bekannt sind, die ein erfolgreiches Kompromittieren dieser Werte, z. B. durch Cyber-Angriffe, hätte. Organisatorisch würden wir jetzt von einer Risikoanalyse sprechen. Übrigens, diesen Teil der Mitarbeitersensibilisierung sollten Sie nicht in externe Hände geben, die Überzeugungskraft einer internen Darstellung ist in der Regel deutlich höher.

Nicht zuletzt kann die Motivation noch einmal gesteigert werden, indem den Betroffenen bewusstgemacht wird, dass die gegebenen Informationen in hohem Maße auch für den privaten Bereich nützlich sind.

Befähigend

Natürlich müssen die angesprochenen Maßnahmen die Mitarbeiter:innen in die Lage versetzen, Gefahren zu erkennen und Fehler zu vermeiden. Sebastian Richter, Tobias Straub und Carsten Lucke weisen in ihrer Arbeit „Information Security Awareness – eine konzeptionelle Neubetrachtung“ darauf hin, dass Information Security häufig definiert wird als Kenntnis und Verständnis der Mitarbeiter:innen für die Sicherheitsregeln ihrer Organisation. Sie weisen darauf hin, dass in der Psychologie der Begriff Situations-Awareness jedoch grundlegender definiert ist: Die Fähigkeit eines Individuums, sich den Umweltgegebenheiten anzupassen, Veränderungen wahrzunehmen und das Gelernte zu adaptieren.

Wenn Ihre Kolleg:innen die Clean Desk Policy kennen und beachten, ist das gut. Wenn sie ein Bewusstsein dafür entwickeln, dass auf Papier gebannte Information schützenswert sein kann, ist das noch besser. Sie werden, ohne entsprechende Regelung, auch über Informationen im Drucker, im Papierkorb oder im Gepäck nachdenken. Maßnahmen zur Security Awareness sollten also immer auf die zugrundeliegenden Prinzipien abzielen, z. B.: Dateien können Schadsoftware enthalten (übrigens: nicht nur, wenn sie aus unbekannten Quellen stammen); Mails können von anderen Absendern stammen, als angegeben; Login-Seiten können recht einfach und täuschend echt nachgebaut werden.

Wiederholend

Ein einmaliges Unterweisen bei der Einstellung, eine jährliche allgemeine Information, das reicht (möglicherweise) für die Regelkenntnis aus, nicht jedoch für die oben beschriebene Awareness. Informationen sollten, begleitet von den oben erwähnten Simulationen, regelmäßig weitergegeben werden. Ich empfehle ein- bis zweimal jährlich eine Unterweisung mit wechselnden Schwerpunkten, dauerhaft verfügbare Videos zu wichtigen Themengebieten, natürlich das Vorhalten eines aktuellen Regelwerkes und einen monatlichen Blog, Newsletter oder eine Videobotschaft. „Liest eh keiner“? Nun ja, die Botschaft muss eben herausfordernd, motivierend und befähigend sein. Halten Sie die Nachricht kurz, ein monatliches Thema reicht aus. Greifen Sie aktuelle Geschehnisse auf, lassen Sie Kolleg:innen sprechen, verbinden Sie den Artikel mit einem Gewinnspiel.

Fazit

Insgesamt möchte ich mit diesen Hinweisen einmal mehr die Relevanz eines hohen Bewusstseins zur Informationssicherheit betonen. Sicherlich ist es sinnvoll und motivierend, Spezialisten zur Gestaltung einer Informationsveranstaltung einzuladen, die eindrucksvoll eine SMS fehlleiten oder ein WLAN knacken. Die Arbeit der Steigerung des Bewusstseins im Arbeitsalltag hingegen können Sie nur intern abdecken.

Ich wünsche Ihnen allzeit verfügbare, vertrauliche und integre Informationen!

Jetzt beim Newsletter anmelden und keine Artikel verpassen oder auch gern einfach im Archiv stöbern.
Zum ibo-Newsletter – Bleiben Sie immer up to date!

Ich lade Sie herzlich ein, unseren Newsletter im Geiste des Wandels und der Innovation zu studieren. Besuchen Sie auch gern unsere Veranstaltungen und Weiterbildungen, für tiefergehende Inspirationen oder schauen Sie sich unsere Software-Lösungen einmal näher an. Es wird sich lohnen.

Dr. Hans-Georg Stambke
Geschäftsführer

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert