Security Awareness – der Faktor Mensch zwischen technischen Lösungen
Von Udo Adlmanninger, Secaron AG in München
Die Secaron AG, eine Unternehmensberatung für Informationssicherheit, stellt in Projekten oft fest, dass Unternehmen Informationen mit technischen Lösungen sichern. Die Sensibilisierung der Mitarbeiter für Sicherheitsaspekte wird aber oft vernachlässigt. Es bleibt also neben bereits eingesetzten Sicherheitsmaßnahmen die Aufgabe, allen Beteiligten klar zu machen, dass die Informationssicherheit wichtig ist und welchen Beitrag sie, als Person, in ihrer Rolle leisten können. Ziel muss dabei eine Sicherheitskultur sein, die Einzug in alle relevanten Prozesse des Unternehmens findet. Als Ausdrucksform der Kultur sind dabei die Kommunikation, das Verhalten der Führungskräfte und Mitarbeiter, die Strukturen (Organisationsform und Führungsinstrumente) und soziale Ereignisse (Veranstaltungen neben der täglichen Arbeit) gemeint.
> Wie kann man eine solche Sicherheitskultur schaffen und wie kann Nachhaltigkeit generiert werden?
Zuerst muss klar definiert werden, welche Ziele verfolgt werden und was die Motivation eines Schulungs- und Awarenessprogrammes ist. Dabei folgt ein solches Schulungs- und Awarenessprogramm zum Thema IT-Sicherheit prinzipiell 3 Phasen. Zu Beginn muss die Aufmerksamkeit der Mitarbeiter gewonnen werden und eine Motivation durch die Unternehmensleitung erfolgen. In der Phase 2 geht es um die eigentliche Wissensvermittlung, also darum, was sollen die Mitarbeiter in ihrer täglichen Arbeit beachten. In der letzten Phase geht es darum, vermitteltes Wissen in die täglichen Aufgaben zu integrieren. Kern eines Security Schulungs- und Awarenessprogrammes sind folgende 3 Dimensionen:
1) Zielgruppen
2) Methoden
3) Inhalte
> Wie können die einzelnen Mitarbeiter des Unternehmens in Gruppen zugeordnet werden?
Ziel ist es, jeder Gruppe genau die Informationen zu vermitteln, die sie für die tägliche Arbeit benötigt. Wie lassen sich aber die Gruppen fi nden? Einerseits gibt es Gruppen, die sich aufgrund ihrer speziellen Tätigkeiten anbieten, wie z.B. Führungskräfte, da diese auf ihre Mitarbeiter auch zum Thema Sicherheit einwirken (Sicherheit als Zielvorgabe in den Mitarbeiter-Gesprächen) können oder Administratoren, da diese neben den allgemeinen Sicherheitsanforderungen für alle Mitarbeiter noch höhere Anforderungen erfüllen müssen (z.B. bei der Vergabe von Berechtigungen). Andererseits ist es sinnvoll, Multiplikatoren zu fi nden, die wiederum andere Mitarbeiter schulen. Multiplikatoren können spezielle Personen sein, die sicherheitsaffin sind, z.B. Projektleiter, die Sicherheit im Rahmen ihrer Projekte adressieren und damit die Projektmitglieder beeinflussen, oder Auszubildende, die dafür gewonnen werden können, insbesondere Awarenesskampagnen zu gestalten. Dies ist sinnvoll, da unterschiedliche Altersgruppen auch unterschiedlich angesprochen werden müssen. Auszubildende werden bei solchen Projekten sehr motiviert und entwickeln daher sehr gute Ideen.
> Welche Themen sollen grundsätzlich vermittelt werden?
Prinzipiell können sich die Schulungsthemen an den internen Richtlinien orientieren. Diese sind in der Regel themen- oder zielgruppenorientiert geschnitten und bieten sich deshalb an. Dabei sollte ein Grundgerüst gebaut werden, das für alle Mitarbeiter im Unternehmen passt und zusätzliche Module, die eine Vertiefung für spezielle Zielgruppen ermöglichen. Die Informationen für alle Mitarbeiter lassen sich knapp halten und werden im Rahmen eines illustrierten Heftes zusammengefasst. Die Inhalte dieses Heftes sind die wichtigsten Grundregeln für die Informationssicherheit. Sehr wichtig ist es, darauf hinzuweisen, was bei Sicherheitsvorfällen zu tun ist und wer zu benachrichtigen ist. Denn nur die richtige Verhaltensweise bei einem Vorfall kann eine schnelle und korrekte Reaktion der Verantwortlichen bewirken. > >Wie werden die Themen den einzelnen Zielgruppen vermittelt?
Es ist wichtig, Methoden zu definieren, die möglichst alle Lerntypen ansprechen. Dabei müssen aktive (der Mitarbeiter wird selbst aktiv) und passive (dem Mitarbeiter werden Inhalte vermittelt) Methoden kombiniert werden. Ein Großteil der Personen wird durch aktive Methoden eher angesprochen und zu einer Verhaltensänderung angehalten als durch passive Methoden. Ein zweiter wichtiger Punkt ist, Methoden zu verwenden, die ein Feedback ermöglichen. Dies wird tendenziell auch eher bei aktiven Methoden der Fall sein. Das bietet zudem den Vorteil, dass Missverständnisse sofort ausgeräumt werden können. Eine Auswahl an Methoden und deren Vor- und Nachteile ist in der nebenstehenden Tabelle ersichtlich.
> Beispiel eines Schulungs- und Awarenessprogrammes
In der Phase 1 ist es zunächst wichtig, dass die Unternehmensleitung die Kampagne unterstützt. Dies muss sie öffentlich darstellen, damit als Vorbild fungieren und das Thema Security Awareness als wichtiges Ziel des Unternehmens adressieren. Idealerweise erfolgt dies im Rahmen einer Kick-off Veranstaltung für alle Mitarbeiter des Unternehmens. Dabei werden die Verantwortlichen für die Umsetzung ebenfalls vorgestellt, damit das abstrakte Thema Security Awareness ein "Gesicht" erhält. Danach werden, wie oben dargestellt, die Zielgruppen, die zu vermittelnden Inhalte und die zu verwendenden Methoden definiert. In der Phase 2 werden die zuvor definierten Inhalte mit den ausgewählten Methoden an die Zielgruppen vermittelt. Um eine Kontrolle darüber zu haben, was bei den Personen angekommen ist bzw. welche Inhalte sie behalten haben, sollte dies beispielsweise im Rahmen eines Gewinnspieles überprüft werden. Dies bietet den Vorteil, zu wissen, welche Schwerpunkte bei welchem Personenkreis angekommen sind und ermöglicht eine Anpassung der Inhalte und Methoden, um den größtmöglichen Nutzen zu erzielen. In der Phase 3 können mit ausgewählten Aktionen Schulungsinhalte vertieft und langfristig eine Verhaltensänderung bewirkt werden. Aufhänger dazu können Sicherheitsvorfälle sein, die eingetreten sind oder aktuelle Vorkommnisse, die durch die Presse gingen. Eine Verstärkung kann auch dadurch erreicht werden, dass das Thema Informationssicherheit mit einem Logo oder Maskottchen versehen wird. Somit bewirkt das Logo sofort eine Assoziation mit dem Thema, ohne dass es näher erklärt werden muss.
>Fazit
Wichtig für ein Awarenessprogramm ist neben der Unterstützung der Unternehmensleitung vor allem die Auswahl der richtigen Methoden zur Wissensvermittlung und zur Verstärkung des gewünschten Verhaltens. Die Methoden müssen dabei zur Kultur des Unternehmens und zu den Mitarbeitern passen. Ist dies nicht der Fall, so kann es passieren, dass die Mitarbeiter es als zu ernst oder zu spaßig betrachten. Ein Awarenessprogramm ist als dauerhafter Prozess zu verstehen, Einzelaktionen werden bestenfalls kurzfristig Verhaltensänderungen bewirken, aber danach ihre Wirksamkeit wieder verlieren. Langfristiges Ziel muss es sein, die Informationssicherheit in die Kultur des Unternehmens zu integrieren.