Frank Lutter, Abteilungsleiter IT-Management, Volksbank Bigge-Lenne eG
Es ist der Mensch, der einen Hauptangriffspunkt von z. B. Cyber-Angriffen darstellt. So belegt eine Studie, dass fast 80 % aller IT-Sicherheitsvorfälle durch aufmerksame Mitarbeiter hätten vermieden werden können. Doch mit welchen Schulungsmaßnahmen kommen wir in die Köpfe der Menschen?
Zunächst sollte den Benutzern bewusst werden, dass IT-Sicherheit nicht nur auf die Abwehr von externen Angriffen ausgerichtet ist. Es geht vielmehr um den ganzheitlichen Ansatz, Informationstechnologie aus dem Blickwinkel der Geschäftsprozesse zu sehen. Allein aus dieser These wird klar, dass IT-Sicherheit alle angeht. So kann jeder Mitarbeiter prüfen, ob z. B. die Strom- bzw. Netzwerkdosen optisch noch OK sind. Wird der Bildschirm beim Verlassen des Arbeitsplatzes gesperrt?
Den Mitarbeitern sollte eine positive Grundhaltung zur IT-Sicherheit vermittelt werden. Zielführend ist die Erläuterung der Schutzziele bezogen auf die persönliche Arbeitsumgebung der Mitarbeiter. Was wird für den Prozess an Technik benötigt und ist diese auch in Ordnung und verfügbar?
Bei der Sensibilisierung ist der Bezug auf die private IT-Nutzung ein „Türöffner“. So kann z. B. die grundsätzliche Strategie von Internetbetrügern und deren Vorgehensweise auf das private IT-Umfeld projiziert werden. Die Aufgabe besteht darin, Nutzer für das Thema Internetbetrug und die Tatsache, dass jeder Ziel dieser Angriffe sein kann, zu sensibilisieren, um ihre bewusste Wahrnehmung gegenüber dieser Gefahr zu stärken und ihre Aufmerksamkeit auf die Folgen zu lenken.
Neben dem persönlichen Vortrag/Gespräch bieten Videosequenzen zu einzelnen Themen (z. B. „Mein Passwort“, „IT-Netzwerk im Unternehmen“; „Sicherer Arbeitsplatz“; „Social Engineering“, usw.) eine interaktive Möglichkeit der Mitarbeiterschulung. Akademien der Verbände bieten solche Lehrfilme an.
Maßnahmen, die aus erkannten Risiken hervorgehen, sollten nach Möglichkeit mit den betroffenen Usern gemeinsam ausgearbeitet werden. Der IT-Sicherheitsbeauftragte fungiert hier eher als Moderator mit Blick auf die IT-Strategie und deren Schutzziele: Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität. Eine praktikable und erfolgsversprechende Herangehensweise wäre:
- Problem definieren
- Auswirkung des Problems erläutern
- Ursachen erfragen/erforschen
- Lösungen erarbeiten
- Auswirkung der Lösungen besprechen
Bei den Punkten eins und zwei ist der Moderationsanteil des IT-Sicherheitsbeauftragten sehr hoch. Bei der Ursachenforschung geht der Redeanteil langsam auf die Mitarbeiter über.
Regelmäßige Newsletter mit Bezug auf das persönliche IT-Umfeld können Schulungsmaßnahmen abrunden. Sie ersetzen aber keinesfalls das persönliche Gespräch.
Diese Security Awareness-Maßnahmen (Wissen vermitteln, positive Emotionen erzeugen und motivieren) sind erfolgreich, wenn sie in einem 3-Phasen-Kreislauf angewandt werden:
Phase 1: Wachrütteln (z. B. selbsterstellte Phishing-Testmail an die Belegschaft senden).
Phase 2: Wissensvermittlung (wie erkennt man z. B. den tatsächlichen Link der Phishing-Mail?).
Phase 3: Nachhaltigkeit (z. B. Newsletter und Add-Hoc-Meldungen über aktuelle Phishing-Mails).
Weitere Informationen zu Security Awareness-Maßnahmen findet man auch auf den Internetseiten des BSI in der Maßnahme „M 3.5 Schulungen zu Sicherheitsmaßnahmen“.
PRAXISTIPPS
- Um Mitarbeiter für das Thema IT-Sicherheit zu gewinnen, reichen schriftliche Anweisungen allein nicht aus. Sie wirken bei den Mitarbeitern eher negativ – als Verbot. Vielmehr sollte ein IT-Sicherheitsbeauftragter nah bei den Kolleginnen und Kollegen sein.
- Durch persönliche, wiederholte Ansprachen und in Workshops können die Inhalte von Arbeitsanweisungen besser in den Köpfen verankert werden.
- Maßnahmen bei Sicherheitsvorfällen sollten zusammen mit den betroffenen Mitarbeitern erarbeitet werden, um deren Akzeptanz in der Umsetzung zu erhöhen.
Beitragsnummer: 388