Der Artikel ist hier zuerst erschienen: https://www.kes.info/archiv/schlaglichter/schlaglicht/?tx_ttnews%5Byear%5D=2023&tx_ttnews%5Bmonth%5D=05&tx_ttnews%5Bday%5D=15&tx_ttnews%5Btt_news%5D=279&cHash=674686bbf90c45b30f20a1305568e41f
Mit der öffentlichkeitswirksamen Einführung der Datenschutz-Grundverordnung (DSGVO) begann in vielen Unternehmen ein Umdenken. Bemerkbar machten sich vor allem Aufwände zur Katalogisierung von Prozessen zur Sammlung, Verarbeitung und Speicherung von Daten. Unternehmensrichtlinien zum Datenschutz wurden aktualisiert und die Mitarbeitenden mit in die Verantwortung genommen.
Nicht immer führten diese Veränderungen zu nachhaltig veränderten Verhaltensweisen. Menschliches Handeln begünstigt mehr als 80 % aller Cybersicherheits-Vorfälle. Um Verhaltensweisen aus dem gesteigerten Bewusstsein für Datenschutz abzuleiten, bedarf es weiterer Unterstützung und Schulung.
Datenschutz entspricht Kundenschutz. Unternehmen müssen die Daten ihrer Kunden schützen, um den Anforderungen der DSGVO Sorge zu tragen. Kundendaten werden jedoch von Mitarbeitenden genutzt, um Dienstleistungen zu erbringen oder Produkte herzustellen. Die Mitarbeitenden, die diese Daten verwalten und schützen müssen, haben somit eine wichtige Aufgabe.
Ein erhöhter Bedarf an Mitarbeiterschulungen zur Erfüllung dieser Aufgabe ist die Konsequenz hieraus. Security Awareness bedeutet, dass Mitarbeitende durch kontinuierliche Schulungen dazu in der Lage sind, potenzielle Sicherheitsbedrohungen zu erkennen und zu vermeiden, um die IT-Sicherheit und den Schutz von Daten zu unterstützen.
Tatsächlich ergibt sich die Notwendigkeit zur Schulung der Mitarbeitenden auch direkt aus den gesetzlichen Rahmenbedingungen. Gemäß der Datenschutz-Grundverordnung (DSGVO) besteht eine defakto Pflicht zur. Auch der oftmals zur Umsetzung der DSGVO herangezogene ISO 27001 Standard erfordert regelmäßige Security Awareness-Trainings (siehe Anhang 7.2.2 erfordert).
In Deutschland wird die ISO 27001 als Standard für Informationssicherheit von vielen Unternehmen genutzt und auch von der Bundesregierung empfohlen. Unternehmen, die diese Norm einhalten, müssen sicherstellen, dass ihre Mitarbeiter über die Grundsätze der Informationssicherheit und geeignete Maßnahmen zum Schutz von IT-Systemen und -Daten informiert sind. Hierzu gehören auch regelmäßige Schulungen zur Förderung des Sicherheitsbewusstseins.
Der Schutz von Daten und Informationssicherheit ist für Unternehmen von grundlegender Bedeutung. Um diese Ziele zu erreichen, können Unternehmen auf den IT-Grundschutz des BSI zurückgreifen, der durch die BSI-Standards 200-1, 200-2 und 200-3 eine Zertifizierung nach ISO27001 ermöglicht. Wesentliche Bestandteile des IT-Grundschutzes sind die Integration der Mitarbeitenden in den Sicherheitsprozess und die Sensibilisierung und Schulung zur Informationssicherheit. Mitarbeitende spielen eine wichtige Rolle bei der Umsetzung von Sicherheitszielen und -maßnahmen in Unternehmen. Daher ist es entscheidend, dass sie über ein ausreichendes Sicherheitsbewusstsein verfügen und bereit sind, dieses im Arbeitsalltag umzusetzen. Nur so kann eine Sicherheitskultur in der Institution aufgebaut und im Arbeitsalltag gelebt werden.
In einigen Branchen gelten darüber hinaus weitere Rahmenbedingungen. Versicherer gehen beispielsweise dazu über, Security Awareness-Training in ihre Kriterienkataloge aufzunehmen. Der Gesamtverband der deutschen Versicherungswirtschaft (GDV) führt regelmäßige Schulungen in seinem Standard-Katalog für Cyber-Versicherungen auf. Generell taucht das Thema Schulungen als Unterthema in immer mehr Kriterienkatalogen auf, wie man z.B. hier sehen kann. Das Thema gewinnt also auch in der Versicherungsbranche an Bedeutung und eine umso prominentere Positionierung in den Kriterienkatalogen der Versicherer ist zu erwarten. Auf dem amerikanischen Versicherungsmarkt ist das Thema Schulung und Awareness teilweise bereits in den Top 5 Kriterien angekommen. Ein Trend zu weiteren Anforderungen an die Unternehmens- und Sicherheitskultur ist absehbar.
Fazit
Beim Aufsetzen eines Security-Awareness-Programms sollten Unternehmen die folgenden sechs Kernkomponenten eines Programms zur Sensibilisierung für Cybersicherheit beachten:
- Inhalte – Als Menschen bevorzugen wir alle unterschiedliche Arten und Stile von Inhalten. Gehen Sie bei Ihrem Programm nicht nach dem Motto vor, dass es eine Einheitsgröße für alle gibt. Passen Sie die verschiedenen Inhaltstypen an die verschiedenen Rollen in Ihrem Unternehmen an.
- Unterstützung und Planung für Führungskräfte – Materialien, die Ihnen dabei helfen, den Wert des Programms gegenüber Ihrem Führungsteam zu beweisen und auch den Prüfern/Regulierungsbehörden zu zeigen, dass Sie das Richtige tun.
- Materialien zur Unterstützung von Kampagnen – Ein erfolgreiches Programm sollte nicht einmalig sein, sondern als Marketingmaßnahme behandelt werden. Eine einmal im Jahr durchgeführte Schulung, bei der nur ein Häkchen gesetzt wird, wird nicht dazu beitragen, das Verhalten der Benutzer zu ändern. Die kontinuierliche Präsentation der Informationen auf unterschiedliche Weise, wenn sie mit ihrem Lebenskontext übereinstimmt, wird ihre Entscheidungen beeinflussen und es den Nutzern leichter machen, klügere Entscheidungen zu treffen.
- Testen – Die Mitarbeiter müssen in eine Situation gebracht werden, in der sie eine Entscheidung treffen müssen, die darüber entscheidet, ob das Unternehmen Opfer eines Angriffs wird oder nicht. Bei Phishing-Simulationen werden die Mitarbeiter aufgefordert, entweder auf einen Link zu klicken, den Phish zu melden oder nichts zu tun. Sie möchten ihnen die Möglichkeit geben, Phishing-Versuche zu melden und die Widerstandsfähigkeit des Unternehmens zu erhöhen. Wenn sie auf den Phishing-Versuch hereinfallen, sollten Sie die Möglichkeit haben, sofort eine Schulung durchzuführen, um einen Lernmoment zu schaffen. Nichts zu tun ist nicht ideal, da die potenzielle Bedrohung bestehen bleibt und andere im Unternehmen die Möglichkeit haben, darauf hereinzufallen.
- Metriken und Berichte – Sie müssen in der Lage sein, nachzuweisen, dass Sie Sicherheitslücken schließen. Berichte sind auch nützlich, um Kampagnen auf der Grundlage früherer Ergebnisse zu optimieren. Sie müssen sehen können, was gut funktioniert und was verbessert werden kann.
- Umfragen/Bewertungen – Diese Art von Instrumenten kann Ihnen helfen, die Einstellungen Ihrer Organisation zu verstehen und herauszufinden, wie gut Ihr Programm bei Ihren Mitarbeitern ankommt, damit Sie es anpassen können. Betrachten Sie sie als eine Art Pulskontrolle für subtile Nuancen, die sich von Kennzahlen/Berichten unterscheiden, wie z. B. Meinungen, Gemütszustände usw.