IT-Sicherheitstraining

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Das Risiko sitzt vor dem Rechner

Florian Strohmaier, MittelstandsWiki

Von Uli Ries

Von Mitarbeitern verursachte Fehler lösen laut Jon Ramsey von Dell über die Hälfte aller Sicherheitsprobleme in der IT aus. Geübte und geschulte Mitarbeiter, sagt Ramsey, sind darum das beste Mittel gegen kriminelle Hacker. Er fordert: „Es ist an der Zeit, dass Menschen mehr Verantwortung für die Sicherheit von Informationen übernehmen, mit denen sie jeden Tag arbeiten.“

Die Zahlen geben ihm recht: In Unternehmen, deren Beschäftigte ein Awareness-Programm absolviert haben, kommt es nur zu halb so vielen Sicherheitsvorfällen durch Mitarbeiter wie in anderen Organisationen. Auch wenn sich diese Risiken auf diese Weise nicht komplett eliminieren lassen – es sind nur wenige Maßnahmen ähnlich kosteneffektiv wie ein IT-Sicherheitstraining.

Wer ertappt das Testphantom?

Ähnliche Ansichten vertritt auch die PSW-Group. Sie kritisiert, dass man vorrangig die Technik betrachte, wenn es um IT-Sicherheit geht – Firewalls, Virenschutzsysteme und verschlüsselte Kommunikationswege. Die Mitarbeiter, die das IT-System bedienen, müssen ebenfalls sensibilisiert werden, fordert PSW. Jeder technische Schutz habe ohne Mitarbeiterkompetenz nur wenig Wert. Sensibilisierung heißt: Betroffene müssen zu Beteiligten werden.

PSW nennt als ein gutes Beispiel für eine gelungene Sensibilisierungskampagne Microsoft Deutschland. Das Unternehmen startete eine Undercover-Security-Awareness-Kampagne unter dem Titel „Microsoft jagt das Phantom“: Ein Dienstleister ritt insgesamt fünf verschiedene Angriffe – vom unerlaubten Zutritt ins Gebäude bis hin zum per Social Engineering erschlichenen Passwort –, die von den zuvor grob informierten Mitarbeitern abzuwehren waren. Das Fazit: Die Informationssicherheit bei Microsoft verbesserte sich messbar. Läuft diese Sensibilisierung kontinuierlich weiter, ist ihr der Erfolg sicher, so PSW.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Fazit: Sensibilisierung auf Dauer

Drei Schritte führen den Fachleuten zufolge zu einer stärkeren Sensibilisierung:

  1. Eine Ist-Analyse, die das aktuelle Niveau und Datenschutzbewusstsein der Mitarbeiter festhält. Dabei sollte jeder Mitarbeiter einbezogen werden und auf sein Sicherheitsbewusstsein geprüft werden.
  2. Den Willen wecken – Informationssicherheit und Datenschutz greifen häufig tief in den Arbeitsalltag ein. Wird jeder Mitarbeiter dabei integriert, fördert dies die Sicht auf Risiken und Bedrohungen. „Jeder Mitarbeiter kann zum Sicherheitsrisiko oder zur Sicherheitschance werden“, betont PSW.
  3. Für Nachhaltigkeit sorgen – Sicherheit und Datenschutz müssen sich den Bedingungen des Unternehmens laufend anpassen. Sicherheit ist ein Prozess. Nachhaltige Sicherheitskonzepte müssen für Mitarbeiter sichtbar, nachvollziehbar und Bestandteil ihres Arbeitsalltags werden. Es geht nicht darum, lästige Vorschriften einzuhalten oder den persönlichen Handlungsspielraum einzuschränken, sondern darum, Sicherheit in der Praxis anzuwenden.


MittelstandsWiki 16.jpg
Schwarz auf weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2015. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Unternehmen sollten für Sicherheitsfragen am besten einen oder mehrere feste Ansprechpartner benennen. Und: Falls es bereits zu Sicherheitsrisiken oder -problemen gekommen ist, sollten diese möglichst konkret benannt werden. Nur so werden abstrakte Bedrohungsszenarien konkret greifbar.

Nützliche Links