Security-Awareness-Programme erfolgreich durchführen
Eine Vielzahl von Sicherheitsproblemen ist heute direkt oder indirekt auf die Mitarbeiter des eigenen Unternehmens zurückzuführen. Analysen des Marktforschers Experton Group in Deutschland zeigten, dass die Sensibilisierung und Weiterbildung von Mitarbeitern hierzulande zu den Top-10-Herausforderungen in Sachen auf IT-Sicherheit zählt.
Gezielte Security-Awareness-Programme wurden bislang aber primär bei großen Unternehmen aufgesetzt, so die Marktforscher. Solche Programme kämen in der Regel nur zustande, wenn es im Unternehmen einen Sicherheitsverantwortlichen gebe – zum Beispiel einen Chief Information Security Officer (CISO) – der das Vorhaben initiiere und vorantreibe. Außerdem sollte es in ein Informationssicherheitsmanagement (Information Security Management System – ISMS) eingebettet sein.
Grundsätzlich geht es bei einem Security-Awareness-Programm um die Sensibilisierung von Mitarbeitern (IT und Nicht-IT) zu Themen wie Security Policies und Richtlinien, Bedrohungen und Risiken oder die Einhaltung von Regularien. Darüber hinaus nutzen die CISOs das Programm, um die Information-Security-Strategie gegenüber dem Management zu kommunizieren und um dort Unterstützung zu gewinnen.
In der Praxis habe sich gezeigt, dass interaktive Maßnahmen zur Erhöhung des Sicherheitsbewusstseins erfolgreicher seien als eine “Einbahnstraßen-Kommunikation”, hieß es von Andreas Burau, Research Director ICT-Service bei der Experton Group. Interaktive Awareness-Maßnahmen seien etwa Präsenztraining, Einführungstraining für neue Mitarbeiter, Computer-basiertes Training (CBT) oder ein Quiz.
Aber auch weniger aufwändige Maßnahmen wie Newsletter, Intranet, Poster und Giveaways unterstützten das Programm. Generell sollte ein Security-Awareness-Programm demnach mit interessanten Inhalten aufgepeppt sein, zum Beispiel mit Tipps für die Home-PC-Sicherheit.
