In der heutigen digitalen Welt, in der Technologie allgegenwärtig ist, können Unternehmen auf zahlreiche Tools und Plattformen zurückgreifen, um ihre Arbeit effektiver und effizienter zu gestalten. Eines dieser Tools ist ChatGPT, ein großes Sprachmodell, das von OpenAI entwickelt wurde und in den letzten Monaten viel Aufmerksamkeit bekommen hat. Das ist ein leistungsfähiges Instrument, das sich auch in der Arbeitswelt rasant verbreitet hat. Es ist jedoch wichtig, dass Mitarbeiter sich bewusst sind, dass sie keine Firmeninternas oder -geheimnisse bei ChatGPT posten dürfen.

Warum?

Der Grund dafür ist einfach: ChatGPT ist ein Tool von Drittanbietern, das nicht direkt lokal kontrolliert wird. Obwohl ChatGPT eine künstliche Intelligenz ist, die lernen kann, indem sie mit Benutzern interagiert, hat sie kein Konzept von Geheimhaltung oder Vertraulichkeit. Wenn Sie also vertrauliche Informationen oder Firmengeheimnisse bei ChatGPT posten, besteht die Möglichkeit, dass diese Informationen von unbefugten Personen abgerufen werden können.
Die Sicherheit und Vertraulichkeit von Informationen ist von entscheidender Bedeutung für Unternehmen. Eine Veröffentlichung von Informationen, die geschützt sein sollten, kann schwerwiegende Folgen haben, einschließlich der Verletzung von Verträgen, die rechtliche Schritte oder sogar den Verlust des Vertrauens der Kunden nach sich ziehen kann. Aus diesem Grund ist es ratsam, keine vertraulichen Informationen oder Firmengeheimnisse bei ChatGPT zu posten. Je größer der gepostete Inhalt ist, desto wahrscheinlicher ist es, dass er interne Daten beinhaltet. Eine vorherige, grundlegende Säuberung ist deshalb essenziell.

Was sollten Firmen bei der Nutzung von ChatGPT beachten?

Generell sollten Unternehmen eine Strategie entwickeln, ob und wie sie mit diesen neuen Werkzeugen umgehen. Oft ist dem einzelnen Mitarbeiter gar nicht bewusst, dass es sich um externe Tools handelt und es zu unterschiedlichen Verstößen, inkl. solcher gegen die DS-GVO führen kann. Mitarbeiter sollten primär interne Tools oder Plattformen nutzen, die von ihrem Unternehmen kontrolliert werden, um ihre vertraulichen Informationen sicher zu teilen. Diese internen Plattformen können speziell auf die Bedürfnisse und Anforderungen des Unternehmens zugeschnitten werden und sind somit sicherer als Tools von Drittanbietern wie ChatGPT.

Zur Information: Italien sperrt ChatGPT

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Auch beim Datenschutz am Arbeitsplatz gilt: personenbezogene Daten der Mitarbeiter dürfen nur erhoben, verarbeitet oder genutzt werden, wenn eine rechtliche Grundlage vorliegt bzw. wenn der Betroffene dem Vorgang eindeutig zugestimmt hat. Aber was bedeutet das jetzt für den Arbeitgeber? Und hat der Mitarbeiter auch Pflichten, die zu beachten sind?

In unserer Folge „Mitarbeiterdatenschutz“ gehen wir auf folgende Aspekte ein:

  • Welche personenbezogenen Daten dürfen / müssen Arbeitgeber erheben?
  • Welche Daten bedürfen der Zustimmung und wie sollte diese Zustimmung eingeholt werden?
  • Was muss bei der Verarbeitung / Nutzung dieser Daten beachtet werden?
  • Themenschwerpunkte: Mitarbeiterfotos, Bewerber, Löschkonzept

Hier ein Paar Links zum Thema Mitarbeiterdatenschutz:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Die durch das IT-SiG 2.0 und EnBW geforderte Einführung von Systeme n zur Angriffserkennung (SzA) führt neben den eigentlichen technischen Anforderungen auch zu vielen organisatorischen Maßnahmen.

Die Schaffung der organisatorischen Rahmenbedingungen für die Protokollierung, Detektion und Reaktion auf Ereignisse gehört genauso dazu, wie die Planung und Sicherstellung von technischen, finanziellen und personellen Ressourcen. Eine Planung der Protokollierung sollte zum Beispiel durch eine schrittweise Vorgehensweise, basierend auf einer Risikoanalyse und unter Einbeziehung der kritischen Geschäftsprozesse, umgesetzt werden.

Weiterhin stehen strategische Entscheidungen an: Gibt die derzeitige IT-Infrastruktur eine OnPremise Lösung her? Muss die Infrastruktur vergrößert werden, um die Datenmengen, die durch das Logging und die Auswertung anfallen, aufzunehmen oder wird eine Cloudlösung präferiert?
Vielleicht wird auch entschieden, diese Aufgaben an einen Dienstleister auszulagern, weil es sowohl an personellen als auch an technischen Ressourcen mangelt.

Mit Blick auf das Personal stehen organisatorische Maßnahmen an. Es muss ein Verantwortlicher benannt werden, der die Auswertung der Protokoll- und Protokollierungsdaten übernimmt. Mitarbeiter, die in der Detektion eingesetzt werden, müssen festgelegt und geschult werden. Hierbei ist dem BSI wichtig, dass die Auswertung für das Personal Priorität vor eventuell anderen Tätigkeitsfeldern haben muss.

Bei allen Anforderungen für Systeme zur Angriffserkennung darf auch ein Blick auf weitergehende gesetzliche oder regulatorische Anforderungen an die Protokollierung nicht ausbleiben. Gerade bei der Protokollierung von personenbezogenen Daten darf die DS-GVO nicht außer Acht gelassen werden. Bei der Planung sollte daher frühzeitig mit einem Datenschutzspezialisten zusammengearbeitet und – wenn vorhanden – der Betriebsrat informiert werden.

Zum Thema Systeme zur Angriffserkennung:

Unsere Beratungsleistungen zum Thema SzA im Überblick (PDF)

Orientierungshilfe des BSI (PDF)

Im letzten Teil dieser Artikel-Serie haben wir uns mit den Pflichten des Verantwortlichen beschäftigt. In diesem Artikel soll es um die Pflichten als Auftragsverarbeiter gehen.

Im Anhang A der ISO 27701:2021 werden die Referenzmaßnahmenziele und -maßnahmen (Controls) definiert, die speziell für Verantwortliche im Sinne des Datenschutzes gedacht sind. Sie dienen der Erfüllung der Pflichten des Verantwortlichen, gelten also für jede Organisation, die personenbezogene Daten verarbeitet. In diesem Artikel wollen wir uns nun dem Anhang B widmen, der Controls für Auftragsverarbeiter spezifiziert.

Pflichten als Auftragsverarbeiter

Auftragsverarbeiter haben datenschutzrechtliche Pflichten zu beachten. Diese ergeben sich u.a. aus dem Vertrag zur Auftragsverarbeitung, sind also mit dem Auftraggeber vereinbart. Der Anhang B der ISO 27701:2021 deckt diesen Bereich ab. Er gliedert sich in vier Abschnitte: B8.2 bis B8.5. Behandelt werden die Bedingungen für die Erhebung und Verarbeitung, Verpflichtungen gegenüber betroffenen Personen, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen sowie die Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Die Struktur ist also analog zu der im Anhang A.

Viele Unternehmen sind Auftragsverarbeiter im datenschutzrechtlichen Sinne, auch wenn sie sich nicht klassisch als solche fühlen. Häufig kommt man als Dienstleister mit personenbezogenen Daten seiner Kunden “in Berührung”, was datenschutzrechtlich häufig als Auftragsverarbeitung zu werten wäre. Zu prüfen wäre auf alle Fälle auch, ob es sich statt um eine klassische Auftragsverarbeitung um eine gemeinsame Verantwortung im Sinne des Art. 26 der DSGVO handelt (siehe auch A.7.2.7 der ISO 27701:2021). Aber das soll heute nicht das Thema sein. Wir gehen im Folgenden vom Fall der klassischen Auftragsverarbeitung aus.

Bedingungen für die Erhebung und Verarbeitung

B.8.2 beschreibt 6 Controls zu den Bedingungen für die Erhebung und Verarbeitung personenbezogener Daten. Hier geht es um das Vertragsverhältnis zum Auftraggeber. Es muss u.a. sichergestellt werden, dass die personenbezogenen Daten nur zu den vereinbarten Zwecken verwendet werden. Besondere Aufmerksamkeit wird der Verwendung zu Marketingzwecken geschenkt. Auch die Frage der zur Verfügungstellung von Informationen für den Auftraggeber wird adressiert.

Verpflichtungen gegenüber betroffenen Personen

B.8.3 widmet sich gesondert der Pflicht, dem Auftraggeber zur Erfüllung seiner datenschutzrechtlichen Verpflichtungen die notwendigen Mittel bereitzustellen.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

B.8.4 beschreibt 3 Controls zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, beschäftigt sich also mit den Themen Privacy by Default und Privacy by Design. Adressiert werden unter diesem Gesichtspunkt die Themenbereiche temporäre Dateien, die Rückgabe, Übertragung oder Entsorgung von personenbezogenen Daten sowie Maßnahmen zur Übertragung personenbezogener Daten.

Pflichten des Auftragsverarbeiters zu Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten

B.8.5 beschreibt 8 Controls zur Weitergabe, Übertragung und Offenlegung von personenbezogenen Daten. Dieser Bereich ist für Auftraggeber besonders wichtig, da es sich bei den personenbezogenen Daten eben nicht um Daten handelt, für die er selbst Verantwortlicher ist, sondern der Auftraggeber. Daher müssen die Bedingungen, unter denen z.B. Behörden diese Daten offengelegt werden (müssen), gut geregelt sein.

Weiterhin wird der Bereich der Übermittlung in Drittstaaten adressiert.

Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“

In unserem Seminar „Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren“ betrachten wir den Aufbau der ISO 27701. Wir zeigen, wie der Datenschutz in ein bestehendes ISMS nach ISO 27001 integriert werden kann bzw. wie der Datenschutz beim Aufbau eines ISMS als integraler Bestandteil gleich berücksichtigt wird.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Kaum ein Unternehmen kommt heutzutage noch ohne eine eigenen Internetpräsenz aus. Aber, wie sollte es auch anders sein, darf man auch bei Webseiten den Datenschutz nicht aus den Augen verlieren.

In unserer Folge „Cookiebanner & Co. – was bei Webseiten aus Datenschutzsicht zu beachten ist“ gehen wir auf folgende Aspekte ein:

  • TTDSG und TMD
  • Impressum, Datenschutzerklärung
  • Stolperfalle Cookiebanner
  • Problematik Google Fonts

Hier ein Paar Links zum Thema Datenschutz auf Webseiten:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

JETZT GIBT’S AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Das Jahr 2022 war auch aus Datenschutz- und Informationssicherheitssicht kein ruhiges Jahr. Neue Beschlüsse, geänderte Gesetze und aktualisierte Normen werfen ihre Schatten auf 2023. Im Datenschutz ist weiterhin die Zusammenarbeit mit Drittstaaten ein großes Thema, in der Informationssicherheit stellen die aktualisierten Normen ISO 27001 und 27002 die Unternehmen vor neue Herausforderungen.

In unserer Folge “Jahresrückblick“ gehen wir auf folgende Aspekte ein:

  • TTDSG und Privacy Shield
  • Aktuelles zu Micosoft und Google Fonts
  • Zertifizierung im Datenschutz
  • Die neue ISO 27001 und 27002
  • IT-SiG 2.0, NIS 2 und TISAX

Hier ein Paar Links zum Thema MS Office 365 und die ISO 2700x:

Alle unsere Podcastfolgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Nach zwei Jahren der Pandemie kann man schon einmal Bilanz ziehen: Was hat gut geklappt, und an welchen Stellen muss noch nachgebessert werden? Von einem pragmatischen Standpunkt und rein aus der Funktionalität heraus ist das Arbeiten im Home-Office für viele von uns zur neuen Normalität geworden. Allerdings ist das noch lange kein Anlass, sich auf dem Erreichten auszuruhen.

Wie wir in einem vorherigen Beitrag bereits angedeutet hatten, müssen neben den technischen Fragestellungen auch viele rechtliche, organisatorische, methodische und auch psychologische Fragestellungen beantwortet werden, bevor man wirklich von einem sicheren und datenschutzkonformen Arbeiten im Home-Office sprechen kann.

So sind beispielsweise Regelungen für das Drucken im Home-Office durchaus notwendig – und dabei geht es nicht voranging um die Kosten für Papier oder Druckertinte, es geht vielmehr um die Details des Drumherum. Darf ich rein formal überhaupt mein privates Equipment für dienstliche Zwecke nutzen, oder besteht ein Verbot des Arbeitgebers? Und wenn ich es darf – ist es mir technisch möglich, den passenden Druckertreiber zu installieren? Speichert der Drucker vielleicht den Dokumenteninhalt langfristig? Wie soll ich die Ausdrucke im Home-Office lagern, damit auch Familienmitglieder oder gar Besucher keinen Einblick erhalten können? Habe ich eine sichere Transportmöglichkeit, um die Ausdrucke bei Nichtgebrauch in der Firma sicher entsorgen zu können? Oder ist es akzeptabel, wenn ich stattdessen den privaten Shredder zur Vernichtung benutze? Schon so einfache Fragen wie die nach dem Drucken im Home-Office erzeugen einen weitreichenden Klärungsbedarf – und diese Fragen müssen geklärt werden, weil die angesprochenen Lücken ansonsten offen bleiben.

Auch weniger technische Aspekte wie z.B. die Einbindung aller Beteiligten in die innerbetrieblichen Informationsflüsse, das Aufrechterhalten des Austauschs mit den Kollegen und viele weitere Punkte müssen umgesetzt sein, damit das Arbeiten außerhalb der betrieblichen Räumlichkeiten zu einem Erfolgsmodell wird, ohne das bestehende Sicherheitsniveau zu gefährden. Denn durch diese neue Normalität kommen auch neue Gefährdungen der Informationssicherheit hinzu.

So ist es z.B. durchaus nachvollziehbar, dass man sich in seinen eigenen vier Wänden sicher fühlt, und dadurch leider unvorsichtiger wird – und schon öffnet man eine angebliche Mail von einem IT-Dienstleister, in der die Vergrößerung des Postfachs angeboten wird. Im dienstlichen Umfeld dagegen hätte man diese Mail vielleicht als Phishingversuch erkannt, z.B. durch einen kurzen Gedankenaustausch mit dem Kollegen gegenüber.

Nun ist das Home-Office sicher keine neue Erfindung. Einige Anregungen zur sicheren und datenschutzkonformen Gestaltung des Arbeitens im Home-Office finden sich bereits in etablierten Normen und Standards, wie z.B. dem „IT-Grundschutz“ des BSI oder in der ISO 27001.

Wünschen Sie sich, sich mit Anderen darüber auszutauschen? Dann ist eventuell unser eintägiges Seminar für Sie interessant. In dem zeigen wir thematisch breit, aber trotzdem praxisorientiert, wie das Arbeiten im Home-Office sinnvoll, sicher und datenschutzkonform organisiert werden kann!

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den bisherigen Artikeln (Teil1 und Teil2) hatten wir gezeigt, wieso es einer Behandlung der „Schwachstelle Mensch“ bedarf und warum es notwendig ist, diese Behandlung nicht als einzelne Maßnahme zu sehen, sondern vielmehr als langfristiges und systematisches Konzept, mit dem eine Änderung im Verhalten hin zu einem nachhaltig sicheren Agieren erreicht werden soll.

Solch ein Konzept benötigt einige Ressourcen – der zeitliche Aufwand für die Organisation einer einzelnen Veranstaltung ist dabei die offensichtlichste, aber bei weitem nicht die einzige Komponente. Hinzu kommen Überlegungen zu den Inhalten der Veranstaltung: Welche Ziele hinsichtlich Informationssicherheit sollen erreicht werden? Welche Darbietungsform ist hierfür optimal? Und wie soll die gewählte Darbietungsform mit den konkreten Inhalten gefüllt werden? Weiterhin muss natürlich auch der Zeitaufwand der Teilnehmer mit eingeplant werden. Kleine Erinnerung an Teil 1: eLearning kann den Zeitrahmen für die Teilnehmer deutlich entzerren, wenn es denn inhaltlich zum Thema passt!

Zu der Formulierung von Zielen für Awareness-Maßnahmen gehört ebenso die Überlegung, wie die Erreichung dieser Ziele überprüft werden soll. Die Überprüfung kann dabei auf sehr verschiedene Arten erfolgen – so könnte z.B. das eLearning mit einem kleinen Online-Test abgeschlossen werden. Aber auch andere Messverfahren sind denkbar, wie die Auswertung von Kennzahlen (z.B. ein Vergleich von gemeldeten Spammails vor und nach der Schulung), Umfragen, Quiz …

Unterlagen und Redner

Zur Ressourcenplanung gehören noch weitere Fragestellungen, wie z.B. die Auswahl von passenden Schulungsunterlagen. Hier gibt es grundsätzlich zwei Möglichkeiten: selber anfertigen oder von externen Anbietern einkaufen. Beide Varianten haben dabei ihre spezifischen Vor- und Nachteile. So hat man bei selbst erstellten Unterlagen einen größeren Einfluss auf Gestaltung, Inhalte, unternehmensspezifisches Aussehen und die ganz speziellen, eigenen Abläufe. Andererseits fehlt bei diesem Vorgehen oftmals der hilfreiche, zusätzliche Blick eines Außenstehenden, der sowohl in die Gestaltung als auch bei den Inhalten eine frische, neue Sichtweise liefern kann.

Und noch eine Frage stellt sich: Wer soll es machen? Auch hier können beide Varianten gut funktionieren – der kompetente, interessante externe Experte oder Trainer, der ein Sachthema spannend darbieten kann, oder ein interner Mitarbeiter, der vielleicht das Thema Awareness langfristig betreut und die konkreten Prozesse im Unternehmen gut kennt. Auch der Informationssicherheitsbeauftragte (ISB) kann oftmals in den Veranstaltungen als Vortragender agieren – schließlich ist die Informationssicherheit Kerntätigkeit des ISB, d.h. er wird auch inhaltlichen Rückfragen gut beantworten können. Genaugenommen muss man sich nur eine Frage beantworten: Kann und will ich in solchen Veranstaltungen als Vortragender auftreten?

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

In den bisherigen Artikeln zum sicheren Arbeiten im Home Office wurde deutlich, dass die breite Nutzung von Home Office auch als Türöffner für die Digitalisierung und Weiterentwicklung von betrieblichen Prozessen gesehen werden kann. Wichtig ist hierbei, dass die Regelungen und Vorgaben aus dem betrieblichen Umfeld nicht immer 1-zu-1 direkt auf das Arbeiten im häuslichen Umfeld übertragen werden können. Sicher soll das Home Office sein, aber auch praktikabel und mit überschaubarem Aufwand zu gestalten.

Eine häufig auftretende Fragestellung in diesem Themengebiet ist die nach der Privatnutzung: Ist es statthaft, private Geräte (oder private Peripherie) für dienstliche Zwecke zu nutzen? In Diskussionen hierzu findet sich oft die Abkürzung BYOD – „Bring Your Own Device“. Aber auch die entgegengesetzte Fragestellung sollte beantwortet werden: Ist die private Nutzung von dienstlicher Ausstattung zulässig? Die eigentliche Schwierigkeit bei der Beantwortung entsteht durch die Vermischung von dienstlichen und privaten Inhalten. So ist es ohne zusätzliche Maßnahmen kaum möglich, die privaten Fotos auf dem Mobiltelefon von den dienstlichen zu unterscheiden, ebenso wie die gespeicherten Kontakte oder die versendeten Emails. Es zeigt sich somit der Konflikt zwischen Arbeitnehmerrechten und Datenschutz auf der einen Seite und dem berechtigten Interesse des Unternehmens an dem Schutz sensibler Informationen auf der anderen Seite.

Ansatz 1: Strikte Trennung

Als sinnvoll haben sich hier nur zwei Lösungsansätze erwiesen. Da wäre als erster Ansatz die strikte Trennung von dienstlicher und privater Nutzung – dienstliche Informationen dürfen ausschließlich auf dienstlichen Geräten verarbeitet werden. Dieser Ansatz ist einfach zu verstehen, erfordert aber Konsequenz und auch einigen Aufwand in der Umsetzung: externer Monitor, Maus und Tastatur für ein ergonomisches Arbeiten, vielleicht noch einen Drucker oder weitere Peripherie … Was oft vergessen wird: wenn hier nicht die im Unternehmen übliche Standardperipherie gestellt wird, neigen Nutzer dazu, ersatzweise bereits vorhandene private Peripherie zu nutzen, die nicht immer sicher ist (z.B. nicht durchgeführte Firmwareaktualisierung beim privaten Drucker oder Nutzung des Smart-TV als Monitor), oder die durch notwendige Treiberinstallationen einen erhöhten Supportaufwand in der IT-Abteilung erzeugen.

Ansatz 2: MDM

Insbesondere für Mobilgeräte bietet sich als Lösung für das angesprochene Problem der Vermengung privater und dienstlicher Daten ein „Mobile Device Management“ (MDM) an. Diese Art von Software dient der zentralen Verwaltung der dienstlichen Mobilgeräte und ermöglicht – zumeist durch Containerisierung – die vollständige Trennung von dienstlichen und privaten Inhalten. Dadurch ist es beispielsweise möglich, den dienstlichen Container mitsamt den dienstlichen Inhalten komplett aus der Ferne zu löschen, ohne dass die privaten Inhalte außerhalb des dienstlichen Containers betroffen wären.

Es zeigt sich im Verlauf dieser Artikelserie deutlich, dass es für ein sicheres Arbeiten im Home Office in hohem Maße auf organisatorische Regelungen und Überlegungen ankommt, um nicht nur das Arbeiten sicher zu machen, sondern um auch für die Weiterentwicklung und Verbesserung der betrieblichen Abläufe einen Nutzen zu generieren.

Was Sie auch interessieren könnte:

Seminar:

Datenschutz und Informationssicherheit im Home Office und beim mobilen Arbeiten

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im vorherigen Blogartikel “AWARENESS – MASSNAHME ODER KONZEPT?” hatten wir bereits angerissen, warum neben der Betrachtung von technischen Aspekten auch das Einbinden der Mitarbeiter zwingend notwendig ist, um ein hohes Maß an Informationssicherheit zu erreichen. Dieser Ansatz, den Menschen in den Mittelpunkt der Betrachtung zu stellen, spiegelt sich in der Fragestellung „Maßnahme oder Konzept?“ wider. Es sollte das Ziel von Awarenesskonzepten sein, die Befähigung der Mitarbeiter zu sicherem Handeln zu entwickeln und zu fördern.

Dabei sind drei Aspekte gleichermaßen bedeutsam: Wissen, Wollen und Können. „Wissen“ meint hier das reine fachliche Wissen des Einzelnen, z.B. wie ein Programm bedient wird oder welche Regelungen und Vorgaben es für Besucher oder für das Arbeiten im Homeoffice gibt. „Wollen“ adressiert die innere Bereitschaft, dieses Wissen auch anwenden zu wollen, die Vorschriften zu beachten, weil sie sinnvoll, einleuchtend und notwendig sind und einem akzeptierten Zweck dienen. „Können“ hinterfragt schließlich die objektiven, alltäglichen Situationen – ob es den Mitarbeitern möglich ist, das „Wissen“ auch wirklich anwenden, ob der Alltag es bei allem „Wollen“ eben auch zulässt, passend zu handeln. Probleme wie eine schlechte Softwareergonomie, Stresssituationen durch Überlastung oder andere Ausnahmesituationen oder aber der Rückfall in alte Gewohnheiten können das „Wollen“, trotz allem „Wissens“, stark behindern.

Der Aspekt „Wissen“ wird in den meisten Awarenessmaßnahmen zuvorderst bearbeitet. Das Beispiel eLearning aus dem vorherigen Artikel ist hier nur eine von vielen Möglichkeiten, zeigt aber genaugenommen lediglich die Methode der Darbietung, nicht zwingend einen bestimmten Inhalt. So könnte ein eLearning genauso gut Informationen über Unternehmensvorgaben zur Informationssicherheit oder eine Schulung zu einem Tool enthalten. (Falls sich ein Leser darüber wundert – die Fehlbedienung von Software kann durchaus zu Informationssicherheitsvorfällen führen. Man denke nur an die Klassiker „E-Mail weiterleiten an Alle“, oder an „Natürlich will ich alles löschen“ … )

Neben den allgegenwärtigen Powerpoint-Präsentationen und dem angesprochenen eLearning gibt es viele weitere Methoden zur Vermittlung von „Wissen“. Checklisten (z.B. zum Verhalten auf Dienstreisen, zum Arbeiten im Homeoffice oder beim Verlust von Geräten) unterstützen die Mitarbeiter in ungewohnten Situationen, und in Mitarbeitergesprächen könnte an die Verpflichtungen aus dem Arbeitsvertrag erinnert werden.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!