Schlagwortarchiv für: Awareness

,

Awareness – ein Konzept!

Nachdem mein Kollege Andreas Lange in seiner Artikelserie “Awareness – Maßnahme oder Konzept?” den Blick auf die Wichtigkeit der konzeptionellen Ebene gelenkt hat, möchte ich hier ein konkretes Konzept vorstellen. Wir wollen weg von einer Aneinanderreihung von Einzelmaßnahmen, hin zu einem planvollen, auf die Ziele des Informationssicherheitsmanagementsystems (ISMS) abgestimmten Vorgehen. Dieser Artikel soll einen ersten Überblick geben. In folgenden Blog-Artikeln werden die einzelnen Schritte detaillierter beschrieben.

Zum Vorgehen bei der Security Awareness gibt es viele Ansätze. Wir haben uns entschieden, bei unserer Arbeit einem Ansatz zu folgen, der u. a. am Lehrstuhl für Human-Centered Security am Horst-Görtz Institut für IT-Sicherheit der Ruhr-Universität Bochum entwickelt wurde. In diesen Ansatz betten wir die Vorgehensweise eines ISMS nach ISO 27001 ein.

Der Ansatz hat seinen Weg in die Praxis gefunden und wird neben unseren eigenen Seminaren u. a. auch im Kurs IT-Security-Beauftragter der TÜV-Rheinland-Akademie gelehrt. Damit hat der Ansatz den Weg aus Forschung und Lehre gefunden und darf als Stand der Technik gesehen werden.

Ausgangslage

Von Mitarbeitern wird erwartet, dass sie bei ihrer täglichen Arbeit alle informationssicherheits-­relevanten Regeln und Vorschriften einhalten. Wenn diese Regelungen lange eingeübten, weitgehend automatisierten Handlungen zuwiderlaufen, wird dies nur schwer gelingen. Es bedarf daher neuer „sicherer“ Routinen. Diese können nicht allein angeordnet, sondern müssen eingeübt werden. Überdies muss ein Grundverständnis bei den Mitarbeitern erzeugt werden, damit sie die Maßnahmen langfristig und nachhaltig umsetzen.

Vorgehensweise

Organisationen müssen dafür sorgen, dass Mitarbeiter sowie weitere Personen, die unter der Aufsicht der Organisation Tätigkeiten ausüben, ihre Tätigkeiten unter Beachtung der Informationssicherheitsregeln ausführen. Bewusstsein und Wissen allein reichen hierfür nicht aus. Benötigt werden neue sichere Verhaltensweisen. Diese müssen eingeübt und als neue Routine im täglichen Arbeiten verankert werden. Überdies sollte die Leitung als gutes Vorbild vorangehen und diese Routinen vorleben.

Die Herangehensweise der Organisation an das Thema Awareness sollte strukturiert erfolgen. Die folgenden Schritte legen ein mögliches Vorgehen fest:

  1. Auswahl der Themen bzw. Themenbereich
  2. Festlegen der Ziele der Awareness-Kampagne(n)
  3. Umsetzung und Überprüfung der Wirksamkeit

Bei der Auswahl der Themen bzw. Themenbereich sollten zuvorderst die Ergebnisse des eigenen Risikomanagements und die eigenen Informationssicherheitsziele berücksichtigt werden. Auch weitere Aspekte wie Informationssicherheitsvorfälle in der eigenen oder bei vergleichbaren Organisationen der gleichen Branche, eine Betrachtung der eigenen Informationswerte („Kronjuwelen“), die eigene Unternehmenskultur, Anforderungen wichtiger Stakeholder, die Analyse und Bewertung der eigenen Informationssicherheitskennzahlen sowie die Ergebnisse von Audits sollten in die Auswahl einfließen.

Die Ziele der Awareness-Kampagne(n) sollten als konkrete, operative Ziele formuliert sein. Das heißt sie müssen spezifisch, messbar, erreichbar, relevant und mit einem Zeitrahmen versehen sein (SMART). Messbarkeit erfordert Kriterien, anhand derer bestimmt werden kann, ob oder in welchem Grad das Ziel erreicht wurde (Zielerreichungskriterien). Die Ziele sind vor dem Start der Umsetzung festzulegen und zu dokumentieren. Zudem sollten die Ziele den Mitarbeitern bekannt gemacht werden, wenn es der Zielerreichung dienlich ist.

The new Awareness Curve

Die Umsetzung erfolgt in neun größtenteils aufeinander aufbauenden Schritten:

  1. Sicherheits-Hygiene: In der Sicherheits-Hygiene sind zunächst die eigenen Regelungen auf tatsächliche und praktische Umsetzbarkeit zu prüfen. Niemandem darf zugemutet werden, Regeln zu befolgen, die im Kontext der eigenen Tätigkeit nicht oder nur unter erheblichen Erschwernissen umzusetzen sind.
  2. Information: Mitarbeiter brauchen Informationen über die bestehenden Regelungen, d.h. die Regeln müssen bekannt gemacht werden und für den Mitarbeiter verfügbar sein.
  3. Sensibilisierung: Die Mitarbeiter müssen sensibilisiert werden. Dabei sollten keine Bedrohungsmodelle genutzt werden, keine Angst erzeugt, sondern motiviert werden.
  4. Wissen und Verstehen: Mitarbeiter müssen wissen und grundlegend verstehen, wie ihr derzeitiges „unsicheres“ Verhalten durch die Bedrohungen ausgenutzt werden kann.
  5. Zustimmung: Mitarbeiter sollen aktiv und möglichst freiwillig zustimmen, ihren Teil zu leisten, d.h. ihr eigenes Verhalten ggfs. zu ändern.
  6. Selbstwirksamkeitserwartung: Die Mitarbeiter sollen eine Selbstwirksamkeitserwartung entwickeln. Das bedeutet, überzeugt zu sein, dass man das erwünschte Verhalten tatsächlich leisten kann und dass man hierdurch einen wichtigen Beitrag leistet.
  7. Fähigkeiten implementieren: Daraufhin werden die neuen Fähigkeiten implementiert. Das erwünschte neue Verhalten wird eingeübt. Dabei werden die Mitarbeiter daran erinnert, dass sie den neuen Verhaltensweisen zugestimmt haben, wie das alte Verhalten aussah und warum es nicht mehr ausgeübt wird.
  8. Verankerung: Das neue Verhalten muss verankert, ein Rückfall in alte Gewohnheiten unterbunden werden.
  9. Sicheres Verhalten: Im letzten Schritt ist das neue sichere Verhalten zur Routine geworden.

Zu jedem Schritt sind geeignet Werkzeuge und Methoden zur Unterstützung zu wählen. Bei der Auswahl von externen Dienstleistern und Services sollte darauf geachtet werden, dass alle Teilschritte des dargestellten Umsetzungsprozesses abgedeckt sind. Ggfs. müssen diese durch weitere Maßnahmen ergänzt werden.

Alle Maßnahmen sollten entsprechend der Bedürfnisse der verschiedenen Adressaten (SW-Entwickler, IT, Personalabteilung, Marketing, Vertrieb etc.) zielgruppengerecht ausgewählt und umgesetzt werden.

Um sicher zu gehen, dass die Voraussetzungen für die Durchführung des jeweils nächsten Prozessschrittes gegeben sind und das Erreichen der definierten Ziele insgesamt zu gewährleisten, sollte nach jedem Prozessschritt eine Wirksamkeitsprüfung durchgeführt werden. Ggfs. ist der Schritt zu wiederholen bzw. zu vertiefen.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
,

TISAX® – Informationssicherheit im Detail, Teil 4

Nachdem in den vorherigen Beiträgen zum Thema TISAX® das Zusammenspiel zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement dargestellt wurde, wird in diesem Artikel der Einfluss der wichtigsten „nicht-technischen Komponente“ betrachtet – der Einfluss des Menschen.

Wie in eigentlich allen anderen Standards für Informationssicherheit auch, ist das Themengebiet Awareness und Schulung auch bei TISAX® zu finden. Diese generell sehr präsente Herangehensweise beruht auf der Einsicht, dass genaugenommen nur drei mögliche Schwachstellen einen Informationssicherheitsvorfall erst möglich machen: technische Schwächen (wie z.B. Softwarefehler), organisatorische Schwächen (z.B. fehlende Regelungen für das mobile Arbeiten) und menschliche Fehlhandlungen (z.B. das Öffnen eines Mailanhang mit einer Schadsoftware).

Um ein angemessenes Niveau der Informationssicherheit zu erreichen, müssen alle drei Bereiche der möglichen Schwachstellen behandelt werden. Daher finden sich in einem guten Awareness-Konzept vielfältige Maßnahmen, durch deren Zusammenwirken ein sicheres Verhalten der beteiligten Personen erreicht werden soll.

Der erste Schritt – Regelungen treffen

Genaugenommen startet Awareness auf der Seite des Unternehmens. Der Arbeitgeber muss aufzeigen, was im konkreten Unternehmen unter „sicherem Verhalten“ zu verstehen ist und was von den Mitarbeitern erwartet wird. Diese Vorgaben finden sich in den verschiedenen Richtlinien und Anweisungen. Damit sie aber von den Mitarbeitern auch angewandt werden können, müssen diese Vorgaben nicht nur fixiert, sondern auch mitgeteilt werden. Dies geschieht zumeist in Schulungen, in eLearnings oder beim Firmeneintritt eines neuen Mitarbeiters. Inhaltlich findet man an dieser Stelle oft Regelungen für den Gebrauch von Systemen und Anwendungen, den Umgang mit Passworten oder anderen Authentifizierungsmitteln und auch Belehrungen und Verpflichtungen zur Verschwiegenheit.

Als Besonderheit in der Automobilindustrie kommt hinzu, dass Unternehmen häufig mit Informationswerten von Kunden umgehen, oftmals in Form von Projekten. Daher müssen den Projektbeteiligten nicht nur die Vorgaben des eigenen Unternehmens bekannt sein, sondern auch die Vorgaben der Kunden, mit deren Informationswerten im Zuge des Projektes umgegangen wird.

Die Rolle des Mitarbeiters

Die Mitarbeiter haben außerdem noch an einer anderen Stelle einen Einfluss auf das Niveau der Informationssicherheit, neben dem Beachten der Vorgaben des Unternehmens. Es wird von ihnen erwartet, dass sie beobachtete oder vermutete Vorfälle der Schwachstellen dem Verantwortlichen im Unternehmen, zumeist dem Informationssicherheitsbeauftragten (ISB) melden. Das setzt voraus, dass solche Meldewege und Kontakte bei den Mitarbeitern auch bekannt sind. Das Erkennen und Melden von Informationssicherheitsvorfällen sollte daher ebenfalls in Schulungen vorkommen.

An dieser Stelle noch zwei kleine Hinweise zum Melden von Vorfällen. Das Melden der Vorfälle wird von den Mitarbeitern erwartet – nicht aber das Bewerten oder gar das Beheben des gemeldeten Zustands. Diese Bewertung, Entscheidung und weitere Verfolgung wird zumeist beim ISB gesehen. Außerdem freuen sich die meisten Menschen, wenn sie auf einen Hinweis hin zumindest ein kleines positives Feedback bekommen … Schließlich möchten der ISB und auch das Unternehmen, dass dieses Verhalten auch weiterhin gezeigt wird.

Die Gedanken in diesem Artikel zeigen, warum sich in dem VDA ISA Katalog neben vielen eher technischen Aspekten auch Forderungen zur Schulung und Sensibilisierung der Mitarbeiter finden. Natürlich gibt es auch Forderungen, die sowohl die technischen als auch die personellen Aspekte zeitgleich betreffen, wie zum Beispiel das mobile Arbeiten. Doch dazu mehr im nächsten Artikel …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Die Folge 14 TISAX® – „Informationssicherheit in der Automobilindustrie“ sowie die Folgen 4 und 5 Security Awareness liefern Ihnen hier interessante Informationen zum Thema.

Hören Sie rein!

 

 

 

 

 

/von
, ,

Jetzt gibt’s auf die Ohren – der ANMATHO Podcast “Security on Air”

Sie kennen sicher den Radiospruch „Geht ins Ohr… bleibt im Kopf“. Podcast s haben längst bewiesen, dass dies nicht nur für Radiowerbung gilt.

In der Informationssicherheit gibt es viele Themen, bei denen man mal genau hinhören sollte. Mit unserem Podcast möchten wir Ihnen in kurzen Episoden, regelmäßig relevante Themen der Informationssicherheit und des Datenschutzes vorstellen und zudem Impulse setzen.

Hören Sie rein, wann immer es Ihnen passt – unabhängig von Zeit und Ort. Unseren Podcast finden Sie auf Apple Podcast, Spotify und Google Podcast sowie natürlich auf unserer Website.

Wir starten unseren Podcast mit dem Thema Security im Home-Office. Das Home-Office gehört seit der Corona Pandemie in den Unternehmen, in denen dies grundsätzlich möglich ist, zum festen Bestandteil der Arbeitswelt. Doch was als Provisorium begann, sollte nun gut durchdacht fortgeführt werden. Insbesondere mit Blick auf die Informationssicherheit und den Datenschutz.

In unserem Podcast zum Thema „Security im Home-Office“ möchten wir Ihnen in 3 Folgen Denkanstöße und Tipps zum sicheren Arbeiten außerhalb des Büros geben. In der Folge 1 „Hinter der Firewall geht’s weiter“ befassen wir uns mit organisatorischen Aspekten er Informationssicherheit im Home-Office.

Hören Sie rein!

/von

Schlagwortarchiv für: Awareness

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Erste Brunnenstraße 1
20459 Hamburg

Tel: +49(0)4022947190
Fax: +49(0)40229471919
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen