Schlagwortarchiv für: Mitarbeitersensibilisierung

Nachdem in den vorherigen Beiträgen zum Thema TISAX® das Zusammenspiel zwischen den drei wesentlichen ISMS-Elementen Asset Management, Klassifizierung und Risikomanagement dargestellt wurde, wird in diesem Artikel der Einfluss der wichtigsten „nicht-technischen Komponente“ betrachtet – der Einfluss des Menschen.

Wie in eigentlich allen anderen Standards für Informationssicherheit auch, ist das Themengebiet Awareness und Schulung auch bei TISAX® zu finden. Diese generell sehr präsente Herangehensweise beruht auf der Einsicht, dass genaugenommen nur drei mögliche Schwachstellen einen Informationssicherheitsvorfall erst möglich machen: technische Schwächen (wie z.B. Softwarefehler), organisatorische Schwächen (z.B. fehlende Regelungen für das mobile Arbeiten) und menschliche Fehlhandlungen (z.B. das Öffnen eines Mailanhang mit einer Schadsoftware).

Um ein angemessenes Niveau der Informationssicherheit zu erreichen, müssen alle drei Bereiche der möglichen Schwachstellen behandelt werden. Daher finden sich in einem guten Awareness-Konzept vielfältige Maßnahmen, durch deren Zusammenwirken ein sicheres Verhalten der beteiligten Personen erreicht werden soll.

Der erste Schritt – Regelungen treffen

Genaugenommen startet Awareness auf der Seite des Unternehmens. Der Arbeitgeber muss aufzeigen, was im konkreten Unternehmen unter „sicherem Verhalten“ zu verstehen ist und was von den Mitarbeitern erwartet wird. Diese Vorgaben finden sich in den verschiedenen Richtlinien und Anweisungen. Damit sie aber von den Mitarbeitern auch angewandt werden können, müssen diese Vorgaben nicht nur fixiert, sondern auch mitgeteilt werden. Dies geschieht zumeist in Schulungen, in eLearnings oder beim Firmeneintritt eines neuen Mitarbeiters. Inhaltlich findet man an dieser Stelle oft Regelungen für den Gebrauch von Systemen und Anwendungen, den Umgang mit Passworten oder anderen Authentifizierungsmitteln und auch Belehrungen und Verpflichtungen zur Verschwiegenheit.

Als Besonderheit in der Automobilindustrie kommt hinzu, dass Unternehmen häufig mit Informationswerten von Kunden umgehen, oftmals in Form von Projekten. Daher müssen den Projektbeteiligten nicht nur die Vorgaben des eigenen Unternehmens bekannt sein, sondern auch die Vorgaben der Kunden, mit deren Informationswerten im Zuge des Projektes umgegangen wird.

Die Rolle des Mitarbeiters

Die Mitarbeiter haben außerdem noch an einer anderen Stelle einen Einfluss auf das Niveau der Informationssicherheit, neben dem Beachten der Vorgaben des Unternehmens. Es wird von ihnen erwartet, dass sie beobachtete oder vermutete Vorfälle der Schwachstellen dem Verantwortlichen im Unternehmen, zumeist dem Informationssicherheitsbeauftragten (ISB) melden. Das setzt voraus, dass solche Meldewege und Kontakte bei den Mitarbeitern auch bekannt sind. Das Erkennen und Melden von Informationssicherheitsvorfällen sollte daher ebenfalls in Schulungen vorkommen.

An dieser Stelle noch zwei kleine Hinweise zum Melden von Vorfällen. Das Melden der Vorfälle wird von den Mitarbeitern erwartet – nicht aber das Bewerten oder gar das Beheben des gemeldeten Zustands. Diese Bewertung, Entscheidung und weitere Verfolgung wird zumeist beim ISB gesehen. Außerdem freuen sich die meisten Menschen, wenn sie auf einen Hinweis hin zumindest ein kleines positives Feedback bekommen … Schließlich möchten der ISB und auch das Unternehmen, dass dieses Verhalten auch weiterhin gezeigt wird.

Die Gedanken in diesem Artikel zeigen, warum sich in dem VDA ISA Katalog neben vielen eher technischen Aspekten auch Forderungen zur Schulung und Sensibilisierung der Mitarbeiter finden. Natürlich gibt es auch Forderungen, die sowohl die technischen als auch die personellen Aspekte zeitgleich betreffen, wie zum Beispiel das mobile Arbeiten. Doch dazu mehr im nächsten Artikel …

Was Sie auch interessieren könnte:

Seminar:

„TISAX® – Informationssicherheit in der Automobilindustrie“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Die Folge 14 TISAX® – „Informationssicherheit in der Automobilindustrie“ sowie die Folgen 4 und 5 Security Awareness liefern Ihnen hier interessante Informationen zum Thema.

Hören Sie rein!

 

 

 

 

 

In der heutigen digitalen Welt, in der Technologie allgegenwärtig ist, können Unternehmen auf zahlreiche Tools und Plattformen zurückgreifen, um ihre Arbeit effektiver und effizienter zu gestalten. Eines dieser Tools ist ChatGPT, ein großes Sprachmodell, das von OpenAI entwickelt wurde und in den letzten Monaten viel Aufmerksamkeit bekommen hat. Das ist ein leistungsfähiges Instrument, das sich auch in der Arbeitswelt rasant verbreitet hat. Es ist jedoch wichtig, dass Mitarbeiter sich bewusst sind, dass sie keine Firmeninternas oder -geheimnisse bei ChatGPT posten dürfen.

Warum?

Der Grund dafür ist einfach: ChatGPT ist ein Tool von Drittanbietern, das nicht direkt lokal kontrolliert wird. Obwohl ChatGPT eine künstliche Intelligenz ist, die lernen kann, indem sie mit Benutzern interagiert, hat sie kein Konzept von Geheimhaltung oder Vertraulichkeit. Wenn Sie also vertrauliche Informationen oder Firmengeheimnisse bei ChatGPT posten, besteht die Möglichkeit, dass diese Informationen von unbefugten Personen abgerufen werden können.
Die Sicherheit und Vertraulichkeit von Informationen ist von entscheidender Bedeutung für Unternehmen. Eine Veröffentlichung von Informationen, die geschützt sein sollten, kann schwerwiegende Folgen haben, einschließlich der Verletzung von Verträgen, die rechtliche Schritte oder sogar den Verlust des Vertrauens der Kunden nach sich ziehen kann. Aus diesem Grund ist es ratsam, keine vertraulichen Informationen oder Firmengeheimnisse bei ChatGPT zu posten. Je größer der gepostete Inhalt ist, desto wahrscheinlicher ist es, dass er interne Daten beinhaltet. Eine vorherige, grundlegende Säuberung ist deshalb essenziell.

Was sollten Firmen bei der Nutzung von ChatGPT beachten?

Generell sollten Unternehmen eine Strategie entwickeln, ob und wie sie mit diesen neuen Werkzeugen umgehen. Oft ist dem einzelnen Mitarbeiter gar nicht bewusst, dass es sich um externe Tools handelt und es zu unterschiedlichen Verstößen, inkl. solcher gegen die DS-GVO führen kann. Mitarbeiter sollten primär interne Tools oder Plattformen nutzen, die von ihrem Unternehmen kontrolliert werden, um ihre vertraulichen Informationen sicher zu teilen. Diese internen Plattformen können speziell auf die Bedürfnisse und Anforderungen des Unternehmens zugeschnitten werden und sind somit sicherer als Tools von Drittanbietern wie ChatGPT.

Zur Information: Italien sperrt ChatGPT

In den bisherigen Artikeln (Teil1 und Teil2) hatten wir gezeigt, wieso es einer Behandlung der „Schwachstelle Mensch“ bedarf und warum es notwendig ist, diese Behandlung nicht als einzelne Maßnahme zu sehen, sondern vielmehr als langfristiges und systematisches Konzept, mit dem eine Änderung im Verhalten hin zu einem nachhaltig sicheren Agieren erreicht werden soll.

Solch ein Konzept benötigt einige Ressourcen – der zeitliche Aufwand für die Organisation einer einzelnen Veranstaltung ist dabei die offensichtlichste, aber bei weitem nicht die einzige Komponente. Hinzu kommen Überlegungen zu den Inhalten der Veranstaltung: Welche Ziele hinsichtlich Informationssicherheit sollen erreicht werden? Welche Darbietungsform ist hierfür optimal? Und wie soll die gewählte Darbietungsform mit den konkreten Inhalten gefüllt werden? Weiterhin muss natürlich auch der Zeitaufwand der Teilnehmer mit eingeplant werden. Kleine Erinnerung an Teil 1: eLearning kann den Zeitrahmen für die Teilnehmer deutlich entzerren, wenn es denn inhaltlich zum Thema passt!

Zu der Formulierung von Zielen für Awareness-Maßnahmen gehört ebenso die Überlegung, wie die Erreichung dieser Ziele überprüft werden soll. Die Überprüfung kann dabei auf sehr verschiedene Arten erfolgen – so könnte z.B. das eLearning mit einem kleinen Online-Test abgeschlossen werden. Aber auch andere Messverfahren sind denkbar, wie die Auswertung von Kennzahlen (z.B. ein Vergleich von gemeldeten Spammails vor und nach der Schulung), Umfragen, Quiz …

Unterlagen und Redner

Zur Ressourcenplanung gehören noch weitere Fragestellungen, wie z.B. die Auswahl von passenden Schulungsunterlagen. Hier gibt es grundsätzlich zwei Möglichkeiten: selber anfertigen oder von externen Anbietern einkaufen. Beide Varianten haben dabei ihre spezifischen Vor- und Nachteile. So hat man bei selbst erstellten Unterlagen einen größeren Einfluss auf Gestaltung, Inhalte, unternehmensspezifisches Aussehen und die ganz speziellen, eigenen Abläufe. Andererseits fehlt bei diesem Vorgehen oftmals der hilfreiche, zusätzliche Blick eines Außenstehenden, der sowohl in die Gestaltung als auch bei den Inhalten eine frische, neue Sichtweise liefern kann.

Und noch eine Frage stellt sich: Wer soll es machen? Auch hier können beide Varianten gut funktionieren – der kompetente, interessante externe Experte oder Trainer, der ein Sachthema spannend darbieten kann, oder ein interner Mitarbeiter, der vielleicht das Thema Awareness langfristig betreut und die konkreten Prozesse im Unternehmen gut kennt. Auch der Informationssicherheitsbeauftragte (ISB) kann oftmals in den Veranstaltungen als Vortragender agieren – schließlich ist die Informationssicherheit Kerntätigkeit des ISB, d.h. er wird auch inhaltlichen Rückfragen gut beantworten können. Genaugenommen muss man sich nur eine Frage beantworten: Kann und will ich in solchen Veranstaltungen als Vortragender auftreten?

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Im vorherigen Blogartikel “AWARENESS – MASSNAHME ODER KONZEPT?” hatten wir bereits angerissen, warum neben der Betrachtung von technischen Aspekten auch das Einbinden der Mitarbeiter zwingend notwendig ist, um ein hohes Maß an Informationssicherheit zu erreichen. Dieser Ansatz, den Menschen in den Mittelpunkt der Betrachtung zu stellen, spiegelt sich in der Fragestellung „Maßnahme oder Konzept?“ wider. Es sollte das Ziel von Awarenesskonzepten sein, die Befähigung der Mitarbeiter zu sicherem Handeln zu entwickeln und zu fördern.

Dabei sind drei Aspekte gleichermaßen bedeutsam: Wissen, Wollen und Können. „Wissen“ meint hier das reine fachliche Wissen des Einzelnen, z.B. wie ein Programm bedient wird oder welche Regelungen und Vorgaben es für Besucher oder für das Arbeiten im Homeoffice gibt. „Wollen“ adressiert die innere Bereitschaft, dieses Wissen auch anwenden zu wollen, die Vorschriften zu beachten, weil sie sinnvoll, einleuchtend und notwendig sind und einem akzeptierten Zweck dienen. „Können“ hinterfragt schließlich die objektiven, alltäglichen Situationen – ob es den Mitarbeitern möglich ist, das „Wissen“ auch wirklich anwenden, ob der Alltag es bei allem „Wollen“ eben auch zulässt, passend zu handeln. Probleme wie eine schlechte Softwareergonomie, Stresssituationen durch Überlastung oder andere Ausnahmesituationen oder aber der Rückfall in alte Gewohnheiten können das „Wollen“, trotz allem „Wissens“, stark behindern.

Der Aspekt „Wissen“ wird in den meisten Awarenessmaßnahmen zuvorderst bearbeitet. Das Beispiel eLearning aus dem vorherigen Artikel ist hier nur eine von vielen Möglichkeiten, zeigt aber genaugenommen lediglich die Methode der Darbietung, nicht zwingend einen bestimmten Inhalt. So könnte ein eLearning genauso gut Informationen über Unternehmensvorgaben zur Informationssicherheit oder eine Schulung zu einem Tool enthalten. (Falls sich ein Leser darüber wundert – die Fehlbedienung von Software kann durchaus zu Informationssicherheitsvorfällen führen. Man denke nur an die Klassiker „E-Mail weiterleiten an Alle“, oder an „Natürlich will ich alles löschen“ … )

Neben den allgegenwärtigen Powerpoint-Präsentationen und dem angesprochenen eLearning gibt es viele weitere Methoden zur Vermittlung von „Wissen“. Checklisten (z.B. zum Verhalten auf Dienstreisen, zum Arbeiten im Homeoffice oder beim Verlust von Geräten) unterstützen die Mitarbeiter in ungewohnten Situationen, und in Mitarbeitergesprächen könnte an die Verpflichtungen aus dem Arbeitsvertrag erinnert werden.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Führungsaufgabe und Konzept“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

JETZT GIBT’S WAS AUF DIE OHREN – SECURITY ON AIR – DER ANMATHO PODCAST

Der Faktor „Mensch“ spielt eine wesentliche Rolle in der Informationssicherheit sowie im Datenschutz. Daher ist es enorm wichtig, allen Mitarbeitern die Risiken greifbar zu machen, das notwendige Wissen zu vermitteln und Akzeptanz und Verständnis für die Sicherheitsrichtlinien und Maßnahmen zu fördern. Dabei sollte die Individualität jedes Mitarbeiters und Aufgabengebietes berücksichtigt werden.

In unserem Podcast zum Thema „Das Konzept „Security Awareness“ möchten wir Ihnen in 2 Folgen Denkanstöße und Tipps zu diesem Thema geben.

In der Folge 1 „Aller Anfang ist nicht schwer“ befassen wir uns mit dem Start des Projektes „Security Awareness“:

  • welchen Stellenwert Security Awareness hat und haben sollte,
  • warum der konzeptionelle Gedanke ratsam ist,
  • was man bei einer Risikoanalyse beachten sollte,
  • wie wichtig konkrete Awareness-Ziele sind,
  • warum „one fits all“ bei Security Awareness nicht greift.

In der Folge 2 „Ein Ziel – viele Wege“ befassen wir uns mit der Wichtigkeit von zielgruppengerechten Awareness-Maßnahmen:

  • warum das Arbeitsumfeld für die Auswahl von Maßnahmen relevant ist,
  • welche Gefahr technische und organisatorische Hürden darstellen,
  • wie Verhaltensänderungen nachhaltig bewirkt werden können,
  • warum ein strukturierter Einsatz von verschiedenen Tools notwendig ist,
  • welche Tools es gibt und
  • wie man die Wirksamkeit seiner Kampagne überprüfen kann.

Alle unsere Podcast-Folgen finden Sie auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

Wir stehen Ihnen auch direkt zur Verfügung unter Tel.: 040 229 47 19 0 oder per E-Mail unter podcast@anmatho.de.

Die Bedrohungen für die Informationssicherheit sind in den letzten Jahren immer weiter gestiegen, die Methoden der Angreifer werden immer raffinierter. Zudem werden die Schäden häufig durch die eigenen Mitarbeiter oder Dienstleister durch Unwissenheit oder Unbekümmertheit verursacht.

Umso wichtiger ist die Sensibilisierung der IT-Nutzer für die Belange der Informationssicherheit. Da diese beim Nutzer meist als umständlich oder zeitraubend angesehen wird, ist es wichtig, ein Umdenken zu bewirken.

Dies kann mit einer Security Awareness Kampagne in 3 Schritten erfolgen:

Schritt 1:

Um die Aufmerksamkeit der Mitarbeiter zu gewinnen, kann man auf die Risiken im Alltag aufmerksam machen, wie z.B. Lücken des privaten PC’s oder Mobile Devices. Hier ist ein Live-Hack oder Awareness-Videos eine sinnvolle Maßnahme.

Schritt 2:

Im zweiten Schritt gilt es, das Verständnis der Mitarbeiter für Sicherheitsmaßnahmen zu erzeugen und deren Verhalten positiv zu beeinflussen. Hier werden E-Learning Kurse, Merkblätter und Workshops gut angenommen. Je mehr dabei auf die individuellen Arbeitsbereiche der Mitarbeiter eingegangen wird, desto eher fühlt sich jeder Einzelne angesprochen und ist bereit die Sicherheitsmaßnahmen umzusetzen.

Schritt 3:

An diesem Punkt ist das Ziel die Veränderungen zu festigen. Dazu sind Maßnahmen empfehlenswert, die das Gelernte immer wieder in Erinnerung rufen. Unerlässlich ist eine regelmäßige Überprüfung des Gelernten. Hier haben sich Poster, E-Learning-Tests und Banner im firmeneigenen Intranet bewährt.

Security Awareness für Ihre Mitarbeiter

Der Schutz der Informationssicherheit steht und fällt mit dem Verhalten der Mitarbeiter. Eine gut umgesetzte Security Awareness Kampagne vermittelt das nötige Grundwissen und sensibilisiert den Mitarbeiter nachhaltig für die Informationssicherheit und richtige Verhaltensweisen.

Die ANMATHO AG unterstützt Unternehmen bei der Umsetzung von Informationssicherheitsthemen vom Sicherheitscheck über die Konzeption von Notfallplänen bis hin zur vollumfänglichen Einführung eines Informationssicherheits-Managementsystems nach ISO 27001 mit entsprechender Security Awareness Kampagnen.

Schlagwortarchiv für: Mitarbeitersensibilisierung