Für Unternehmen und Behörden (im Folgenden kurz: Institutionen) ist ein ausgeprägtes Sicherheitsbewusstsein der Mitarbeiter eine Voraussetzung, um sich aktuellen Gefahren im Cyberraum erfolgreich zu stellen. Das BSI unterstützt Schulung und Sensibilisierung mit einer Reihe von Sicherheitsanforderungen, die im ITGrundschutz- Kompendium dokumentiert sind. Die Themenbereiche Personal sowie Sensibilisierung und Schulung zur Informationssicherheit liefern einen guten Ansatz für den Aufbau eines Schulungsprogramms zur Informationssicherheit.
Für Unternehmen und Behörden (im Folgenden kurz: Institutionen) ist ein ausgeprägtes Sicherheitsbewusstsein der Mitarbeiter eine Voraussetzung, um sich aktuellen Gefahren im Cyberraum erfolgreich zu stellen. Das BSI unterstützt Schulung und Sensibilisierung mit einer Reihe von Sicherheitsanforderungen, die im ITGrundschutz- Kompendium dokumentiert sind. Die Themenbereiche Personal sowie Sensibilisierung und Schulung zur Informationssicherheit liefern einen guten Ansatz für den Aufbau eines Schulungsprogramms zur Informationssicherheit.
Bedrohung
Im Arbeitsleben ist das Regelmäßige das Unregelmäßige, die Überraschung – die kann schön sein, aber auch unangenehme Folgen haben, Sicherheitsvorfälle gehören in letztere Kategorie. Das BSI hat in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2020 unter anderem betont, dass Angreifer gezielt Social-Engineering-Methoden anwenden, um Zugang in Netzwerke von Institutionen zu erhalten.
Der Faktor „Mensch“ spielt eine ausschlaggebende Rolle, denn im Sinne der Angreifer dient er als Türöffner für weitere Attacken. So liegt es nahe, die Rolle der Mitarbeiter als letzte und wichtige Verteidigungslinie bei der Abwehr von Cyber-Angriffen zu stärken. Motivierte und informierte Mitarbeiter handeln proaktiv und sind wichtiger Teil einer Cyberabwehr-Strategie – Mitarbeiter und ihre Fähigkeiten sollte man als Chance und aktives Element in der Abwehrstrategie sehen.
Dabei ist es von entscheidender Bedeutung, die Mitarbeiter zu befähigen, sicherheitskritische Situationen zu identifizieren. Hierfür ist es notwendig, dass sie
- die Sicherheitsziele der Institution kennen,
- für relevante Gefährdungen und Bedrohungen sensibilisiert sind sowie
- umzusetzende Sicherheitsmaßnahmen verstehen.
Befähigung
Für Institutionen ist es unumgänglich, bei allen Mitarbeitern zunächst ein generelles Problembewusstsein für die Informationssicherheit im (Arbeits-)Alltag zu schaffen. Nur dann kann man auf eine nachhaltige Verhaltensänderung hinarbeiten. Um Handlungssicherheit in Bezug auf den Umgang mit sicherheitskritischen Situationen zu erlangen, sollte sich die Leitungsebene der Wichtigkeit des Motivationsdreiecks (Abb. 1) bewusst sein: Die Faktoren Wollen, Können und Dürfen haben allesamt Einfluss auf das Verhalten von Mitarbeitern und lassen sich durch verschiedene Maßnahmen direkt beeinflussen – sind diese Faktoren gut aufeinander abgestimmt, tragen sie einen großen Teil zur Cyberabwehr-Strategie bei.
Insgesamt handelt es sich um einen langfristigen Prozess, der einer ständigen Erfolgskontrolle und Verbesserung unterliegen sollte. Ziel muss es sein, den einzelnen Mitarbeiter für Informationssicherheit zu motivieren und im besten Fall sogar zu begeistern.
Können – Kompetenz und Fähigkeiten
Das Können und das Wollen sind eng miteinander verbunden: Wenn ein Mitarbeiter etwas nicht tut, fehlt es oft nicht am Wollen, sondern ist aufgrund mangelnder Kenntnisse ein Nicht-Können. Eine fundierte Einarbeitung sowie gezielte und regelmäßige Weiterbildungen helfen Mitarbeitern, ihre Kompetenzen und Qualifikationen zu erweitern.
Im BSI IT-Grundschutz- Kompendium findet man hierzu eine Reihe von Sicherheitsanforderungen, die als Hilfestellung dienen können. Generell werden Sicherheitsanforderungen thematisch zusammenhängend in sogenannten Bausteinen zusammengefasst. Ein Grundgerüst für den Aufbau eines Sensibilisierungs- und Schulungsprogramms zur Informationssicherheit bieten die Bausteine ORP.2 Personal [1] und ORP.3 Sensibilisierung und Schulung zur Informationssicherheit [2]. Gemäß BSI ist das Ziel des Schulungsprogramms „... die Wahrnehmung der Mitarbeiter für Sicherheitsrisiken zu schärfen und ihnen die notwendigen Kenntnisse und Kompetenzen für sicherheitsbewusstes Verhalten zu vermitteln.“ Die Handlungsfähigkeit des einzelnen Mitarbeiters wird so gestärkt.
Wollen – Motivation und Beteiligung
Der Mensch ist von Natur aus ein Gewohnheitstier. Eine Veränderung bekannter Abläufe oder bewährter Routinen erzeugt bei den meisten Mitarbeitern Unbehagen – jede fremdbestimmte Änderung hat eine Abwehrhaltung (Reaktanz) zur Folge. Daher ist es wichtig, Mitarbeiter frühzeitig in den Informationssicherheitsprozess einzubinden und ihre intrinsische Motivation für ein sicheres Verhalten zu fördern. Hierzu zählt auch die Möglichkeit für den einzelnen Mitarbeiter, Einfluss auf die Sicherheitsmaßnahmen oder -regelungen zu nehmen, die Auswirkungen auf seinen beruflichen Alltag haben.
Das BSI IT-Grundschutz- Kompendium unterstreicht die Wichtigkeit hiervon, indem es in der Sicherheitsanforderung ISMS.1.A8 ausführlich darauf eingeht: „Alle Mitarbeiter müssen in die Lage versetzt werden, Sicherheit aktiv mitzugestalten. Daher sollten die Mitarbeiter frühzeitig beteiligt werden, wenn Sicherheitsmaßnahmen zu planen oder organisatorische Regelungen zu gestalten sind.“ [3]
Für eine nachhaltige Motivation trägt die persönliche Integration des Mitarbeiters in den Sicherheitsprozess maßgeblich zum Erfolg bei. Institutionen sollten eine durchgängige Kommunikation und Moderation bei der Einführung neuer Sicherheitsmaßnahmen planen und umsetzen. Dafür sind eine abgestimmte Kommunikationsstrategie und ein Kommunikationsplan nötig. Auf diesem Weg kann man sicherstellen, dass die richtige Botschaft zur richtigen Zeit bei den richtigen Menschen ankommt. Die Vorteile, der Nutzen und falls nötig auch die gesetzliche Notwendigkeit möglicher Maßnahmen können den jeweiligen Mitarbeitern (zielgruppengerecht) vermittelt werden. Diese Vorgehensweise trägt zum Wollen der Mitarbeiter bei.
Dürfen – mündige Mitarbeiter und positive Fehlerkultur
Jedoch ist zu berücksichtigen, dass auch Wollen und Können allein nicht zum gewünschten Ergebnis führen werden: Mitarbeiter bewegen sich innerhalb eines vorgegebenen Handlungsrahmen und haben ihr „Dürfen“ nie vollumfänglich selbst in der Hand. Denn dieser Rahmen ist nur begrenzt vom Mitarbeiter selbst beeinflussbar, hat aber fundamentale Auswirkungen auf sein Handeln.
Der Handlungsrahmen wird beispielsweise durch Gesetze, Unternehmenskultur, interne Richtlinien, Entscheidungen des Vorgesetzten sowie die Fehlerkultur in der Institution vorgegeben. Wenn Mitarbeiter vor neuen, ungewöhnlichen Situationen stehen, wird von ihnen ein angemessenes und selbstständiges Handeln erwartet – das kann etwa für die schnelle Einleitung einer Vorfallsbehandlung essenziell sein.
Eine positive Fehlerkultur erlaubt es Mitarbeitern dabei, Fehler zu machen, ohne Angst vor Strafen haben zu müssen: Es geht nicht darum, einen Schuldigen zu finden, sondern Probleme zu lösen. Eine offene Kommunikation hilft dabei, Vertrauen zu schaffen, und nimmt den Mitarbeitern die Angst vor den Folgen eines Fehlers. Im Kontext der Informationssicherheit kann es einen Unterschied machen, ob ein Mitarbeiter sofort die IT-Abteilung informiert, wenn er einen unbekannten E-Mail-Anhang geöffnet hat, oder aus Angst vor Sanktionen schweigt. Dabei geht dann wertvolle Zeit verloren, um einen möglichen Angriff abschwächen (mitigieren) oder vollständig abwehren zu können.
Verantwortungsvolles Handeln von Mitarbeitern im Sinne der Informationssicherheit wird dadurch unterstützt, dass die Leitungsebene das Thema „vorlebt“ und die Mitglieder der Geschäftsleitung ihrer Vorbildfunktion aktiv nachkommen (ISMS.1.A1). Durch kontinuierliches Feedback und einen konstruktiven Umgang mit Fehlern lässt sich ein angemessenes, aktives Handeln der Mitarbeiter in Bezug auf Informationssicherheit fördern.
