Security Awareness der Mitarbeiter fordern und fördern, Teil 1

Der Mensch als zusätzlicher Sicherheitsfaktor

| Autor / Redakteur: Dirk Schadt, (ISC)²-zertifizierter CISSP / Stephan Augsten

Mitarbeiter denken im Idealfall mit und helfen aktiv dabei, Sicherheitsrisiken einzudämmen.
Mitarbeiter denken im Idealfall mit und helfen aktiv dabei, Sicherheitsrisiken einzudämmen. (Bild: Adam Borkowski - Fotolia.com)

Spam und Social Engineering zielen auf die Leichtgläubigkeit und Hilfsbereitschaft von Menschen ab – und sind damit leider nur allzu oft erfolgreich. Immer wieder geben Mitarbeiter wertvolle Informationen über sich und ihr Unternehmen preis. Es gilt, aus der Schwachstelle Mensch einen zusätzlichen Sicherheitsfaktor zu machen.

Sicherheitsvorfälle in Verbindung mit Spam und Social Engineering zeigen, wie gut sich Informationen mithilfe der Technik schützen lassen – leider nur allzu begrenzt. Heute kann sich ein Mitarbeiter nicht mehr einfach darauf berufen, die IT-Abteilung tue schon alles, um Schaden durch die Nutzung der IT abzuwenden. Antivirus, Firewalls und Policies sind, wenn man reale Vorfälle auswertet, doch nur ein stumpfes Schwert.

Besonders deutlich wird das im Kampf gegen Wirtschaftsspionage. Umso mehr verwundert, dass nicht mehr Sicherheitsvorfälle passieren oder bekannt werden. In den Unternehmen, in denen die Sicherheitstechniken und -vorgaben besonders lax sind, arbeiten immer besonders aufmerksame und bewusste Mitarbeiter.

In welcher Kultur mehr oder weniger Vorfälle oder Verluste zu verzeichnen sind, ist schwierig zu sagen. Zu wenig wird protokolliert und ausgewertet. Als Experte lässt sich hier eine hohe Dunkelziffer vermuten.

Unternehmen sind daher gut beraten, wenn sie Security Awareness bzw. Sicherheitssensibilisierung als strukturellen Teil der Unternehmensstrategie einsetzen und den IT-Sicherheitsbeauftragten entsprechend ausstatten. Die wirkungsvollsten Security-Awareness-Programme konnten den CEO als Schirmherren gewinnen.

Security Awareness – eine Definition

Nach einer Definition von Ernst&Young besteht Sicherheitssensibilisierung aus „Maßnahmen, damit Mitarbeiter in einer Situation erkennen, dass ein Sicherheitsrisiko vorliegt und aktiv entsprechend im Interesse der Organisation handeln“. Demnach reicht es nicht aus, einfach nur Poster mit einer Botschaft aufzuhängen.

Poster sind nur eines von vielen Mitteln, um die Aufmerksamkeit auf ein Thema zu lenken. Dazu müssen Mitarbeiter geschult werden, was zu tun ist, um dem jeweiligen Problem zu entgegnen und das Gelernte auch in routiniertes Verhalten zu überführen. Ein starkes Motto wie „Fordern & Fördern“ führt schnell dazu, dass zu jeder Handlungsempfehlung die wirklich benötigten Hilfsmittel bereitgestellt werden.

Erst wenn alle Ausreden beseitigt sind, dass irgendetwas nicht gemacht werden kann, weil es nicht bekannt war oder keine Zeit dafür blieb, dann kann auch das angestrebte Ziel erreicht werden. Nicht ganz so stark, aber mit dem Arbeitsauftrag gut vermittelbar – also wofür der Mitarbeiter sein Gehalt verdient- ist der Appell an die Eigenverantwortung.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42825428 / Security Management)