Security Awareness der Mitarbeiter fordern und fördern, Teil 2

Sicherheitssensibilisierung am Beispiel der Passwörter

| Autor / Redakteur: Dirk Schadt, (ISC)²-zertifizierter CISSP / Stephan Augsten

Messung des Erfolgs

Bevor überhaupt eine Kampagne gestartet wird, sollte man eine Nullmessung durchführen. Natürlich sollte vorab sichergestellt werden, dass Mitarbeitervertreter und Datenschutzbeauftragte keinen Einwand gegen eine anonymisierte Prüfung der verwendeten Kennwörter vorbringen.

Nun kann man ermitteln, wie gut oder schlecht Passwörter tatsächlich gewählt werden und ob auf unterschiedlichen Systemen auch unterschiedliche Passwörter verwendet werden. Diese Messung sollte kurz nach der Einführung der Kampagne sowie einige Zeit danach, z.B. nach zwei Passwortwechselperioden, noch einmal durchgeführt werden.

Ergebnisse veröffentlichen

Mit der Messung lässt sich leicht nachweisen, ob die Kampagne erfolgreich war, in welchen Bereichen der Erfolg besonders zum Tragen kam und wo noch Verbesserungspotential besteht. Gerade in Sicherheitsbelangen ist es enorm förderlich, wenn Mitarbeiter erfahren, dass sie als Gruppe geholfen haben, Dinge zu verbessern.

Begleitendes Marketing

Geschichten von Mitarbeitern, dass Risiken eingedämmt oder Probleme vermieden wurden, sind die beste Nachricht, die eine Sicherheitverantwortlicher marketingtechnisch nutzen kann. Wenn Produkte verbessert werden können, weil man Verfahren übernehmen konnte, oder Mitarbeiter berichten, dass sie die Empfehlungen auch im privaten Bereich anwenden, ist das ebenso nutzbar. Je nach Möglichkeiten im Unternehmen können Artikel im Intanet, in der Mitarbeiterzeitung oder sogar als Beitrag auf einer Konferenz oder Kundenveranstaltung zu einer breiteren positiven Wahrnehmung führen.

„Die Dosis macht das Gift“

Gemäß dieses Ausspruchs von Paracelsus sollte genau ermittelt werden, mit welcher Frequenz und Intensität Mitarbeiter mit Security-Awareness-Kampagnen konfrontiert werden. Zu schnell wirken gut gemeinte und wichtige Botschaften wie Spam. Die Erfahrung zeigt: Sobald die Kampagne abgeschossen ist, gerät die Aufforderung richtig zu Handeln in Vergessenheit oder wird von neuen Mitarbeitern einfach nicht verstanden.

Security Awareness sollte deshalb ein laufender Posten im Budget des CISO sein und nicht leichtfertig Sparmaßnahmen geopfert werden. Am Ende wirkt das Zusammenspiel von gut implementierter und gut betriebener Technik und wachsamen Mitarbeitern besser, als sich nur auf eines der beiden zu verlassen. In der gleichen Art und Weise, wie wir eben vorgegangen sind, lassen sich auch andere Bereiche zielgruppenorientiert adressieren, darunter:

  • Sicherheitsvorfälle erkennen und melden
  • Sicherheit im Projekt von Anfang an einbauen
  • E-Mail- und Social-Networking-Spam erkennen
  • Spam vermeiden (für die Zielgruppe Marketing)
  • Umgang mit vertraulichen Informationen

Über den Autor

Dirk Schadt ist seit 2004 (ISC)²-zertifizierter CISSP und gründete Anfang 2007 die Unternehmensberatung SPOT Consulting.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 42827370 / Security Best Practices)