Vorbereitet auf den Ernstfall

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nehmen Mitarbeiter den ersten Platz bei den größten Sicherheitslücken ein. Ein Grund, warum das Thema der Sensibilisierung vor den Gefahren zunehmender Hackerangriffe ein wichtiger Aspekt ist, ja der Schlüsselfaktor für erfolgreiche Unternehmen im digitalen Zeitalter. Ein Grund sieht Uwe Rühl, Geschäftsführer der Rühlconsulting Gruppe, in der durchgängigen Vernetzung, und die machen Systeme anfälliger. „Im schlimmsten Fall sind Unternehmen Cyberangriffen komplett ausgeliefert“, warnt er. Die Rühlconsulting Gruppe hat jüngst im Rahmen einer Masterarbeit den „Faktor Mensch in der Informationssicherheit“ untersuchen lassen.

Konkret ging es um die „Einsatzmöglichkeiten von E-Portfolios zur Erfüllung der Anforderungen der ISO/IEC 27001 (Anm. d. Red.: Anforderungen an ein dokumentiertes Informationssicherheitsmanagementsystem) an die Sicherstellung der Kompetenz und Awareness“. Die in Kooperation an der Donau-Universität Krems erstellte Arbeit zeigt: Wissen und die Wissensvermittlung im Bereich der Informationssicherheit sind entscheidende Bausteine für Unternehmen. Im Rahmen der Studie wurden über 170 Unternehmen aus Deutschland, Österreich und der Schweiz befragt. Zu den meistgenannten Branchen gehört die Industrie mit 16 Prozent, gefolgt von Behörden (öffentliche Hand) mit 15 Prozent sowie dem Gesundheitssektor mit 13 Prozent.

Im Mittelpunkt stand unter anderem die Frage, bis zu welchem Grad Unternehmen die Anforderungen der ISO/IEC 27001:2013 in Bezug auf Kompetenz und Bewusstsein derzeit umsetzen. Die Ergebnisse zeigen, dass nur 27 Prozent der befragten Unternehmensvertreter wussten, dass in ihrer Organisation ein Informationssicherheitsmanagementsystem (ISMS) nach ISO/IEC 27001 zum Einsatz kommt. Nur etwas mehr als ein Viertel der Befragten wüssten von der Existenz eines ISMS im eigenen Unternehmen, so Rühl weiter. „Mitarbeiter müssen die Informationssicherheitspolitik des Unternehmens kennen, sonst ist solch ein Vorhaben zum Scheitern verurteilt.“

Darin liegt eine Kernaufgabe der Unternehmensleitung, die einen Gesamtprozess zum ISMS initiieren und deren Wirksamkeit überwachen muss – in der gesamten Organisation. An den Ergebnissen zeigt sich, dass diese Kernaufgabe in Unternehmen zu wenig beachtet wird. Dies deckt sich auch mit Expertenmeinungen, wie der von Teletrust, dem Bundesverband für IT-Sicherheit. Der Verband kommt in einem Leitfaden zum „Informations- sicherheits- management“ aus dem Jahr 2012 zu dem Ergebnis: „Heutige Bedrohungen im Zusammenspiel von Menschen, Maschinen und Kommunikations- medien erfordern, den gesamten Zyklus aller Aktivitäten im Unternehmen organisatorisch, prozessual, physisch und technisch zu betrachten und diesen integriert zu begegnen.“ Und die Autoren des Leitfadens fügen an: „Ein erfolgreiches Informationssicherheitsmanagementsystem (nachfolgend ISMS genannt) wird ausgehend von der Geschäftsleitung in der Organisation implementiert.“ Im Klartext heißt das: Das klare Ja zur Informationssicherheit muss aus der Chefetage kommen. Ein Blick auf die Umfrage und die Felder mit den meisten Schulungsmaßnahmen zeigt, dass 119 Probanden den Bereich Arbeitssicherheit nannten, gefolgt von der Informationssicherheit/Datenschutz mit 25 Prozent der Antworten.

Interne Seminare sind mit 58 Prozent die häufigste Art der Wissensvermittlung im Bereich Informationssicherheit/Datenschutz. Mit Bezug auf die ISMS-Studie zeigt sich, dass die Kommunikation von Leitlinien im Bereich Informationssicherheit und des Datenschutzes mithilfe elektronischer Dokumente (zum Beispiel PDF) dominiert. 33 Prozent der Befragten nannten elektronische Dokumente als die häufigste Form, gefolgt vom Intranet und WIKIs mit 32 Prozent sowie der Bereitstellung von Leitlinien oder Regelungen in Papierform mit 24 Prozent. 50 Prozent der Befragten gaben an, dass die Bestätigung der Kenntnisnahme und des Verständnisses durch Unterschriften erfolgt.

Die Auswertung elektronischer Zugriffe und die Überprüfung anhand von Wissenstests lagen mit 19 und 15 Prozent mit weitem Abstand dahinter. Demnach gaben über die Hälfte der Befragten an, dass das Wissen um Leitlinien oder Richtlinien im Bereich der Informationssicherheit und des Datenschutzes zumindest bestätigt werden müsse. Doch genau hier liegt der Knackpunkt, denn eine Bestätigung per Unterschrift lässt keine tatsächlichen Rückschlüsse zum Verständnis der Inhalte zu. „Leider ist die Methode einer reinen Unterschrift keine zielführende Lösung, um das Verständnis im ISMS-Bereich zu fördern und den Mitarbeitern die Auswirkungen bei Nichterfüllung bewusst zu machen“, warnt Rühl.

Zudem fällt im Rahmen der Befragung auf, dass die überwiegende Methode zur Ermittlung vorhandener Kompetenzen im ISMS-Umfeld der Nachweis einer Teilnahme an Schulungen (45 Prozent) und das Vorweisen von Zertifikaten mit 20 Prozent darstellt. Wissenstests wurden demgegenüber nur von 13 Prozent der Befragten benannt. Eine Information darüber, ob sich die Teilnehmer die dort vermittelten Kompetenzen auch tatsächlich und in ausreichender Weise angeeignet haben, ist kritisch zu hinterfragen. Doch gerade das fundierte Wissen um Inhalte, Prozesse und den praxisnahen Umgang im ISMS-Umfeld ist entscheidend für den Erfolg von Informationssicherheitsmaßnahmen.

Im Rahmen der Untersuchung wurde der Einsatz von E-Portfolios als mögliche Alternative und Weg zur Vermittlung von Kompetenzen und dem notwendigen Bewusstsein eines ISO/IEC 27001:2013 beleuchtet. Hierzu wurde eigens ein E-Portfolio-Entwurf als „E-Portfolio für Informationssicherheit“ auf Basis der Open-Source- Software „Mahara“ erarbeitet. Das Prüfungsportfolio soll Mitarbeitern in einem Unternehmen ein Bewusstsein und die notwendige Kompetenz im Bereich der Informationssicherheit vermitteln. Bezüglich der Kenntnisse zu E-Portfolios bestätigt die Befragung, dass E-Portfolios in den befragten Unternehmen größtenteils unbekannt sind (84 Prozent).

Trotz der Unbekanntheit von E-Portfolios würde ein Drittel der Befragten ein solches im Rahmen von Schulungsmaßnahmen ausprobieren. Allerdings sind auch skeptische Meinungen vertreten. Die meisten Teilnehmer nannten die Akzeptanz (39 Prozent) und die technische Umsetzung (37 Prozent) als größte Herausforderungen beim Einsatz von E-Portfolios. Wichtige Erfolgsfa k tor en für den Einsatz von E-Portfolios als Alternative sind unter anderem die Festlegung des Portfoliotyps, Inhalte genau zu planen, eine klare Aufgabenfestlegung sowie die Portfolioarbeit in die Schulungen zu integrieren. Zudem müssen Evaluierungskriterien klar festgelegt und in die Praxis implementiert werden.

Susanne Keck, Mitarbeiterin im Bereich IT-Service-Management bei der Rühlconsulting Gruppe und Masterabsolventin an der Donau-Universität Krems zum Thema: „Der Faktor Mensch in der Informationssicherheit“, www.ruehlconsulting.de