Foto: HVS-Consulting AG

Sensibilisierung von Mitarbeitern

Wichtiger denn je

Industriespionage und Informationsfluss nehmen stetig zu. Wirkungsvolle Unternehmenssicherheit und Know-how-Schutz benötigen immer das Zusammenspiel dreier Komponenten: technische Maßnahmen, organisatorische Maßnahmen und Sensibilisierung der Mitarbeiter.

Viele Regelungen und Technologien sind wirkungslos, wenn sie die Mitarbeiter und Führungskräfte nicht umsetzen beziehungsweise anwenden. Eine Alarmanlage hilft nicht, wenn sie beim Verlassen des Hauses nicht aktiviert wird. Ein sicheres Passwort schützt nicht, wenn es offen aufgeschrieben oder an Kollegen und IT-Mitarbeiter weitergegeben wird.

Das menschliche Verhalten beeinflusst also entscheidend die Wirksamkeit von Technologien und Prozessen. Die wenigsten Mitarbeiter verhalten sich allerdings entsprechend sicherheitsbewusst. Meistens geschieht das einfach aus Unwissenheit. Es mag zwar Sicherheitsrichtlinien geben, aber wer kennt die schon? Und sicherheitsbewusstes Verhalten ist auch lästig, schließlich muss man PCs sperren und jedes Mal zum Öffnen wieder ein Passwort eingeben. Man muss Besucher begleiten und Unterlagen abends wegsperren. Vielen Mitarbeitern fehlt das Verständnis für diese Regeln, die doch alles ein bisschen komplizierter machen.

Deshalb ist die Schulung von Mitarbeitern und Führungskräften eine wichtige und notwendige Maßnahme, ohne die Sicherheit im Unternehmen nicht umfänglich funktionieren kann.

Präsenztraining

Präsenztrainings sind erfahrungsgemäß das wirksamste Mittel zur Sensibilisierung und Wissensvermittlung. Sicherheitsmaßnahmen werden durch Live-Hacking-Demos und Hintergrundinformationen anschaulich und verständlich erläutert. Der zusätzliche Einsatz von Security-Awareness-Videos lockert das Training auf und steigert die Motivation zur Verhaltensänderung.

Allerdings können Trainings schnell kostenintensiv werden, wenn die Zielgruppe sehr groß oder weit verteilt ist, zum Beispiel in Auslandsniederlassungen. Doch zumindest Führungskräfte sollten, wenn möglich, in ihrer Funktion als Vorbild und Multiplikator immer ein Präsenztraining zur Informationssicherheit erhalten. Denn wenn Geschäftsleitung und Führungskräfte nicht hinter den Maßnahmen stehen und sicherheitsbewusstes Verhalten vorleben, dann werden es auch die Mitarbeiter nicht umsetzen. Warum sollten sie auch?

Wenn Präsenztrainings nicht kosteneffizient durchgeführt werden können, haben sich Videos und Tutorials als sehr wirksames Mittel erwiesen. Sie können in Online-Trainings eingebunden oder als „Video des Monats“ im Intranet platziert werden. Selbst komplexe Themen wie E-Mail-Verschlüsselung oder Erkennen eines Phishing-Angriffes können durch diese Medien dauerhaft und kostengünstig vermittelt werden.

Security Awareness Kampagne

Reine Wissensvermittlung wird in der Regel nicht sofort zum gewünschten Ziel führen. Die Änderung menschlichen Verhaltens ist ein mittel- bis langfristiger Prozess. Deshalb sollten Awareness-Maßnahmen in einem drei- bis fünfjährigen Gesamtplan, eine Kampagne, eingebettet sein.

Diese Kampagnen starten oftmals mit einem Wachrüttler, haben dann eine intensive Phase der Wissensvermittlung und gehen dann in eine Phase der Nachhaltigkeit über. In dieser Nachhaltigkeitsphase wird die Aufmerksamkeit durch akzentuierte Security-Maßnahmen auf hohem Niveau gehalten, beispielsweise Newsletter, Artikel in Hauszeitungen, Bildschirmschoner, Poster, Flyer und Ähnliches. Erst in dieser Phase sollten auch technische Hilfsmittel implementiert werden, um das gewünschte Verhalten technisch zu unterstützen, zum Beispiel Verschlüsselungslösungen oder Plug-Ins zur Informationsklassifizierung in Microsoft Office. Denn erst wenn die Nutzer den Sinn solcher Tools erkannt und verstanden haben, werden sie diese im Alltag auch entsprechend einsetzen.

Frank von Stetten, Vorstand und Senior Consultant, HvS-Consulting

Foto: Knipseline/ Pixelio.de

Industriespionage

Risikofaktor Mensch

Sie sind professionell organisiert, setzen Hackermethoden ein und nutzen die Neugier der Menschen gnadenlos aus: moderne Industriespione. Neben Konzernen haben sie mittlerweile auch den deutschen Mittelstand im Visier. Die Angreifer interessieren sich für Daten aus Forschung & Entwicklung, Kundendatenbanken oder Prozessbeschreibungen.

Foto: OSD Schäfer

Sensibilisierung von Mitarbeitern

Die Firewall im Kopf

Der Mensch ist das stärkste und zugleich schwächste Glied in der Sicherheitskette. Das wird besonders beim Informations- und Know-how-Schutz deutlich. Die beste Sicherheitstechnik ist nutzlos, solange der Mitarbeiter nicht achtsam und bewusst mit dem „Rohstoff Geist“ umgeht.

Foto: Kapinos

Tätererkennung in der Vortatphase

Awareness-Training für Sicherheitskräfte

Das Attentat wird zur Waffe des 21. Jahrhundert. Die Bedrohung der Sicherheit durch Terror und Kriminalität stellt ein massives Problem dar, mit welchem jeder Mensch mehr oder weniger in seinem Alltag konfrontiert wird. Um ein Höchstmaß an Sicherheit zu gewährleisten, wäre es allerdings falsch, dazu nur auf Technik zu setzen.

Foto: Gerd Altmann/ Pixelio

Wirtschaftsspionage

Schwachstellen aufdecken und analysieren

In Zeiten stetiger Globalisierung und wirtschaftlicher Verflechtungen ist es für Unternehmen wichtig, ihr Know-how zu schützen. Mögliche Bedrohungen erwachsen dabei auch aus staatlich gelenkter Wirtschaftsspionage. W&S befrage dazu Michael George vom Bayerischen Landesamt für Verfassungsschutz.