Grundschutz/Umsetzungsplanung/Begleitende Maßnahmen
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
| Schulung | |
| Sensibilisierung | |
| Akzeptanz |
- Erfolg von Maßnahmen
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden
- Einführung neuer Sicherheitsmaßnahmen
Betroffenen Mitarbeiter ausreichend schulen
- Für mögliche Probleme sensibilisieren
Schulung
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert
- Aufgaben- und produktbezogene Schulungen
- Für die betroffenen Mitarbeiter
Beispiel
- Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
| Bereich | Beschreibung |
|---|---|
| Sicherheitsmanagement |
|
| Firewall | Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration |
| Verschlüsselung | Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden |
Sensibilisierung
- Sensibilisierung betroffener Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen
Mitarbeiter einbeziehen
- Für Informationssicherheit sensibilisieren
- Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
- Notwendigen Verhaltensregeln zu beachten
- Auch Unbequemlichkeiten zu akzeptieren
- Feedback aufnehmen
- Negative Beispiele
| Bereich | Beschreibung |
|---|---|
| Brandschutz | Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist |
| E-Mail-Verschlüsselung | Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt |
| Passwörter | Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
|
| Lästige Pflicht | Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren |
| Netzadministrator | Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht |
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein