Grundschutz/Umsetzungsplanung/Begleitende Maßnahmen: Unterschied zwischen den Versionen
(13 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 5: | Zeile 5: | ||
{| class="wikitable options big" | {| class="wikitable options big" | ||
|- | |- | ||
| [[# | | [[#Schulung|Schulung]] || | ||
|- | |- | ||
| [[#Sensibilisierung|Sensibilisierung]] || | | [[#Sensibilisierung|Sensibilisierung]] || | ||
Zeile 12: | Zeile 12: | ||
|} | |} | ||
; Erfolg von Maßnahmen | |||
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden | |||
=== | ; Einführung neuer Sicherheitsmaßnahmen | ||
Betroffenen Mitarbeiter ausreichend schulen | |||
* Für mögliche Probleme sensibilisieren | |||
=== Schulung === | |||
; Planen Sie Schulungsmaßnahmen ein | ; Planen Sie Schulungsmaßnahmen ein | ||
Die Einführung neuer Sicherheitsmaßnahmen erfordert | Die Einführung neuer Sicherheitsmaßnahmen erfordert | ||
* Aufgaben- und produktbezogene Schulungen | |||
* Für die betroffenen Mitarbeiter | |||
Beispiel | |||
: Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können? | |||
; Beispiele für zweckmäßige Schulungen | ; Beispiele für zweckmäßige Schulungen | ||
{| class="wikitable options" | |||
! Bereich !! Beschreibung | |||
|- | |||
| Sicherheitsmanagement || | |||
* Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als IT-Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets | * Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als IT-Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets | ||
* Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen | * Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen | ||
|- | |||
| Firewall || Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration | |||
|- | |||
| Verschlüsselung || Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: | |||
* Welche Nachrichten oder Dateien sind zu verschlüsseln? | |||
* Wie ist der private Schlüssel zu schützen? | |||
* Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? | |||
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden | |||
|} | |||
=== Sensibilisierung === | === Sensibilisierung === | ||
; | ; Sensibilisierung betroffener Mitarbeiter | ||
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten | |||
; Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen | |||
Mitarbeiter einbeziehen | |||
* Für Informationssicherheit sensibilisieren | |||
* Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen | |||
** Notwendigen Verhaltensregeln zu beachten | |||
** Auch Unbequemlichkeiten zu akzeptieren | |||
* Feedback aufnehmen | |||
; Negative Beispiele | ; Negative Beispiele | ||
{| class="wikitable options" | |||
! Bereich !! Beschreibung | |||
|- | |||
| Brandschutz || Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist | |||
|- | |||
| E-Mail-Verschlüsselung || Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt | |||
|- | |||
| Passwörter || Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe | |||
* Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit | * Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit | ||
|- | |||
| Lästige Pflicht || Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren | |||
|- | |||
| Netzadministrator || Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht | |||
|} | |||
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form | Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form | ||
Zeile 43: | Zeile 77: | ||
=== Akzeptanz === | === Akzeptanz === | ||
; Überprüfen Sie die Akzeptanz der Maßnahmen | ; Überprüfen Sie die Akzeptanz der Maßnahmen | ||
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden | Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. | ||
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden | |||
* Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein | * Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein | ||
[[Kategorie:Grundschutz/Umsetzungsplanung]] | [[Kategorie:Grundschutz/Umsetzungsplanung]] |
Aktuelle Version vom 7. September 2024, 22:53 Uhr
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
Schulung | |
Sensibilisierung | |
Akzeptanz |
- Erfolg von Maßnahmen
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden
- Einführung neuer Sicherheitsmaßnahmen
Betroffenen Mitarbeiter ausreichend schulen
- Für mögliche Probleme sensibilisieren
Schulung
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert
- Aufgaben- und produktbezogene Schulungen
- Für die betroffenen Mitarbeiter
Beispiel
- Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
Bereich | Beschreibung |
---|---|
Sicherheitsmanagement |
|
Firewall | Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration |
Verschlüsselung | Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden |
Sensibilisierung
- Sensibilisierung betroffener Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Dauerhafte Wirksamkeit von Sicherheitsmaßnahmen
Mitarbeiter einbeziehen
- Für Informationssicherheit sensibilisieren
- Bereitschaft schaffen, die erforderlichen Maßnahmen umzusetzen
- Notwendigen Verhaltensregeln zu beachten
- Auch Unbequemlichkeiten zu akzeptieren
- Feedback aufnehmen
- Negative Beispiele
Bereich | Beschreibung |
---|---|
Brandschutz | Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist |
E-Mail-Verschlüsselung | Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt |
Passwörter | Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
|
Lästige Pflicht | Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren |
Netzadministrator | Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht |
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein