Grundschutz/Umsetzungsplanung/Begleitende Maßnahmen: Unterschied zwischen den Versionen
Zeile 33: | Zeile 33: | ||
=== Sensibilisierung === | === Sensibilisierung === | ||
; Sensibilisieren Sie die betroffenen Mitarbeiter | ; Sensibilisieren Sie die betroffenen Mitarbeiter | ||
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten | |||
* Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren | * Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren | ||
Version vom 3. September 2024, 10:47 Uhr
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
Schulungsmaßnahmen | |
Sensibilisierung | |
Akzeptanz |
Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt wird
- Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden
Schulungsmaßnahmen
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter
- Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als IT-Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets
- Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: * Welche Nachrichten oder Dateien sind zu verschlüsseln?
- Wie ist der private Schlüssel zu schützen?
- Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten?
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden
Sensibilisierung
- Sensibilisieren Sie die betroffenen Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren
- Negative Beispiele
- Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
- Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
- Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
- Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
- Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
- Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein