Grundschutz/Umsetzungsplanung/Begleitende Maßnahmen: Unterschied zwischen den Versionen
Zeile 46: | Zeile 46: | ||
=== Sensibilisierung === | === Sensibilisierung === | ||
; | ; Sensibilisierung betroffener Mitarbeiter | ||
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten | Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten | ||
; Wirksamkeit der Sicherheitsmaßnahmen | |||
Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass | |||
* Mitarbeiter für Informationssicherheit sensibilisiert und | |||
* bereit sind, die erforderlichen Maßnahmen umzusetzen, | |||
* die notwendigen Verhaltensregeln zu beachten und | |||
* unter Umständen auch Unbequemlichkeiten zu akzeptieren | |||
; Negative Beispiele | ; Negative Beispiele | ||
{| | |||
| Brandschutz || Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist | |||
|- | |||
| E-Mail-Verschlüsselung || Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt | |||
|- | |||
| Passwörter || Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe | |||
* Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit | * Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit | ||
|- | |||
| Lästige Pflicht || Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren | |||
|- | |||
| Netzadministrator || Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht | |||
|} | |||
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form | Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form |
Version vom 7. September 2024, 22:42 Uhr
Begleitende Maßnahmen
- Begleitende Maßnahmen festlegen
Schulung | |
Sensibilisierung | |
Akzeptanz |
- Erfolg von Maßnahmen
Hängt wesentlich davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt werden
- Einführung neuer Sicherheitsmaßnahmen
Betroffenen Mitarbeiter ausreichend schulen
- Für mögliche Probleme sensibilisieren
Schulungsmaßnahmen
- Planen Sie Schulungsmaßnahmen ein
Die Einführung neuer Sicherheitsmaßnahmen erfordert
- Aufgaben- und produktbezogene Schulungen
- Für die betroffenen Mitarbeiter
Beispiel
- Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können?
- Beispiele für zweckmäßige Schulungen
Bereich | Beschreibung |
---|---|
Sicherheitsmanagement |
|
Firewall | Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration |
Verschlüsselung | Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung:
Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden |
Sensibilisierung
- Sensibilisierung betroffener Mitarbeiter
Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
- Wirksamkeit der Sicherheitsmaßnahmen
Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass
- Mitarbeiter für Informationssicherheit sensibilisiert und
- bereit sind, die erforderlichen Maßnahmen umzusetzen,
- die notwendigen Verhaltensregeln zu beachten und
- unter Umständen auch Unbequemlichkeiten zu akzeptieren
- Negative Beispiele
Brandschutz | Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist |
E-Mail-Verschlüsselung | Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt |
Passwörter | Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
|
Lästige Pflicht | Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren |
Netzadministrator | Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht |
Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
Akzeptanz
- Überprüfen Sie die Akzeptanz der Maßnahmen
Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern.
Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
- Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein