Sensibilisierung und Befähigung der Mitarbeiter

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness.

Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien.

Da Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln, sondern beispielsweise durch Social Engineering ausgeführt werden, erhält diese menschliche Seite der Informationssicherheit zusätzliche Bedeutung.

Mitarbeiter sollten über mögliche Tricks der Angreifer orientiert sein und gelernt haben, mit potenziellen Angriffen umzugehen.
Die Sensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen.

Der Fokus verschiebt sich dabei inzwischen von der reinen Sensibilisierung (Awareness) hin zur Befähigung (Empowerment) der Anwender, eigenverantwortlich für mehr Sicherheit im Umgang mit IT-gestützten Informationen zu sorgen.

In Unternehmen kommt dabei dem „Information Security Empowerment“ der Führungskräfte besondere Bedeutung zu, da sie Vorbildfunktion für ihre Abteilungsmitarbeiter haben und dafür verantwortlich sind, dass die Sicherheitsrichtlinien ihres Verantwortungsbereiches zu den Arbeitsabläufen passen – eine wichtige Voraussetzung für die Akzeptanz.