Security Awareness
„Der Mensch ist und bleibt gleichzeitig das schwächste und wichtigste Glied in der Security Kette. Alle technischen Schutzmaßnahmen nutzen nichts, wenn der Mensch sie nicht umsetzt oder seinen ergänzenden Beitrag zur Sicherheit leistet. Deshalb ist die Sensibilisierung der Mitarbeiter eine der wichtigsten Aufgaben, um für Informationssicherheit im Unternehmen zu sorgen“ (Schimmer 2007)
Security Awareness ist die Grundlage der gesamten Informationssicherheit im Unternehmen und ist ein Zusammenspiel von 3 Faktoren:
• Wissen (Kognition) – Das Problem wurde erkannt, verstanden und man weiß, wie man zu handeln hat.
• Können (Organisation) – Es gibt Möglichkeiten, die IT-Sicherheit anzuwenden.
• Wollen (Handlungsabsicht) – Man hat die Absicht, sicherheitskonform zu handeln.
Der Angriffsvektor (= die möglichen Bedrohungen) für die Security Awareness ist das Social Engineering. Das Sicherheitsbewusstsein bzw. Bewusstseinsbildung und Sensibilisierung wird durch Sensibilisierungsprogramme gefördert.
• Publikationen
• Regelmäßige Veranstaltungen zum Thema IT-Security z.B. im Rahmen von Fortbildungen
• Anforderungen schriftlich festhalten: Berichtswege, Handlungsanweisungen (z.B. für vermutete oder entdeckte Sicherheitsprobleme)
• Sensibilisierungsprogramme müssen für einen langfristigen Nutzen regelmäßig angepasst und wiederholt werden!
In Österreich bietet das österreichische Informationssicherheitshandbuch (Zentrum für sichere Informationstechnologie – Austria, 2013, s58f) eine wichtige Grundlage für die IT-Sicherheit und empfiehlt folgende Punkte, die ein Sensibilisierungsprogramm enthalten soll:
• Alle Mitarbeiter müssen über die Informationssicherheitspolitik des Unternehmens informiert sein
• Die erzielten bzw. die wichtigsten Ergebnisse einer Risikoanalyse (Bedrohungen, Schwachstellen, Risiken…)
• Die Planung, wie die Sicherheitsmaßnahmen implementiert und überprüft werden.
• Die Information, welche Auswirkungen von sicherheitsrelevanten Ereignissen für einzelne Anwender und für die gesamte Institution haben
• Die Information bzw. Pflicht über die absolute Notwendigkeit, Sicherheitsverstöße zu melden und zu untersuchen
• Sollten Sicherheitsvorgaben nicht eingehalten, welche Konsequenzen zu erwarten sind.
Quellenangabe:
Schimmer K. (2007): Sicherheit beginnt im Kopf. Datenschutz und Datensicherheit - DuD , Volume 31, Issue 7, 510-514
Zentrum für sichere Informationstechnologie - Austria (2013): Österreichisches Informationssicherheitshandbuch, Version 3.1.5. Wien: Bundeskanzleramt Österreich, www.sicherheitshandbuch.gv.at