Die Sensibilisierung und das Bewusstsein der Mitarbeitenden für die Belange der Informationssicherheit sind ein essenzieller Baustein im Rahmen eines Informationssicherheitsmanagementsystem (ISMS). Ein gut durchdachtes Konzept für die Informationssicherheits-Awareness sorgt nicht nur für Transparenz und Akzeptanz bei der Geschäftsleitung, sondern erhöht auch die Chancen, erfolgreich umgesetzt werden zu können. Die Mitarbeitenden mitzunehmen ist entscheidend, wenn Sie eine entsprechende Sicherheitskultur kreieren und dabei die menschliche Firewall konfigurieren möchten. Wir geben Anregungen zur inhaltlichen Ausgestaltung eines Konzeptes.
Der Inhalt im Überblick
- Grundgerüst eines guten Konzeptes
- Einleitung, Zweck, Ausgangslage, Zielsetzungen, Planung der Awareness
- Verantwortlichkeiten und Rollenverständnis
- Branche und Belegschaftsgröße entscheiden über Schulungskonzept
- Zielgruppen, Alter, Wissensstand, Schulungsbedarf, Firmenkultur
- Externe und interne Faktoren, Veränderungen in der IT
- Frequenz und Intervalle der Schulungen und Awarenessmassnahmen
- Interne Ressourcen und Gegebenheiten
- Kosten, Budget und Vertragsgestaltung
- Methoden, Medien, Technik und Plattformen
- Kommunikative Maßnahmen und unterstützende Materialien
- Flexibilität: Einbau von aktuellen Vorfällen und deren Abwehr
- Die richtige Themenauswahl für die Informationssicherheit
- Erfolg, Messung, Controlling sollten im Konzept definiert werden
- Fragebogen, Zertifikate und Bescheinigungen, Incentivierung
- Ein durchdachtes, stringentes Konzept
Grundgerüst eines guten Konzeptes
Das Konzept für Informationssicherheits-Awareness sollte grundsätzlich ein möglichst dauerhafter Plan sein, der jedoch auch agil bleibt und somit auf Veränderungen im Unternehmen, auf die Lage der Informationssicherheit oder in der Regulatorik reagieren kann.
Er sollte eine konkrete Planung und Durchführung beinhalten und mit einer belastbaren Budgetplanung einhergehen. Wir empfehlen konkret die Einbeziehung aller Stakeholder, um ein stabiles Fundament im Unternehmen zu gewährleisten. So sollte beispielsweise eine gewöhnliche Fluktuation in der Geschäftsleitung keinen negativen Einfluss auf die mittelfristige Planung haben.
Die folgenden Punkte sollten bei der Erstellung eines Konzeptes für Informationssicherheits-Awareness berücksichtigt werden:
Einleitung, Zweck, Ausgangslage, Zielsetzungen, Planung der Awareness
In der Einleitung des Konzeptes sollte stets der Zweck beschrieben werden.
- Wie ist die Ausgangslage?
- Wo wollen wir realistischerweise in den nächsten Jahren stehen?
- Ganz wichtig: Das Konzept sollte sich immer an der jeweiligen IT-Strategie orientieren.
Die Abbildung von den definierten Maßnahmen sollte konkret, detailliert und transparent sein. Mögliche Zielkonflikte sind dabei zu beachten und zu eliminieren, beziehungsweise zu minimieren. Es sollte auch immer die Erreichung von bestimmten, fixierten Zielen angestrebt werden. Falls Kennzahlen (KPIs) inkludiert sind, sollten sie nachvollziehbar und überprüfbar sein – idealerweise werden dafür definierte Zeiträume festgelegt.
Verantwortlichkeiten und Rollenverständnis
Wichtig für die Ausgestaltung ist auch die transparente Definition von Rollen und Verantwortlichkeiten. Natürlich ist gerade auch dieser Punkt sehr transparent darzustellen. Ein Konzept wird in der Praxis sehr viel erfolgreicher wirken können, wenn alle Beteiligten klare Verantwortlichkeiten einnehmen und diese bekannt sind.
Fragestellungen aus der Praxis, die oft eine Rolle spielen sind beispielsweise das Zusammenspiel von Informationssicherheitsbeauftragten und des Bereichs Personal. Konkret:
- Wer stellt die Trainingsinhalte zusammen?
- Wer wertet die Ergebnisse der Teilnehmer aus?
- Wer moderiert, kommuniziert, wer fasst zusammen?
- Welcher Fachbereich ist für die Auswertung welcher Kennzahlen zuständig?
- Wie werden Änderungsvorschläge in die Konzeption gebracht, wer muss beteiligt werden?
Fragen über Fragen, die jedoch nicht erst nach der Einführung des Konzeptes geklärt werden sollten.
Branche und Belegschaftsgröße entscheiden über Schulungskonzept
Ein erfolgreiches Konzept berücksichtigt auch die Branche des Unternehmens. Das hat zum schon allein damit zu tun, dass gewisse Branchen gegebenenfalls speziellen Anforderungen unterliegen – beispielsweise Versicherungen (VAIT), Automobilindustrie (ggf. VDA / TISAX).
Aber auch mit den weiteren Gegebenheiten einer Branche, sofern sich das Verallgemeinern lässt: Wie steht es um das Qualifikationsniveau, die Fremdsprachenaffinität, die IT-Affinität, die Angriffsattraktivität, etc.
Natürlich ist auch die Belegschaftsgröße für die Erstellung eines Konzeptes essenziell: Bei einem 30-köpfigen Start-up wird man wohl Themen der Informationssicherheit im persönlichen Austausch besprechen können, während man bei einem Konzern mit über 10.000 Mitarbeitern kaum auf eine gewisse technische Automation im Bereich Awareness verzichten kann.
Zielgruppen, Alter, Wissensstand, Schulungsbedarf, Firmenkultur
Diese Punkte sind ein großes Thema, das eigentlich einen eigenen Artikel verdient hätte und somit hier nur rudimentär behandelt werden kann.
Wichtig ist es jedoch, sich Gedanken zu den Zielgruppen eines Informationssicherheits-Awareness-Trainings zu machen und dementsprechend sinnvoll zu segmentieren. Die Auswahl der Zielgruppen kann beispielsweise nach Fachbereich (dedizierte Training für die Bereiche HR, Accounting, IT, etc.) erfolgen, da hier unterschiedliche Themen, Affinitäten, aber auch Prozesse eine Rolle spielen. Oder aber auch die Differenzierung nach Führungsebenen.
In der Praxis schon erlebt: Es wurde eine Trainingskonzeption für vier Jahre erstellt, die die Belange der Best Ager berücksichtigt, da diese 60 Prozent der Mitarbeitenden repräsentierten. Alles schön und gut. Allerdings wurde nicht berücksichtigt, dass die Mehrzahl dieser Best Ager in den nächsten zwei Jahren in Rente / Pension geht und wahrscheinlich durch die Generation Y und Z abgelöst werden wird. Dieser Wechsel sollte selbstverständlich auch bei der Konzeption vorausschauend inkludiert werden.
Das Qualifikationsniveau und die damit einhergehende Einstellung zum Thema Weiterbildung & Wissensvermittlung beeinflussen ebenso das Konzept. Einige Mitarbeitende sehen Wissensvermittlung und Training als Chance, andere begegnen dieser Möglichkeit ablehnend. Diese Faktoren haben Einfluss auf den Schulungsbedarf und dessen Akzeptanz.
Die individuelle Firmenkultur muss natürlich ebenso eine Rolle spielen. Wie offen wird kommuniziert? Wie konkurrenzorientiert sind die Mitarbeiter untereinander? Gibt es eine Fehlerkultur? Auch die Unternehmenssituation insgesamt sollte empathisch berücksichtigt werden: Surft das Unternehmen dauerhaft auf einer Erfolgswelle oder ist ein permanenter Stellenabbau geplant? Diese Rahmenbedingungen haben sicherlich Einfluss auf das zu erstellende Konzept.
Externe und interne Faktoren, Veränderungen in der IT
Die externen und internen Faktoren sollten ebenfalls bei der Erstellung des Konzeptes berücksichtigt werden. Beispiel für eine externe Veränderung ist die Marktlage und der vermehrte Trend zur Cloud-Nutzung. Interne Faktoren implizieren die Einführung neuer Systeme und Prozesse, oder eine Veränderung der Geschäftsstrategie, die sich in der IT-Strategie niederschlägt. All das ist im Konzept zu berücksichtigen.
Frequenz und Intervalle der Schulungen und Awarenessmassnahmen
Ein weiterer wesentlicher Aspekt ist die Häufigkeit und die zeitlichen Zwischenräume bei Informationssicherheits-Awareness-Trainings. Diese sollten individuell unter Berücksichtigung aller Gegebenheiten des Unternehmens ganzheitlich betrachtet werden. Denken Sie dabei immer an Ihr oberstes Ziel: Die Informationssicherheit zu erhöhen und eine gewisse Informationssicherheitskultur im Unternehmen schaffen. Mehr ist nicht immer mehr.
Auch bei dieser Thematik ist in der Praxis ein wenig Feingefühl gefragt: So bekommt man oftmals bei der Festlegung eines Trainings für Sales im Dezember wenig Applaus, da dies im wichtigen Jahresendgeschäft stören könnte. Gleiches gilt für Accounting zu Beginn des Januars, wenn das Team unter Hochdruck am Jahresabschluss arbeitet.
Zusätzlich empfiehlt es sich, schon von Beginn an Ersatztermine für Nachzügler zu planen, da eine einhundertprozentige Teilnehmerquote nur selten erreicht werden kann. Teilnehmerquote und der Umgang mit der Nachschulung sind übrigens für manche Auditoren ein kleines Indiz, wie seriös ein Unternehmen das ISMS betreibt und wie es um die Sicherheitskultur im Unternehmen bestellt ist.
Interne Ressourcen und Gegebenheiten
Für die Umsetzung des Konzeptes benötigen Sie interne und externe Ressourcen. Auf die Externen gehen wir im nächsten Punkt ein. Die internen Ressourcen haben oftmals eine Gemeinsamkeit: Sie sind in der Regel knapp. Deshalb ist ein schonender Umgang unerlässlich. Auch hier ist die Kommunikation der Schlüssel zum Erfolg. Die Unterstützung der Geschäftsleitung ist enorm wichtig und Grundvoraussetzung. Allerdings alleinig nicht ausreichend. Idealerweise sprechen Sie mit den Bereichen, die Ihnen Unterstützung geben können: Personal, IT, Office Management, etc.: Wenn Sie die Fachbereichsleitende auf Ihre Seite bringen, wird das Konzept von vielen Schultern getragen und gelebt werden können.
Berücksichtigen Sie auch interne Gegebenheiten und eingrenzende Rahmenbedingungen, die das Konzept beeinflussen können. Dabei ist auch an technische Plattformen und Optionen zu denken.
Kosten, Budget und Vertragsgestaltung
Die internen Ressourcen sind limitiert oder nicht verfügbar? Dann sollten Sie sich die gewünschte Expertise einkaufen. Unabhängig von dem gewünschten Weg, den Sie einschlagen möchten, die Optionen sind vielfältig. Ob E-Learning, Phishing-Kampagnen oder ein externer Präsenztrainer: Die Hauptfrage lautet häufig: Steht das benötigte Budget zur Verfügung? Und zwar im Rahmen einer mittelfristigen Planung?
Auch sollten im Konzept die Anforderungen und Kriterien für einen Angebotsvergleich hinterlegt werden. Damit sorgt man für die nötige Transparenz und kann auch bei gravierenden Marktveränderungen entsprechend agieren.
Ebenfalls sollte die Vertragsgestaltung transparent dargestellt werden, da sich dort unter Umständen Kosten verstecken, bzw. eine Vergleichbarkeit der Angebote hergestellt werden sollte.
Methoden, Medien, Technik und Plattformen
Dieser Themenaspekt ist recht komplex und von vielen Faktoren abhängig. Ist PowerPoint für meine Ziele einsetzbar oder macht doch eher ein E-Learning Sinn. Wie sieht es mit dem Einsatz von Videos aus. Oder soll es doch eine App sein? Finden Trainings persönlich oder digital statt – oder in einer Mischform? Werden Gruppenaktivitäten angeboten oder finden sie zumindest ergänzend statt? Sind die Mitarbeitenden grundsätzlich bereit und es gewohnt, aktiv mitzuarbeiten und Lösungen zu entwickeln? Welche Medien und welche Technologien stehen zur Verfügung, bzw. werden benötigt? Wie lernt die Zielgruppe am besten, wie ist sie es gewohnt?
Diese und noch viel mehr Detailfragen sollten Sie klären, um die Zielgruppe bestmöglich zu erreichen und optimale Ergebnisse zu erhalten.
Kommunikative Maßnahmen und unterstützende Materialien
Auch der Einsatz von unterstützenden kommunikativen Maßnahmen sollte in dem Konzept berücksichtigt werden. Hierzu gehören nicht nur attraktive Schulungsunterlagen, sondern unterstützende Materialien, beispielsweise
- Newsletter
- E-Mail-Kampagne
- Themenmonate
- Intranet Webseite
- Videos
- Poster
- Karten
- Sticker
- Mousepads
- Bildschirmschoner
- Tassen
Ein durchgängiges Design sollte dabei einen gewissen Wiedererkennungswert vermitteln. Im Konzept ist zu klären, ob diese Aufgaben Inhouse übernommen werden können oder eine externe Agentur beauftragt werden sollte.
Flexibilität: Einbau von aktuellen Vorfällen und deren Abwehr
Bei dem Wunsch nach Konstanz und zumindest mittelfristigem Bestand des Konzeptes sollten gleichwohl Möglichkeiten zur Flexibilisierung und Ad-Hoc-Meldungen mitbedacht werden. Da geht es insbesondere um neue Sicherheitsbedrohungen oder Richtlinienänderungen, aber auch die Reaktion auf Schwachstellen in Prozessen oder sogar Vorfällen (zum Beispiel in der Branche oder im eigenen Unternehmen). Dies sollte dann auch in kommenden Maßnahmen mit einbezogen werden.
Die richtige Themenauswahl für die Informationssicherheit
Bei der Themenauswahl für Informationssicherheits-Awareness gibt es tatsächlich leider eine große Auswahl, da sie sich nämlich an der Vielzahl der Angriffstechniken orientiert. Wir empfehlen einen kurzen Überblick, der sich an der aktuellen Lage der Informationssicherheit orientiert.
Anschließend eine Priorisierung, die maßgeschneidert auf Ihr Unternehmen ist. Immer wieder unterstützend sind dabei aktuelle Praxisbeispiele aus dem eigenen Unternehmen oder der Branche, weil dies den Aufmerksamkeitsgrad der Teilnehmenden deutlich steigern wird.
Dedizierte Anregungen zu Themen erhalten Sie in unserem Fachbeitrag Inhalte eines Informationssicherheits-Awareness-Trainings.
Erfolg, Messung, Controlling sollten im Konzept definiert werden
Ein gutes, mehrjähriges Konzept für Informationssicherheits-Awareness sollte idealerweise erfolgreich sein. Dazu sollten Erfolgskriterien festgelegt werden und überprüfbar sein. Die Bildung sinnvoller Kennzahlen ist dabei unerlässlich.
Wir gehen in unserem Beitrag nicht explizit auf die Kosten eines Cyber-Schadensfalles ein, der Branchenverband Bitkom e.V. bietet hierzu jedoch einen interessanten Leitfaden an.
Wer es etwas verkürzt haben möchte: Auch der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) bietet eine kurze Übersicht zu den Kosten an.
Auch wenn eine erfolgreiche Konzeption mögliche Angriffe nicht vollumfänglich verhindern kann, kann auf jeden Fall das Risiko verringert werden.
Es empfiehlt sich, eine unternehmensspezifische Betrachtung darzustellen, um die Investition in Informationssicherheits-Awareness zu argumentieren.
Fragebogen, Zertifikate und Bescheinigungen, Incentivierung
Je nach Zielgruppe und Art des Konzeptes und der Methodik sollte zumindest über ein Belohnungssystem nachgedacht werden und in das Konzept einbezogen werden. Das kann über ein Punktesystem für Einzelpersonen auch über vordefinierte Zeiträume oder auch über den Ansatz von Gruppen oder Abteilungen erfolgen. Dieser Ansatz bietet sich gerade bei dem Einsatz von Gamification an.
Eine Thematik, die unabdingbar zu der Kultur des Unternehmens passen muss und mit den verschiedenen Stakeholdern abgestimmt werden sollte.
Je nach Art des Trainings und des Inkludierens eines Tests, bieten sich auch die Bereitstellung von Zertifikaten und Bescheinigungen an.
Zu guter Letzt ist auch die Erstellung eines Feedbacks in welcher Form auch immer, anzuraten. Zum einen können Sie daraus auch KPSs ableiten, aber auch wertvolle Erkenntnisse für die zukünftige Planung erhalten.
Ein durchdachtes, stringentes Konzept
Sie sehen: Bei der Gestaltung sind eine Menge an unterschiedlichen Aspekten zu berücksichtigen. Auch für ein Informationssicherheits-Awareness-Konzept sollte eine kontinuierliche Verbesserung im Rahmen des PDCA-Zyklus angestrebt werden.
Unser Beitrag ist sicherlich nicht vollumfänglich, bietet Ihnen jedoch eine gute Grundlage ein auf Ihr Unternehmen zugeschnittenes Konzept zu gestalten. Dabei ist stets auf Stringenz und den roten Faden zu achten.
Nicht nur Ihre Mitarbeitenden werden dies honorieren: Mit Sicherheit.