Einführung

Um ein angemessenes Informationssicherheitsniveau im Unter-nehmen zu gewährleisten sind nicht nur zahlreiche technische, organisatorische und physische Maßnahmen notwendig. Genau-so wichtig ist es, die Mitarbeiter für das abstrakte Thema Infor-mationssicherheit zu gewinnen. Denn der beste Schutz für Infor-mationen sind sensibilisierte Mitarbeiter. Ihr Verhalten entschei-det maßgeblich darüber, ob die Zahl der Sicherheitsvorfälle steigt oder sinkt, was sich im besten Fall positiv auf die Kosten und die Auditergebnisse auswirkt.

Diese Erkenntnisse drücken sich in allen anerkannten IT-Sicherheitsstan dards aus, wie BSI IT-Grundschutz, SIZ „Sicherer IT-Betrieb“ (Sicherheitsstandard der Sparkassen-Finanzgruppe)

oder ISO/IEC 27001. Was heißt das für die Praxis? Bei Beratungs-projekten und Audits zur Informationssicherheit in der Sparkas-sen-Finanzgruppe wird die Sensibilisierung von Mitarbeitern re-gelmäßig als eine der wichtigsten und auch wirksamsten Aufga-ben im Informationssicherheits-Management identifiziert.

Für viele Unternehmen bedeutet das eine kommunikative He-rausforderung, geht es doch darum, ein Sensibilisierungskonzept zu entwickeln, das mit verschiedenen individuellen Maßnahmen wie Schulungen, Online-Seminaren und Sensibilisierungsmedien unterschiedliche Zielgruppen anspricht.

Denn, auch wenn sich die technischen Sicherheitsmaßnahmen auf einem hohen Niveau bewegen, die Aufmerksamkeit und Mit-wirkung aller Mitarbeiter ist zwingend erforderlich, um das an-gestrebte Sicherheitsniveau zu erreichen und zu halten. Das zeigt sich in unterschiedlichen Situationen:

Unbekannte Personen in nicht öffentlichen Bereichen soll-ten angesprochen und begleitet werden, damit Unbefugte kei-nen Zugriff auf vertrauliche Informationen oder kritische IT-Kompo nenten erhalten.

Die Klassifikation von Informationen und – noch wichtiger – der zulässige Umgang mit den klassifizierten Informationen ist nicht nur anzuweisen, sondern auch zu schulen. Ansonsten lässt sich beispielsweise der Versand sensibler Informationen per E-Mail kaum verhindern.

Auch außerhalb des Unternehmens sind Informationen ver-traulich zu behandeln, damit keine schutzbedürftigen Daten prominenter Kunden in geselliger Runde ausgeplaudert oder Personaldaten auf einer Bahnreise den Blicken von Mitreisen-den ausgesetzt werden.

Alle Beschäftigten, also auch im Vertrieb oder Backoffice, soll-ten entsprechend geschult sein, damit nicht – wie geschehen – ein frisch sensibilisierter Auszubildender auf Unverständnis und Ablehnung trifft, weil er den ihm unbekannten Vorstand (ohne Namensschild) fragte, wo er hin wolle und ob er ihm helfen könne.

Robert Kaltenböck, Sabine Schuster

Awareness für Informationssicherheit und Datenschutz in der Sparkassen-Finanzgruppe

Mit Bildsprache Mitarbeiter sensibilisieren

Damit nicht jedes der rund 600 Unternehmen der Sparkassen-Finanzgruppe in Sachen Mitarbeitersensibilisierung das Rad neu erfinden muss, unterstützt die DSV-Gruppe (Deutscher Sparkassenverlag) mit Beratern und Medien die Awareness-Aktivitäten vor Ort. Die Autoren stellen das dafür entwickelte, individualisierbare Awareness-Basiskonzept vor und berichten über ihre Erfahrungen.

Robert Kaltenböck

Abteilungsleiter IT-Consulting, Deutscher Sparkassenverlag

E-Mail: robert.kaltenboeck@dsv-gruppe.de

Sabine Schuster

Marketingreferentin, Deutscher Sparkassenverlag

E-Mail: sabine.schuster@dsv-gruppe.de

DuD • Datenschutz und Datensicherheit 5 | 2013 283

SCHWERPUNKT

Bildmotive aus der Tierwelt

Auch wenn jedes Unternehmen der Sparkassen-Finanzgruppe eigenverantwortlich über die Umsetzung von Sensibilisierungs-maßnahmen entscheidet, so bietet doch die Zusammenarbeit im Verbund den Vorteil, sinnvoll Synergien zu nutzen, um einmal vorgenommene Entwicklungen allen zugänglich zu machen.

Mit diesem Ziel entwickelte die DSV-Gruppe (Deutscher Spar-kassenverlag) als spezialisierter Lösungsanbieter für die Spar-kassen sowie die Verbände und Unternehmen der Sparkassen-Finanz gruppe eine individualisierbare Kampagne. Ein interdis-ziplinäres Team aus IT-Sicherheits- und Kommunikationsspezia-listen erarbeitete zum einen Medien mit Tiermotiven und zum anderen eine Vorgehensweise für die zielgerichtete Entwicklung individueller Awareness-Kampagnen. Dabei flossen auch die Er-kenntnisse aus einer von der DSV-Gruppe mitfinanzierten tiefen-psychologischen Studie „Entsicherung am Arbeitsplatz – Die ge-heime Logik der IT-Security in Unternehmen“ ein [1].

Im ersten Entwicklungsschritt wurden folgende Motive für die wichtigsten Sensibilisierungsthemen erarbeitet:

Diebische Elster mit USB-Stick im Schnabel: Umgang mit ver-traulichen Informationen

Das Farben wechselnde Chamäleon: Passwortsicherheit Angel und Fisch: E-Mail-Sicherheit und Phishing Wolf im Schafspelz: Zutrittsschutz Surfende Ente: Internet-Verhalten.

Die diebische Elster findet sich leitmotivisch auf jedem Element der Kampagne und erhöht so den Wiedererkennungswert. Jedes

Motiv begleitet ein einprägsamer Text, jeweils ergänzt um drei in-dividuelle Handlungsanweisungen.

Zum Beispiel für das Motiv „Wolf“: „Ein Wolf kann sich ver-kleiden, lammfromm stellen, Kreide fressen, nett lächeln – und sich überall Zugang verschaffen“. Eine mögliche Handlungsan-weisung lautet deshalb: „Begleiten Sie fremde Personen bis zum Ziel“.

Inzwischen sind diese Tiermotive nicht nur bei den Sparkas-sen verbreitet: Die Publikation „Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung“ führt sie beispiel-haft an. Ergänzt wurden die Motive zwischenzeitlich um weite-re einprägsame Fotomotive: das Känguru (Mobile Daten machen Sprünge), den Biber (Skimming-Aufsätze sofort erkannt) und den Elefanten (Das Internet vergisst nie).

Awareness-Medien: vom Poster bis zum Glückskeks

Ebenso entwickelte der Deutsche Sparkassenverlag (DSV) auf Ba-sis der Tiermotive geeignete Medien für die Sensibilisierungsthe-men.

Ergebnisse des fortlaufenden Entwicklungsprozesses sind bis-her:

Acht Postermotive mit Textvorschlägen und Hinweisen, die sich an die institutsindividuelle Situation anpassen lassen.

Abb. 1 | Poster Wolf Abb. 2 | Poster Ente

284 DuD • Datenschutz und Datensicherheit 5 | 2013

SCHWERPUNKT

Broschüre zu den Tiermotiven mit einprägsamen Geschich-ten und ausführlichen Hinweisen. Damit werden die Informa-tionssicherheitsregeln für jeden Mitarbeiter verständlich.

Mousepads: Sie nehmen die Tiermotive auf und enthalten die wichtigsten Tipps. Durch ihre ständige Präsenz am Arbeits-platz erhöht sich der Lerneffekt.

Bildschirmschoner oder Bildschirmhintergrund mit den Tier-motiven, die alternativ oder zusätzlich zu den Postern bereit-gestellt werden.

Haftnotizzettel mit allen in der Kampagne ausgewählten Handlungsanweisungen, wobei jeder Zettel einen anderen Tipp aufgreift.

Zettelhalter mit jeweils einer Handlungsanweisung auf dem Sockel. Der Zettelhalter wird als Passwort-Paradoxon oder für die Sicherheits-Tipps verwendet.

Tasse, die mit einer Collage der Tiermotive alle Sicherheitsthe-men in Erinnerung ruft.

Glückskekse, die sich für eine Kantinenaktion als Nachtisch eignen. Jeder Glückskeks enthält eine der Handlungsanweisun-gen auf den Postern.

Darüber hinaus bieten sich unterschiedliche Medien zur inten-siveren Schulung und Sensibilisierung der Mitarbeiter an. Beim Web Based Training wird der Content von jedem Institut indi-viduell angepasst und weiterentwickelt. Präsenzschulungen und Live-Hacking bewähren sich für eine Erstsensibilisierung oder Wissensauffrischung.

Ein Quiz sensibilisiert nicht nur für die Sicherheitsthemen, sondern misst auch den Erfolg. In der Regel wird es daher nach

dem Einsatz von Sensibilisierungsmaßnahmen durchgeführt, meist verbunden mit einem Anreiz in Form von Sachpreisen. Im Vorfeld einer Sensibilisierungskampagne gibt kontrolliertes Soci-al Engineering wichtige Hinweise, in welchem Bereich eine Sen-sibilisierung besonders notwendig ist [3]. Es dient damit auch zur Überzeugung von Entscheidern. Gut und abgestimmt durchge-führt regt ein kontrolliertes Social Engineering zudem die Ausei-nandersetzung mit dem Thema unter den Mitarbeitern an.

Alle Medien lassen sich individuell an die jeweiligen Instituts-anforderungen anpassen – angefangen vom Firmenlogo über die Sicherheitshinweise bis hin zum Foto des Informationssicher-heits-Management-Teams in der Broschüre.

Gezieltes Vorgehen nach Plan

Ob Web Based Training, Quiz, Plakat oder Broschüre: Die Me-dien ergänzen sich sinnvoll. Damit einzelne Maßnahmen nicht verpuffen, sondern dauerhaft nachwirken, bewährt sich in der Praxis für ein geplantes Vorgehen ein dreistufiges Einführungs-konzept: Die Phasen Planen, Umsetzen und Messen werden in Workshops bearbeitet.

Abb. 4 | Vorgehensmodell

In der Planungsphase wirken Mitarbeiter mit, die einen repräsen-tativen Querschnitt des Instituts bilden und sicherstellen, dass die Sensibilisierungsmaßnahmen zum Haus passen. Zunächst gilt es, die Zielgruppen und Themen festzulegen. Hinweise dazu geben vor allem Sicherheitsvorfälle, Auditergebnisse und Einschätzun-gen der Workshop-Teilnehmer.

Der geeignete Medienmix ist nicht zuletzt eine Frage der jewei-ligen Unternehmenskultur. Auswahl und Anpassung der Medien können deshalb von Sparkasse zu Sparkasse stark variieren. Die Dokumentation erfolgt in Form eines Konzepts, das eine Mat-rix der Themen, Zielgruppen, Medien und zeitlichen Reihenfol-ge enthält. Dabei werden auch Kunden einbezogen, die Sparkas-sen über ihre Online-Banking-Portale und teilweise durch eine direkte Ansprache sensibilisieren.

In der Umsetzungsphase gilt es, die ausgewählten Maßnah-men zu organisieren, also beispielsweise die Startkommunika-tion durch die Unternehmensleitung, ein Live-Hacking auf der Betriebsversammlung und die Individualisierung der ausgewähl-ten Medien. Idealerweise weckt die Kampagne die Neugier der Mitarbeiter und initiiert so eine breite inhaltliche Diskussion. Auf

Abb. 3 | Poster Elster

DuD • Datenschutz und Datensicherheit 5 | 2013 285

SCHWERPUNKT

diesem Weg erreicht man am besten die Akzeptanz der zentra-len Botschaften.

Wie könnte eine aufmerksamkeitsstarke Kampagne aussehen? Das erprobte Praxisbeispiel mit dem „Wolf“ zeigt es: Als Aufstel-ler ohne erläuternden Text sorgt er bei Mitarbeitern für Verwun-derung. Erst Tage später wird das Rätsel über Poster oder Bild-schirmschoner aufgelöst. Weitere Tiermotive folgen im Monats-rhythmus, sodass sich über das Jahr verteilt Sensibilisierungs-Schwer punkte bilden. Für einzelne Zielgruppen wie Auszubil-dende oder Administratoren empfehlen sich gesonderte Maßnah-men oder Schulungen.

Nach einer festgelegten Frist erfolgt eine im Vorfeld ausgewähl-te Erfolgsmessung – etwa mit einem Quiz, durch Befragungen oder auch Messung der Anzahl der Rückfragen zur IT-Sicherheit beim Beauftragten für Informationssicherheit (IS) oder alternativ beim IT-Service. Eine betriebswirtschaftlich belastbare Erfolgs-messung (z. B. vermiedene Schadensfälle) ist kaum möglich. Ei-nige Institute verzichten auf eine Messung, da die Notwendigkeit einer Sensibilisierung außer Frage steht.

Auf unterschiedlichen Wegen zum Ziel

Nach mehr als sieben Jahren Erfahrungen als Auditoren oder Be-rater in Unternehmen der Sparkassen-Finanzgruppe mit unter-schiedlichsten Anforderungen an Sensibilisierungsmaßnahmen zeigt sich den DSV-Fachexperten eine enorme Bandbreite bei der Planung und Umsetzung der Aktivitäten: Nahezu alle Institu-te sensibilisieren ihre Mitarbeiter über E-Mails oder Veröffentli-chungen im Intranet. Doch während beispielsweise die eine Spar-kasse in nur unregelmäßigen Abständen ihre Mitarbeiter in E-Mails adressiert, fährt eine andere eine umfangreiche und ent-sprechend arbeits- und kostenintensive Awareness-Kampagne, die sie laufend weiterentwickelt.

Häufig verwendet wird ein Online-Seminar zur Mitarbeiter-sensibilisierung, da so ohne großen Aufwand viele Mitarbei-ter erreicht werden. Weit verbreitet sind daneben Sensibilisie-rungsschulungen für Auszubildende und neue Mitarbeiter. Er-fahrungsgemäß sorgen die individuell angepassten Broschüren für eine hohe Identifikation. Eher selten, dafür dann aber höchst professionell, werden umfangreiche Sensibilisierungskampag-nen durchgeführt. Diese umfassen eine initiale Kommunikation durch den Vorstand oder die Geschäftsführung, häufig verbun-den mit einer kurzen aufrüttelnden Präsentation und sensibilisie-renden Präsenten (z. B. Tasse mit den Tiermotiven).

Es folgen verschiedene Sensibilisierungs-Schwerpunkte für einen befristen Zeitraum, meist einen Monat. Dabei kommen häufig Poster oder Bildschirmhintergründe und für bestimmte Mitarbeitergruppen vertiefende Maßnahmen (z. B. Seminare für Administratoren) zum Einsatz. Als Abschlussaktionen eignen sich ein Quiz oder eine Kantinenaktion, die je nach Bedarf die Fortführung der Awareness-Maßnahmen ankündigen.

Dass sich die gesteckten Ziele mit einem gut geplanten Kon-zept erreichen lassen, zeigt unter anderem die hohe Beteiligung

von über 80 Prozent bei durchgeführten Quizzen in fünf Unter-nehmen. Selbst wenn man einen besonders ansprechenden Sach-preis als Grund für die hohe Beteiligung vermutet – schlussend-lich gelang mit diesem Anreiz die gewünschte Sensibilisierung der Mitarbeiter.

Viele Verantwortliche für Informationssicherheit haben die ausschließlich für Mitglieder der Sparkassen-Finanz gruppe zu-gängliche Ausbildung zum IS-Koordinator absolviert – und als Abschlussarbeit ein Sensibilisierungskonzept erstellt. Die so ent-standenen und teilweise auch in die Praxis umgesetzten Konzep-te werden häufig mit immer wieder neuen Ideen und einprägsa-men Begriffen weiterentwickelt. Hat ein Unternehmen seine Mit-arbeiter quasi „grundimmunisiert“, können im weiteren Verlauf verschiedene „Aufbauimpfungen“ folgen.

Mehrere Institute haben auch den Aspekt „der Sicherheit ein Gesicht geben“ wörtlich genommen und den IS-Beauft ragten oder das IS-Team in Broschüren und Veröffentlichungen im Int-ranet mit einem Foto bekannt gemacht.

Besondere Herausforderungen

Bei allem Erfolg in der Praxis – es gibt vielfach noch Verbesse-rungspotenzial. So stellt sich meist die Aufgabe, die Unterneh-mensleitung zunächst von der Notwendigkeit einer Sensibilisie-rungskampagne zu überzeugen, auch weil sie Kosten verursacht. Außerdem fehlt nicht selten das Verständnis für die erfolgsre-levanten kommunikativen und psychologischen Faktoren. IT-Sicherheits experten sollten sich deshalb auf das Erfahrungswis-sen von Kommunikationsspezialisten verlassen. Broschüren oder Poster sollten nicht mit Text überfrachtet werden. Vielmehr gilt: „Weniger ist mehr“. So nahe liegend es auch ist, möglichst alle Ge-fahren und daraus resultierende Regeln darzustellen – die Praxis zeigt, dass mit viel Text und einer nicht mediengerechten Aufbe-reitung die Leselust leidet und damit schnell Akzeptanz und Er-folg der Maßnahme auf dem Spiel stehen.

In jedem Fall brauchen die Verantwortlichen für Informations-sicherheit einen „langen Atem“, denn das Tagesgeschäft bindet bereits die verfügbare Arbeitszeit, sodass wenig Zeit für Konzep-tionen bleibt. Hier muss jedoch immer wieder deutlich gemacht werden, dass mit der Sensibilisierung für Informationssicherheit auch das Vertrauen der Kunden in ihr Institut image-wirksam gestärkt wird.

Referenzen[1] Psychologische Studie (2006), im Auftrag der Kommunikationsagentur

known_sense, der Zeitschrift für Informationssicherheit kes, der EnBW Energie Baden-Württemberg, des Deutschen Sparkassenverlags, der Marketing- und Technologieberatung nextsolutions und des Security Service-Anbieters Pallas.

[2] Michael Helisch, Dietmar Pokoyski (Hrsg): Security Awareness: Neue Wege zur

erfolgreichen Mitarbeiter-Sensibilisierung, 2009, S. 221.[3] Michael Lardschneider: Social Engineering. Schwerpunktheft Awareness, DuD

9/2008, S. 574-578.

286 DuD • Datenschutz und Datensicherheit 5 | 2013

SCHWERPUNKT