20
secure-it in NRW. Mitarbeiter sensibilisieren für IT-Sicherheit und Datenschutz. Maßnahmen und Handlungsempfehlungen

secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

  • Upload
    others

  • View
    3

  • Download
    0

Embed Size (px)

Citation preview

Page 1: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

secure-it in NRW. Mitarbeiter sensibilisieren für IT-Sicherheitund Datenschutz. Maßnahmen und Handlungsempfehlungen

Page 2: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

Agentur »secure-it.nrw«

bei der IHK Bonn/Rhein-Sieg

Bonner Talweg 17

D-53113 Bonn

Telefon: +49 (0) 228/2284-184

Telefax: +49 (0) 228/2284-5184

E-Mail: [email protected]

Internet: www.secure-it.nrw.de

Ministerium für

Innovation, Wissenschaft,

Forschung und Technologie

des Landes Nordrhein-Westfalen

www.innovation.nrw.de

Texte:

Medienpool Köln GmbH in Zusammenarbeit

mit Natalie Mareth, Secorvo Security Consulting

GmbH, Karlsruhe, und Karin Schuler, Datenschutz

und IT-Sicherheit, Bonn

Abbildungen:

Titel: Dia/Mediacolors, S.8: Fotofinder/

Kaleidoscope, PhotoCase.com

Realisation und Herstellung:

Medienpool Köln GmbH

© 2006 »secure-it.nrw«

Impressum

Inhalt

1 Vorwort

2 Daten und Abläufe: Rundum geschützt. IT-sicher ist eine Firma nur, wenn alle mitmachen.

4 Erst Sicherheit, dann Höflichkeit. (IT-)Sicherheit ist auch eine Frage des Gespürs der Mitarbeiterfür unsichere Situationen.

6 Sensible Mitarbeiter: Chefsache! Kleine und mittlere Unternehmen können die Sensibilisierungihrer Mitarbeiter schon mit minimalen Mitteln erreichen.

8 Türöffner in die Firmen-IT. Die Nutzung des Internets kann gefährlich sein für die betrieblicheIT-Sicherheit.

10 Maßgeschneidert. Ein geringer Etat ist kein Hinderungsgrund für eine Awareness-Kampagne.

12 Und in der Praxis ... IT-Sicherheit und Awareness sind in einigen Firmen schon lange ein Thema.Zum Beispiel im Verlagshaus M. DuMont Schauberg, im Energieunternehmen Mark-E oder bei T-Systems.

16 Schritt für Schritt. So kann in einem Unternehmen eine Awareness-Kampagne vorbereitet unddurchgeführt werden.

Page 3: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

Viele Unternehmen Nordrhein-Westfalens haben erkannt,dass Informations- und Kommunikationstechnologien strate-gische Instrumente sind, die Innovationen und betrieblichesWachstum unterstützen – wenn gleichzeitig die IT-Sicher-heit gewährleistet ist. Die Sicherheit digitaler Abläufe wirdimmer mehr zum wichtigen Faktor in den Geschäftsbezie-hungen und verschafft den Unternehmen gegenüber Mitbe-werbern auch aus dem Ausland eine gute Position.

Bei einem wirkungsvollen IT-Sicherheitskonzept spielt nichtnur Technik eine Rolle: Ein Unternehmen kann ein noch soausgefeiltes System haben, um seine Daten und Systeme zuschützen – spielt der Mensch nicht mit, bleibt die Technikwirkungslos. Damit IT-Sicherheit in allen Bereichen einesUnternehmens greift, müssen Unternehmensleitung undMitarbeiter Sicherheitsaspekte bei ihrer täglichen Arbeit be-rücksichtigen. Die hierzu nötige Aufgabe, ein Bewusstseinzu schaffen, nennen Fachleute „Security awareness“ undmeinen damit „Sensibilisierung für IT-Sicherheit“. Dabei

darf der Fokus nicht einseitig auf die IT-Infrastruktur gerich-tet sein, sondern muss alle Sicherheitsaspekte einbeziehen,wie beispielsweise den Umgang mit Dokumenten, Zugangs-regelungen und den Datenschutz.

Diese Broschüre richtet sich vornehmlich an kleine undmittlere Unternehmen. Sie möchte die Entscheider dort beider Ansprache ihrer Mitarbeiter unterstützen. Denn immernoch schrecken viele vor dem vermeintlich hohen Aufwandeiner Awareness-Kampagne zurück, häufig aus Angst, nichtalle Aspekte angemessen bearbeiten zu können.

Diese Broschüre möchte vermitteln, dass mit jedem noch sokleinen Schritt in Richtung Sensibilisierung die Sicherheitim Unternehmen spürbar gesteigert werden kann. Der Erfolghängt dabei viel weniger vom Aufwand der Maßnahme ab alsdavon, dass wirklich alle – vom Geschäftsführer über denIT-Leiter bis zu den Mitarbeitern – an einem Strang ziehen.In diesem Sinne möchte ich motivieren, erste Schritte zu gehen.

Menschen machen Technik sicher

Professor Dr. Andreas Pinkwart

Minister für Innovation, Wissenschaft, Forschung und Technologie

des Landes Nordrhein-Westfalen

Page 4: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

2 Mitarbeiter sensibilisieren

IT-Sicherheit und Datenschutz sind Schutzziele, die eng mit-einander verzahnt sind. Sie tragen entscheidend zur Infor-mationssicherheit in Firmen bei, werden aber zumeist vonEntscheidern in Unternehmen unterschiedlich bewertet: IT-Sicherheit wird aus ureigenem Firmeninteresse angestrebt,um die eigene Handlungs- und Produktionsfähigkeit zu be-wahren – so sollte es jedenfalls sein. Netzwerkausfälle durchtechnische Probleme oder durch Virenbefall verursachen, jelänger sie andauern, enorme Kosten – nicht nur bei derWiederherstellung der Systeme und Daten, sondern auchdurch den Produktivitätsverlust der nicht arbeitsfähigen Be-schäftigten. Dazu kommen meist auch Imageschäden, dennIT-Probleme bleiben Kunden durch den heute üblichenelektronischen Geschäftsverkehr selten verborgen.

Diesem Schutzziel steht das Schutzobjekt „Mensch“ gegen-über: Immer wenn Daten über ihn verarbeitet werden, ver-langen die gesetzlichen Datenschutzregelungen, dass seinRecht auf informelle Selbstbestimmung nicht verletzt wird.Diese Verpflichtung, personenbezogene Daten zu schützen,wird von Unternehmern anders wahrgenommen als derSchutz ihrer IT – als organisatorisches Handicap, weil diesesensiblen Daten eben nicht zweckentfremdet benutzt werdendürfen.

Trotzdem: Immer mehr Firmen erkennen, dass ihre Leis-tungsfähigkeit von Kunden und Partnerunternehmen auchdanach beurteilt wird, ob ihre IT-Abläufe ebenso sicher wiedatenschutzgerecht sind.

Richtlinien sind immer nur der erste SchrittBei der Einführung von Sicherheitskonzepten gehen diemeisten Unternehmen „klassisch“ vor: Sie identifizieren dieGefährdungen, formulieren Schutzbedürfnisse, legen Maß-nahmen fest und dokumentieren alles. Danach werden dieseRichtlinien in die Firmenhierarchie transportiert und alle IT-Nutzer des Unternehmens zur Einhaltung verpflichtet.

Das Vorgehen ist im Prinzip richtig und notwendig, aller-dings sollte es nicht bei diesem ersten Schritt bleiben: DieNutzer fühlen sich bei solchen Anweisungen schnell bevor-mundet und haben bei starren Richtlinien nicht das Gefühl,Akteure in einem Prozess zu sein. Nicht selten macht sichdann ungute Stimmung breit: „Wozu das alles?“

Dies kann zu einer unzureichenden Einhaltung der mühsamfestgelegten Schutzmaßnahmen führen und letztlich ihrenErfolg gefährden: Denn in der Regel werden Notebooksweiterhin unbeaufsichtigt in Besprechungsräumen oder imZugabteil liegen gelassen, Bildschirmschoner inklusive Vi-ren heruntergeladen oder Passwörter auf Post-it-Zetteln anden Rechner geklebt.

Innovative Unternehmen setzen deshalb auf die Sensibilisie-rung der Mitarbeiter: Es gilt, die IT-Nutzer von der Richtig-keit und Wichtigkeit der Vorschriften, Verfahren und Maß-nahmen zu überzeugen. Man muss sie persönlich in dieMaßnahmen zum Datenschutz und zur IT-Sicherheit einbin-den.

IT-sicher ist eine Firma nur, wenn alle mitmachen

Daten und Abläufe: Rundum geschützt

Page 5: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

Schutzziele IT-Sicherheit und Datenschutz

• Bestellung eines Datenschutzbeauftragten ab zehn Personen, die mit per-sonenbezogenen Daten umgehen

• Verpflichtung aller Beschäftigten auf das Datengeheimnis• Datenschutz-Unterweisung der Beschäftigten• Dokumentation aller Verfahren mit personenbezogenen Daten (Verfah-

rensverzeichnis)

! Gesetzliche Grundpflichten beim Datenschutz

Das gehört zu den unverzichtbaren Bestandteilen einesbetrieblichen IT-Sicherheitskonzepts:

• Virenschutzkonzept• Backup-Konzept• Notfallpläne• Benutzerrichtlinien (Passwörter, Internet etc.)• Berechtigungskonzepte• Definition der Zuständigkeiten• Qualifizierungskonzept

! Das 1x1 der IT-Sicherheitsorganisation

3

Zunehmend reagieren Unternehmen darauf, dass die Anwen-dung der „klassischen Methoden“ allein keine IT-Sicherheitgewährleistet: Sie organisieren Awareness-Kampagnen. Die-se fassen alle Maßnahmen zusammen, die den Beschäftigtenein Verständnis für Gefahren und Anforderungen vermittelnund gleichzeitig deren Interesse, Neugier und einsichtsvollesVerhalten fördern. Im Vordergrund steht nicht das Ziel einesgehorsamen Befolgens von Sicherheitsrichtlinien, sonderndie persönliche Auseinandersetzung jedes Mitarbeiters mitdem Thema und seine Überlegung, wie er in seinem Wir-kungskreis zum Datenschutz und zur IT-Sicherheit in seinerFirma beitragen kann.

Maßnahmen zur Mitarbeitersensibilisierung ersetzen nichtstrukturierte und dokumentierte Schutzkonzepte und Richt-linien; sie wecken aber bei den Mitarbeitern mehr Verständ-nis für die Schutzziele und die notwendigen Maßnahmen,diese zu erreichen.

IT-Sicherheit... bezeichnet das Ziel, im Unternehmen elektronischeDaten, IT-Systeme und IT-Infrastruktur jederzeit einsatz-bereit, inhaltlich korrekt und vor unberechtigter Ein-sichtnahme und Verwendung geschützt zu erhalten. Un-ter diesen Schutz fallen unter anderem auch aus elektro-nischen Daten erzeugte Papierausdrucke und Akten.

Datenschutz... bezeichnet das Ziel, das Persönlichkeitsrecht vonMenschen gemäß Artikel 2 Grundgesetz zu schützen:Beim Umgang mit personenbezogenen Daten müssengesetzlich definierte Grundprinzipien eingehalten werden.

Informationssicherheit... bezeichnet das Ziel, alle wichtigen betrieblichen Da-ten und Informationen unabhängig von ihrer Erschei-nungs- und Ablageform zu identifizieren und betriebli-che Abläufe und Maßnahmen so zu organisieren, dassihre Verfügbarkeit, Korrektheit und Vertraulichkeit je-derzeit gewährleistet sind.

Awareness/Sensibilisierung... bezeichnet das Ziel, betriebliche Akteure so zu schulenund zu informieren, dass sie Anforderungen der Infor-mationssicherheit, der IT-Sicherheit oder des Daten-schutzes aus eigener Einsicht bei der Durchführung ihrerArbeitsaufgaben erkennen und beachten.

? FAQ – kurz gefragt

Page 6: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

4 Mitarbeiter sensibilisieren

Auch in Firmen, die Richtlinien zur IT-Sicherheit entworfenund den Mitarbeitern mitgeteilt haben, kommt es zu Sicher-heitsvorfällen. Denn die Erfahrung zeigt: Selbst wer dieRichtlinien kennt, macht Fehler. Doch in den wenigsten Fäl-len liegt es am mangelnden Verantwortungsbewusstsein. Oftmüssen Mitarbeiter blitzschnell entscheiden – und entschei-den falsch: Sie wollen höflich sein und geben dabei sensibleInformationen weiter. Sie möchten Geschäftstermine einhal-ten und gehen dafür Sicherheitsrisiken ein. Starre Regeln ge-nügen nicht. Es muss klar sein, wie man sie umsetzt. Mitar-beiter müssen Richtlinien nicht nur kennen, sondern auchverstehen, warum diese wichtig sind. Sie sollten lernen, wel-che Situationen Gefahren bergen. Und dass im ZweifelsfallSicherheit vor Höflichkeit geht.

Stellen Sie sich vor …… in der Mittagspause klingelt das Telefon. Der betreffendeMitarbeiter ist nicht am Platz. Eine Kollegin nimmt den An-ruf entgegen. Er sei Organisator eines Weiterbildungs-Semi-nars, stellt sich der Anrufer vor. Der Angerufene zähle zuden Teilnehmern; aber seine Anmeldung sei leider unvoll-ständig. Er habe vergessen, das Geburtsdatum und seine Po-sition im Unternehmen einzutragen. Außerdem fehle die pri-vate Rufnummer für kurzfristige Rückfragen. Die Kolleginüberlegt und erinnert sich, dass ihr Büronachbar ihr erstkürzlich von dem Seminar erzählt hat. Und der Mann am an-deren Ende der Leitung klingt sehr nett und vertrauenswür-dig. Wer weiß, ob sie ihrem Kollegen mit der Auskunft nicht

sogar einen Gefallen erweist? Der Anrufer erhält die ge-wünschten Informationen. Als der Kollege aus der Mittags-pause zurückkommt, wird klar: Er hatte die Felder im An-meldeformular ganz bewusst nicht ausgefüllt. Denn er hieltdie Auskünfte für zu privat.

… ein Besucher stellt sich beim Pförtner vor. Er habe um 15Uhr einen Termin mit Herrn Grube vom Einkauf. Der Pfört-ner versucht, Herrn Grube anzurufen, damit dieser seinenBesucher am Empfang abholen kann. Doch es geht niemandans Telefon. Es ist bereits nach 15 Uhr. Herr Grube ist wahr-scheinlich schon im Besprechungsraum, überlegt der Pfört-ner: Vielleicht wartet er sogar schon ungeduldig auf den Be-such. Also fragt er den Besucher, ob sich dieser im Gebäudeauskenne. Und bittet ihn schließlich, sich doch allein auf denWeg zum Besprechungszimmer zu machen. Eine halbe Stun-de später sieht der Pförtner den Besucher das Gebäude ver-lassen. Und zu seiner Verwunderung betritt nur wenig späterHerr Grube die Firma. Es stellt sich heraus: Er hatte Termi-ne außer Haus. Und den Besucher kennt er nicht. In seinemBüro macht Herr Grube später eine böse Entdeckung: DerWandschrank steht offen. Und sein Beamer ist daraus ver-schwunden.

… in der IT-Abteilung wurden einige PCs aufgerüstet undneue Festplatten eingebaut. Nun sollen die alten Festplattenfachgerecht entsorgt werden, denn sie enthalten sensible Da-ten. Doch der Kurier der Entsorgungsfirma verspätet sich.Anderthalb Stunden vergehen. Der zuständige Mitarbeiter in

(IT-)Sicherheit ist auch eine Frage des Gespürs der Mitarbeiter

für unsichere Situationen

Erst Sicherheit, dann Höflichkeit

Page 7: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

5Unsichere Situationen

der IT-Abteilung ist unruhig – er muss zu einer wichtigenBesprechung. Er ist pflichtbewusst und will seine Ge-sprächspartner nicht warten lassen. Schließlich legt er dieFestplatten in eine Kiste vor sein Büro und eilt zu seiner Sit-zung. Am Empfang gibt er Bescheid, wo der Kurier sie ab-holen soll. Am nächsten Morgen schaut der IT-Mitarbeiter insein Postfach – und wundert sich: Dort liegt eine Quittungüber die Abholung von zehn Festplatten. Dabei hatte er dochinsgesamt 25 Platten in die Kiste gelegt! Eine Rückfrage er-gibt, dass tatsächlich nur zehn Stück in der Kiste lagen, alsder Kurier eintraf. Die restlichen 15 bleiben verschwunden.

… der Forschungsbereich eines Unternehmens ist nur Perso-nen zugänglich, die eine spezielle Codekarte für die Ein-gangstür besitzen. Ein berechtigter Mitarbeiter öffnet geradedie Tür, als ihm eine Dame entgegenkommt – den Arm vol-ler Akten. Er hat sie noch nie gesehen. Aber sie sieht freund-lich und seriös aus. Und die Akten scheinen schwer zu sein.Er denkt: In einem so großen Unternehmensbereich kannman nicht alle Gesichter kennen. Wahrscheinlich ist sie ge-rade erst eingestellt worden. Und überhaupt: Wenn sie Aktenbei sich hat, wird sie ja wohl zur Firma gehören. Er erinnertsich an seine gute Kinderstube, grüßt die Dame zuvorkom-mend – und hält ihr die Eingangstür zum Forschungsbereichauf. Sie bedankt sich, eilt an ihm vorbei und verschwindetum die Ecke. Als sich der Mitarbeiter später beiläufig nachder vermeintlich neuen Kollegin erkundigt, erfährt er, dassniemand im ganzen Forschungsbereich sie kennt. Er hat ei-ner Fremden Einlass gewährt.

Mit welcher Sicherheitsmaßnahme könnte im Unternehmenein erster Awareness-Schritt verbunden werden?Eine einfache, aber wirkungsvolle Schutzmaßnahme besteht in der Verwen-dung eines passwortgeschützten Bildschirmschoners. Dieser sollte sich nachspätestens drei Minuten einschalten, wenn man den Arbeitsplatz verlassenhat, und nur durch Eingabe eines Passwortes wieder ausschalten lassen.

Das Vorgehen der Geschäftsleitung:1. Per E-Mail die Nutzer um Mithilfe bitten und den Sinn dieser Schutz-

maßnahme erläutern.2. Erklären, wie sich die Einstellung vornehmen lässt (für Windows: Sys-

temsteuerung/Anzeige/Bildschirmschoner).3. Bitte um Überprüfung und eventuelle Anpassung an die betrieblichen

Standards, die kurz erläutert werden müssen.4. Möglichkeit zur Nachfrage oder Kontaktaufnahme anbieten.

Wie könnte eine Awareness-Maßnahme zur Unterstützungder Regelung aussehen, dass nur Befugte Türen mit Zu-gangscode benutzen dürfen?Sensibilisierung bedeutet: Es gibt nicht nur ein striktes Regelwerk („KeinDurchgang für Unbefugte“), sondern auch Hilfen zur angemessenen Umset-zung dieser Regeln im betrieblichen Alltag. Besuchern könnte auf Plakatenauf oder in der Nähe solcher Türen erläutert werden, dass die Mitarbeiter an-gehalten sind, keine Externen ohne Identifizierung hineinzulassen. Mitarbei-ter sollten über Inhalt und Grund dieser Regeln informiert sein und die Höf-lichkeitsregeln (Tür aufhalten) in diesem Fall explizit aufgehoben werden.

? FAQ – kurz gefragt

Page 8: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

Mitarbeiter sensibilisieren6

52 Prozent der IT-Schäden, so das Ergebnis einer KES/KPMG-Studie, werden durch Mitarbeiter verursacht. Sie fürden Umgang mit den digitalen Medien zu sensibilisierensollte im Unternehmen fest verankert sein – und ein entspre-chendes Budget erhalten. Das geht in der Regel nur, wenndie Unternehmensleitung dies entscheidet und unterstützt.Mitarbeitersensibilisierung ist Chefsache! Das bedeutetauch, dass „von oben“ die entsprechenden Signale gesendetwerden müssen: Jeder Mitarbeiter sollte das Gefühl haben,dass die IT-Sicherheit in der Unternehmensleitung einen ho-hen Stellenwert besitzt und dass er bei seinen Bemühungenum IT-Sicherheit am Arbeitsplatz unterstützt wird. Wirksa-me Sensibilisierungseffekte sind keine Frage der Kostenoder eines hohen Aufwandes, sondern das Ergebnis einer an-gemessenen Strategie. Der erste Awareness-Schritt in einerFirma könnte beispielsweise mit einer einfach zu installie-renden Schutzmaßnahme verknüpft werden – ein nur durchPasswort zu deaktivierender Bildschirmschoner (siehe Seite5). Dabei werden die Nutzer über die Gefahren eines unbe-fugten Zugriffes auf den Rechner aufgeklärt und über denSchutz, den ihnen der neue Bildschirmschoner bietet. Wennweitere kleine Awareness-Schritte folgen, bleibt IT-Sicher-heit in der Firma Gesprächsthema.

Kleine und mittlere Unternehmen können aufgrund ihrer fla-chen Hierarchien und direkten Kommunikationswege bereitsmit geringem finanziellem Aufwand erreichen, dass die Be-schäftigten IT-Sicherheit als wichtigen Teil ihres Arbeitsall-tags sehen.

Sicherheit braucht SystemIT-sicher wird eine Firma Schritt für Schritt – mithilfe einessystematischen Sicherheitskonzeptes: Zunächst wird die be-stehende Infrastruktur im Betrieb dokumentiert, dann derSchutzbedarf der einzelnen Komponenten festgestellt undschließlich wird eine Liste möglicher Schutzmaßnahmen an-gefertigt. Aus diesem Konzept können dann konkrete Hand-lungsanweisungen, Richtlinien und Verbote für den einzel-nen Benutzer abgeleitet werden. Diese sollten den Mitarbei-tern bekannt gemacht werden und verbindlich sein.Das Bestehen von Richtlinien allein sorgt allerdings nochnicht für Sicherheit. Regeln müssen umgesetzt werden.Meist führt weder Zwang zum Ziel noch das Vertrauen dar-auf, dass die Mitarbeiter diese von allein befolgen. Erfolg-versprechender ist, um Verständnis für die Regeln zu wer-ben, das geplante Vorgehen zu erläutern und ihre Anregun-gen einzubeziehen: Wenn klar aufgezeigt werden kann, auswelchen Gründen Richtlinien eingeführt wurden und einge-halten werden sollen, hat die Unternehmensleitung die Mit-arbeiter auf ihrer Seite. Sie erkennen, dass die Richtlinienauch ihrem eigenen Schutz dienen und nicht aufgestellt wur-den, um ihnen das Leben schwer zu machen.

Guter Start: die Passwort-RichtlinieEine einfach umzusetzende und von ihrem Umfang her über-schaubare Sicherheitsmaßnahme könnte die Einführung ei-ner Passwort-Richtlinie sein. Um nicht bereits bei der erstenkleineren Attacke geknackt zu werden, muss ein Passwortmöglichst lang und komplex sein: Je schlechter man es sich

Kleine und mittlere Unternehmen können die Sensibilisierung

ihrer Mitarbeiter schon mit minimalen Mitteln erreichen

Sensible Mitarbeiter: Chefsache!

Page 9: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

Awareness: die ersten Schritte 7

merken kann, weil es aus einer scheinbar sinnlosen Anein-anderreihung von Zeichen besteht, desto sicherer ist es. Esgibt mehrere Möglichkeiten, wie ein Unternehmen die Ein-führung einer Passwort-Richtlinie gestalten kann. Die bei-den folgenden beispielsweise sind – für sich alleine betrach-tet – nicht geeignet, das gewünschte Ziel einer IT-sicherenFirma zu erreichen: Erstens: Durch Konfiguration der Syste-me werden nur noch starke Passwörter akzeptiert. Ohne wei-tere Information der Nutzer sorgt diese Maßnahme für Frustund Unverständnis. Zweitens: Dem Nutzer wird es selbstüberlassen, ein starkes Passwort zu gestalten. Auch dieserWeg ist wenig erfolgversprechend, wählen die Mitarbeiterim Zweifel doch wieder die gewohnten, einfach zu merken-den Passwörter.

Nur die dritte Methode verspricht eine nachhaltige Wirkung:Um Mitarbeiter zu sensibilisieren, müssen diese erfahren,wie schnell „schwache“ Passwörter entschlüsselt werdenkönnen. Das kann etwa durch interne oder externe IT-Fach-leute geschehen, die eine Vorführung an einem Rechner ein-richten, der in der Betriebskantine oder einem anderen zen-tralen Ort zu Demonstrationszwecken installiert wird. Dortkönnen Mitarbeiter im „Vorbeigehen“ erleben, wie schnelldie üblichen PC-Passwörter geknackt werden können. Be-nutzer, deren Passwörter innerhalb einer Minute entschlüs-selt werden, erleben dabei meist einen lehrreichen Schock.

Natürlich müssen den Anwendern danach Lösungen angebo-ten werden, wie sie sich komplexe, sichere Passwörter mer-

ken können. Denn das Aufschreiben von Passwörtern ist jatabu. Hilfen reichen von systematischen Ansätzen („Bildungvon Passwörtern über Merksätze“) bis zu softwareunter-stützten Lösungen („Passwortsafe“), die die Verwaltung vie-ler verschiedener Passwörter erleichtern.

Wie hoch in etwa ist der Budgetanteil fürSicherheitsmaßnahmen in einer IT-sicher-heitsbewussten Firma?Je nach Unternehmensgröße und IT-Infrastruktur sollten dieAusgaben für IT-Sicherheit mindestens zehn, im optimalenFall 20 Prozent des gesamten IT-Budgets betragen.

Für den Fall, dass Awareness-Maßnahmennicht mit Bordmitteln organisiert werdenkönnen: Worauf ist bei der Auswahl einesexternen Dienstleisters zu achten?• Welche Erfahrungen/Referenzen hat der Dienstleis-

ter in diesem Bereich?• Auf welche Awareness-Projekte kann er verweisen?• Schlägt er ein breites Maßnahmenspektrum vor

oder bietet er seine Beratung nur in Zusammenhangmit dem Kauf eines seiner Produkte an?

• Gibt es themenbezogene Veröffentlichungen oderVorträge des Dienstleisters?

? FAQ – kurz gefragt

Page 10: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

8 Mitarbeiter sensibilisieren

Eigentlich dürfte nichts passieren: Virenscanner gehören zurStandardausrüstung jedes Computers am Arbeitsplatz. DieNutzung des Internets ist in den meisten Unternehmen stren-gen Regeln unterworfen und manchmal sogar untersagt:

Bestimmte Dateitypen dürfen nicht heruntergeladen oder un-bekannte E-Mail-Anhänge nicht geöffnet werden. Auch pri-vate Nutzung ist häufig verboten. Doch gerade hier werdendie Grenzen technischer und organisatorischer Maßnahmenzum Schutz der Firmen-IT sehr deutlich, denn die durch un-vorsichtige Internetnutzung hervorgerufenen Schadensfällein den Unternehmen häufen sich.

Ein wirksamer Schutz vor Viren und Trojanern, die in diebetriebliche IT eindringen, ist ohne die Mitarbeit des Inter-netnutzers nicht möglich: Täglich kommen neue Viren inUmlauf, die den Virenscannern bislang noch nicht bekanntwaren. Der Mitarbeiter muss darauf achten, dass seine Soft-ware immer auf dem aktuellen Stand ist. Selbst wenn dieAktualisierung automatisch erfolgt, muss der Nutzer sichverantwortungsbewusst im Netz bewegen.

Dazu benötigt er Kompetenz. Er muss Risiken erkennen undvermeiden können. Und er muss wissen, welche Gefährdun-gen ein Verstoß gegen betriebliche Regelungen mit sich

bringt und welchen Nutzen die Einhaltung der Regeln hat.Diese Kompetenz ist eine Sicherheitsgarantie für die Firma,denn die Erhaltung der IT-Sicherheit kann die IT-Abteilungallein nicht gewährleisten. Sie ist im Übrigen auch nicht alsEinzige zuständig für dieses Thema. Weder bei den betrieb-lichen IT-Experten noch beim Datenschutzbeauftragten kann

Die Nutzung des Internets kann gefährlich sein

für die betriebliche IT-Sicherheit

Türöffner in die Firmen-IT

• Passwörter auf Post-its am Arbeitsplatz• „Verlassene“ Computer ohne Schutzmaßnahme, wie

beispielsweise sichere Bildschirmschoner (s. Seite 5)• Öffnen von E-Mail-Anhängen unbekannter Sender• Auswahl schwacher Passwörter• Verlust von Notebooks• Ausplaudern von Passwörtern oder Firmendaten• Installation von „Bypass“-Lösungen (z.B. Modems)• Geheimhaltung von Sicherheitsvorfällen• Verwendung veralteter (fehlerhafter) Software• Unterschätzung der Bedrohung durch „Innentäter“

! Die größten durch sorglose Mitarbeiterhervorgerufenen Gefahren für dieFirmen-IT

Page 11: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

• Ein Passwort besteht aus mindestens 8 Zeichen.• Es müssen jeweils mindestens ein Groß- und ein

Kleinbuchstabe sowie ein Sonderzeichen oder eineZiffer verwendet werden.

• Das Passwort darf kein Wort sein, das in einem Wör-terbuch enthalten ist.

• Es dürfen keine einfach zu ratenden Kombinationenverwendet werden (Kfz-Kennzeichen, Geburtsdatumoder bekannte Zahlenfolgen wie 0815).

• Das Passwort muss geheim gehalten und darf keineranderen Person mitgeteilt werden.

• Das Passwort darf nicht aufgeschrieben werden, essei denn, es ist für ein Notfallkonzept erforderlich. Indiesem Fall sollte das Passwort in einem verschlosse-nen Umschlag in einem Safe aufbewahrt werden.

• Das Passwort muss regelmäßig gewechselt werden.• Frühestens nach sechs Passwortänderungen darf

sich ein Passwort wiederholen (laut IT-Grund-schutz-Katalogen gar nicht).

! Modell für eine Passwort-Richtlinie(orientiert an den IT-Grundschutz-Katalogendes Bundesamtes für Sicherheit in der Infor-mationstechnik)

Sicherheit durch Internet-Kompetenz 9

die Verantwortung für ein sicheres Firmennetzwerk abgege-ben werden. Ohne Zutun des einzelnen Benutzers kann nichtwirksam verhindert werden, dass Viren und Trojaner ins Fir-mennetzwerk eindringen und so die unbefugte Kopie derFirmendaten erleichtert oder erst möglich gemacht wird.

Wie der Nutzer diese Kompetenz erwirbt, darüber sind sichdie Awareness-Experten einig: Ihm muss seine Rolle in derSicherheitsorganisation verdeutlicht werden, und er musseinsehen, durch sein sicherheitsbewusstes Verhalten seinenTeil zum Schutz der Firmen-IT beizutragen. Einen Irrtum,der den Datendieben das Leben leicht macht, sollte der Nut-zer schnellstens ablegen: den, dass die Daten auf seinemRechner „sowieso für andere uninteressant“ seien.

Gewöhnlich stimmt das zwar – in der Regel interessierensich die Web-Gauner weniger für dessen Daten als für diedes Firmensystems. Aber sein Computer fungiert als „Tür-öffner“.

Page 12: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

10 Mitarbeiter sensibilisieren

Steter Tropfen … die kleinere VarianteDer IT-Leiter der Firma Klein & Fein GmbH beobachtet seiteiniger Zeit, dass die Mitarbeiter bei der Nutzung des Inter-nets nicht immer die bestehenden Sicherheitsregeln beach-ten. Er hält es für dringend geboten, das Sicherheitsbewusst-sein der Beschäftigten zu schärfen. In Absprache mit demGeschäftsführer legt er zunächst einige Themen fest, die ver-mittelt werden sollen. Um einen Wiedererkennungseffekt zuerzielen, einigt man sich auf die Verwendung des Mottos„Klein & Fein sicher“ und ein einheitliches Erscheinungs-bild für alle Veröffentlichungen. Der Geschäftsführer richtetein erläuterndes Schreiben an die Belegschaft und startet da-mit die Sensibilisierungskampagne. Als Medium wird derwöchentlich erscheinende E-Mail-Newsletter verwendet.

Wichtig ist, dass jede Ausgabe den Spannungsbogen beibe-hält, deshalb werden die geplanten Informationen in unter-schiedliche Formen verpackt: Berichte, Fallbeispiele, Inter-views und Nachrichtenmeldungen. Flyer und Broschürenvertiefen das jeweilige Thema.

Zum jährlichen Betriebsfest wird an zentraler Stelle ein In-fostand aufgebaut, ein kleines Gewinnspiel zu Sicherheits-fragen sorgt zusätzlich für Aufmerksamkeit. Nach jedemQuartal erstattet der IT-Leiter dem Geschäftsführer einenkurzen Bericht über den Ablauf und die Erfolge der Maß-nahmen. Da die Sensibilisierungskampagne bisher rechtgünstig war, bewilligt der Geschäftsführer ein kleines Bud-get für die Gestaltung von Werbeträgern.

Daraufhin werden Zettelblöcke und Schlüsselbänder mitdem Motto „Klein & Fein sicher“ bedruckt und an die Be-legschaft verteilt.

Live-Demos im Foyer … die größere VarianteDie Administratoren der Gut & Gewachsen AG beklagen un-nötige Schäden im Firmennetzwerk durch unachtsamen Um-gang mit dem Internet. Gemeinsam mit dem Vorstand wirddaher die Durchführung einer kleinen Awareness-Kampagnegeplant. Frühzeitig werden die Abteilungen für Marketingund innerbetriebliche Kommunikation beteiligt. Zunächstwerden Themen und Präsentationsform abgesprochen, dieMarketingabteilung gestaltet Formatvorlagen und ein Logo,um der Kampagne ein eigenes Gesicht zu verleihen.

Jeder Mitarbeiter erhält ein Schreiben des Vorstands mit ei-nem kleinen Ordner, der die im Verlauf der Kampagne veröf-fentlichten Schriften aufnehmen und jedem als Nachschlage-werk dienen soll. Im Intranet werden weiterführende Infor-mationen und Links zur Verfügung gestellt.

Der Datenschutzbeauftragte konzipiert regelmäßige Schu-lungseinheiten, ein internetgestütztes Trainingsprogrammwird eigens angeschafft. Pro Quartal wird im Foyer für jeweilseinen Tag ein Info-Point eingerichtet, an dem IT-MitarbeiterFragen beantworten oder Live-Demos vorführen. Das Unter-nehmen lädt auch externe Sicherheitsspezialisten zu Vorträgen,Diskussionen oder Demonstrationen ein. In einem Gewinn-spiel mit Fragen zum Thema werden Sachpreise verlost.

Ein geringer Etat ist kein Hinderungsgrund für

eine Awareness-Kampagne

Maßgeschneidert

Page 13: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

11Awareness-Maßnahmen für jede Firma

Was ist für wen sinnvoll? Hier eine (nicht vollständige)Sammlung von Einzelmaßnahmen im Rahmen einerAwareness-Kampagne.

Preiswert und schnell umsetzbar• Aufhängen eines „Meckerkastens“ zu Datenschutz-

und IT-Sicherheitsthemen• Einrichtung eines (moderierten) betriebsinternen

Diskussionsforums im Intranet• Regelmäßige Kolumne in der Mitarbeiterzeitung• Einrichten einer „Sicherheits-Sprechstunde“• Nutzung von Tools der Initiative »secure-it.nrw«:

www.secure-it.nrw.de

Zeitaufwändig, aber geringe Sachkosten• Merkblätter zu einzelnen, sicherheitsrelevanten

Richtlinien und Verhaltensweisen, beispielsweisezum datenschutzgerechten Telefonieren, zum The-ma „Was tun, wenn die Urlaubsvertretung kommt?“oder zum Umgang mit mobilen Geräten

• Schulungseinheit „Wie funktioniert Verschlüsse-lung?“

• Schulungen zur Medienkompetenz der Mitarbeiter(„Wie vermeide ich Risiken im Internet?“)

• Erstellen von Fallbeispielen mit Bildschirmansichten,zum Beispiel „Wie könnte es ablaufen, wenn meinRechner einen Virus hat?“

Finanzielle Mittel nötig• Gelbe Post-its mit Aufdruck „Hier kein Passwort“• Erstellen einer „Unternehmens-Sicherheits-CD“ als

Sammlung aller Richtlinien, Arbeitsanweisungenund Links zu Sicherheitsthemen

• Sicherheits-Schnitzeljagd auf Betriebsausflug oderandere Sicherheitsspiele (Quiz) mit sicherheitsbe-zogenem Preis

• Bedrucken von Give-aways (Werbemitteln) mit Si-cherheitsaufforderungen: Mousepads, Schlüssel-bänder oder Tassen

• Einsatz von „Web Based Training“ (WBT) oder Vi-deos zur Wissensvermittlung

• Durchführen einer Plakataktion, beispielsweise Fo-tos von Sicherheitslücken (Bildschirm mit Pass-wort-Post-it, verlassener Schreibtisch mit vertrau-lichen Unterlagen)

• Entwicklung eines Passwort-Merktools

! So geht’s

Welche Medien eignen sich im Unternehmen für den Trans-port von Awareness-Themen?Intranet, Mitarbeiterzeitung, E-Mail-Newsletter, Rundbrief mit Neuigkeiten,Flyer und Informationsbroschüren, Poster für Ankündigungen, Schwarzes Brett

Welche Themen kommen als Inhalt einer Awareness-Kam-pagne in Frage?• Passwortsicherheit• Mobile Sicherheit: Laptops, Organizer, Handys und Co.• Der Lebenszyklus von Dokumenten und Datenträgern: Erstellung, Weiter-gabe, Vernichtung

• Sichere Nutzung von Internet und E-Mail: Virenabwehr, Verschlüsselung,Schutz vor schädlichen Webseiten, Phishing

• Social Engineering: Gespräche mit Fremden, Handy-Telefonate in der Öf-fentlichkeit, Weitergabe von Informationen

• Unternehmenssicherheit: Umgang mit Besuchern, Verschluss von Büros• Datenschutz

? FAQ – kurz gefragt

Schon bei den Planungssitzungen wurden Kriterien für dieBeurteilung des Erfolgs der Kampagne festgelegt. MessbareVerbesserungen wie etwa Senkungen bei der Zahl verlorenerLaptops oder automatisiert knackbarer Passwörter im Netz-werk werden dem Vorstand regelmäßig vorgetragen und an-schließend auch betriebsöffentlich gemacht.

Page 14: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

12 Mitarbeiter sensibilisieren

M. DuMont Schauberg: Miteinander reden

Schon Ende der 90er Jahre ließ das Kölner Verlagshaus M.DuMont Schauberg (MDS) die Sicherheit seines zentralenSAP/R3-Systems durch einen unabhängigen Gutachter prü-fen. Jürgen Grüne erinnert sich gerne an das erfreuliche Er-gebnis: „Der Prüfbericht hat uns ein sehr gutes Sicherheits-niveau bescheinigt. Das war für mich der Anreiz, auch in derProduktion den Aufbau einer Sicherheitsorganisation zu för-dern.“

Die kontinuierliche, erfolgreiche Überzeugungsarbeit beider Geschäftsführung hat ihm schließlich den Auftrag zurErstellung einer Sicherheitspolicy eingebracht – und denPosten des IT-Sicherheitsbeauftragten. Diese anfangs paral-lel zur Leitung der Anwendungsentwicklung ausgeübte Tä-tigkeit wurde recht schnell zu einem Vollzeitjob – nicht zu-letzt, um Interessenkonflikte zu vermeiden: Die Gewichtungvon Sicherheitsanforderungen und Funktionalitätsbedürfnis-sen muss eben manchmal erst gefunden werden.

Bei seiner Arbeit wurde er von Beginn an vom Betriebsratunterstützt, der auf die Sicherheit der Systeme ebenfalls gro-ßen Wert legt. Schließlich geht es unter anderem auch umdie Sicherheit von Mitarbeiterdaten. „Außerdem profitierenwir alle davon, wenn eine Sicherheitspolicy betrieblicheMindeststandards etabliert“, betont Jürgen Grüne, „denndann muss man sich nicht anlässlich jeder Systemeinführungmit den gleichen elementaren IT-Sicherheitsfragen befassen.“

IT-Sicherheit und Awareness sind in

einigen Firmen schon lange ein Thema

Und in der Praxis …

„Die Sicherheitsorganisation beruht bei uns auf drei Säu-len“, erläutert er weiter, „der kleinen zentralen Einheit umden IT-Sicherheitsbeauftragten, der dezentralen Organisa-tion mit Koordinatoren in den Abteilungen und der Partner-schaft mit anderen betrieblichen Akteuren. Dazu zählt auchder Betriebsrat.“ Zum Einsatz der Informationstechnologieschloss das Unternehmen mit dem Betriebsrat eine Rahmen-vereinbarung ab. Darin sind bestimmte Vorgehensweisen beider Einführung und Änderung von IT-Systemen vorgegeben.Unter anderem ist die Pflicht zu Rücksprache und Stellung-nahme durch den IT-Sicherheitsbeauftragten und den be-trieblichen Datenschutzbeauftragten festgeschrieben, wennInvestitionen anstehen.

Als nächster Schritt steht die Durchführung einer Aware-ness-Kampagne auf der Agenda. „Wir waren ein wenig zugut“, scherzt der IT-Sicherheitsbeauftragte, „weil wir auf-grund unserer Maßnahmen in letzter Zeit keine dramati-schen Vorfälle hatten, sinkt das Gefährdungsbewusstsein un-serer Mitarbeiter.“ Das spiegelt sich in der Akzeptanz derNutzer wider: Die Policy wird akzeptiert und beachtet, so-lange keine Konflikte auftreten. Sobald die Funktionalitätunter der Sicherheit leidet, sinkt die Akzeptanzschwelle. Dader Ausfall von Produktionssystemen die Firma jedochernsthaft gefährden könnte, sollen die Mitarbeiter durch ge-zielte Sensibilisierungsmaßnahmen weiter geschult werden.

Schon im Planungsstadium soll der Betriebsrat beteiligt wer-den. Das beginnt mit der Erstinformation, und anschließend

Page 15: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

13Erfahrungen aus der Praxis

Dass bei der IT-Security

sehr schnell auch Mitarbei-

terinteressen berührt sind,

weiß Jürgen Grüne von

M. DuMont Schauberg.

Das Kölner Verlagshaus,

das unter anderem die Ta-

geszeitungen Express und

Kölner Stadt-Anzeiger he-

rausgibt, hat daher schon

frühzeitig den Betriebsrat

eingebunden.

soll gemeinsam ausgelotet werden, wie man ohne übermäßi-ge Leistungs- und Verhaltenskontrolle die Erfolge der Maß-nahmen überprüfen kann. Beispielsweise kann es unter Um-ständen sinnvoll sein, sich die Teilnahme an einem Internet-basierten Trainingsprogramm nachweisen zu lassen.

Jürgen Grüne sieht dieser Abstimmung sehr gelassen entge-gen: „Die frühzeitige Beteiligung des Betriebsrates würde ichjedem anderen Unternehmen auch ans Herz legen, dennmit dem Thema IT-Sicherheit bewegt man sich immer imSpannungsfeld zwischen Unternehmensinteresse und Mitar-beiterschutz: dem Wunsch nach umfassender Kontrolle ein-erseits und dem Schutz der Persönlichkeitsrechte der Mitar-beiter andererseits. Da ist man so schnell im mitbestim-mungspflichtigen Bereich, dass man ohne die Beteiligungdes Betriebsrates gar nicht vernünftig arbeiten kann.“

„Als Ende der 90er Jahre die Abhängigkeit von IT-Prozessenimmer deutlicher wurde“, sagt der Fachbereichsleiter User-Service Ulrich Herz, „haben wir bei Mark-E Nägel mit Köp-fen gemacht und einen IT-Sicherheitsausschuss etabliert.Unsere Fachabteilung war und ist zwar für den ordnungs-gemäßen Betrieb der Fachapplikationen verantwortlich, aberes gab keine festen Vorgaben für die IT, an denen wir unshätten orientieren können.“ Der Ausschuss wurde damalsvom Vorstand beauftragt, ein IT-Sicherheitshandbuch zu er-stellen und zu pflegen, in dem betriebliche IT-Sicherheits-und Datenschutzvorschriften zentral und verbindlich doku-mentiert werden sollten. Der Vorstand lässt sich seitdem re-gelmäßig über die Aktivitäten des Ausschusses berichten,unterstreicht Ulrich Herz: „Wenn das von oben nicht mitge-tragen wird, kann man alle Bemühungen vergessen.“

Um größtmögliche Synergien zu erzielen, wurden nicht nurIT-Fachleute, Revision und Betriebsrat mit ins Boot geholt:„Personenbezogene Daten, wie etwa Kunden- und Beschäf-tigtendaten, gibt es fast nur noch in elektronischer Form. Dahängt der Datenschutz ganz stark von der Güte der ergriffe-nen Sicherheitsmaßnahmen ab. Deshalb bin auch ich ständi-ges Mitglied des IT-Sicherheitsausschusses“, betont Hans-Joachim Kisser, der Datenschutzbeauftragte der Mark-E.Inzwischen verfügt das Unternehmen über umfangreiche IT-Sicherheits- und Datenschutzregelungen, die so unterschied-liche Verfahren und Verhaltensweisen betreffen wie die

Mark-E: Klein angefangen

„In der Energieversor-

gung geht Sicherheit über

alles“, sagt Ulrich Herz

von Mark-E. Das Energie-

unternehmen aus der mär-

kischen Region mit

230.000 Privat- und Ge-

schäftskunden sowie

1.800 Industriekunden

hat frühzeitig die Sicher-

heitserfordernisse im inter-

nen IT-Betrieb erkannt.

Page 16: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

14 Mitarbeiter sensibilisieren

revisionssichere Berechtigungsvergabe, den datenschutzge-rechten Umgang mit Logdateien, den Umgang mit Passwör-tern, mobilen Datenträgern und Laptops, die Vertragsgestal-tung mit Dienstleistern oder die Vernichtung von Daten.

Irgendwann erkannte man jedoch, dass diese Maßnahmen al-lein nicht ausreichten. Den IT-Nutzern waren die Beweg-gründe für die Richtlinien nicht immer ersichtlich – weshalbder Umsetzungsgrad mancher Vorgaben zu wünschen übrigließ. Ulrich Herz: „Manche Nutzer gaben einfach ihre Pass-wörter an die Urlaubsvertretung weiter, obwohl unsere Pass-wortrichtlinie das ausdrücklich untersagt.“ Herz berichtetauch von „gelben Zetteln“ mit notierten Passwörtern, diesich an den unmöglichsten Stellen fanden. Sogar ein defek-tes Token, eine Hardware zur Erzeugung von Einmal-Pass-wörtern in der Größe eines Schlüsselanhängers, wurde demUser-Service einmal mit eingravierter PIN zurückgegeben!„Uns wurde klar, dass wir nicht nur ein rundes Sicherheits-regelwerk schaffen, sondern auch Energie in die Sensibili-sierung unserer Kolleginnen und Kollegen stecken müssen“,beschreibt Herz die damals gewonnene Erkenntnis.„Da wir unmittelbar handeln wollten, kam eine aufwändigeAwareness-Kampagne – auch aus Kapazitätsgründen – nichtin Frage. Also haben wir uns zur Sensibilisierung immerwieder bestimmte Themen vorgenommen und diese jeweilsgleichzeitig auf verschiedenen Ebenen kommuniziert.“

Der IT-Sicherheitsausschuss bekam eine Kolumne mit eige-nem Logo in der Mitarbeiterzeitschrift und thematisierte in

der Folge typische Awareness-Themen wie „Passwortsicher-heit“, „Umgang mit Laptops“ oder „Virenvorsorge“. Zeit-gleich wurden zum jeweiligen Thema weiterführendeHintergrundinformationen in einem eigenen Bereich desIntranets bereitgestellt. Diese enthielten häufig als „Mehr-wert“ auch ausdruckbare Merkzettel sowie Tipps und Tricks,die sich auch für den heimischen Privat-PC nutzen ließen.Zusätzlich fanden zum jeweiligen Thema kurze Schulungs-präsentationen für Führungskräfte statt, die auch Multiplika-torenfunktion übernahmen. Die regelmäßigen Schulungsan-gebote durch den Datenschutzbeauftragten wurden umWorkshops und fachspezifische Fragestellungen ergänzt.

„Es muss gar nicht immer der große Wurf sein“, ist sichHans-Joachim Kisser sicher. „Besser klein anfangen unddurch wiederholte Aktionen im Gespräch bleiben, als mitviel Tamtam nur selten in Erscheinung treten. Der Wieder-holungseffekt ist der eigentliche Schlüssel zum Erfolg.“„Die Reaktionen waren durchweg positiv“, bestätigt auchUlrich Herz, „und das Klima hat sich deutlich geändert: Manspricht auch schon mal auf dem Flur über Sicherheitsfragenund überlegt gemeinsam mit Kollegen, wie im Einzelfall si-cheres Verhalten aussieht. Das ist aus meiner Sicht der großeFortschritt. Heute gibt es fast keine Auffälligkeiten oder Vor-kommnisse in unserem internen Netzwerk mehr.“ Eine wich-tige Erkenntnis hat Ulrich Herz im Laufe der Zeit gewonnen:„Im Nachhinein betrachtet, muss ich sagen: EindeutigeRichtlinien sind zwar unverzichtbar, aber wenn keiner ihrenSinn versteht, sind sie schlichtweg nicht durchzuhalten.“

Page 17: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

15Erfahrungen aus der Praxis

James Bit möchte nicht mehr wegsehen, wenn ihm Sicher-heitslücken auffallen. Mit dem Slogan „Mir ist es nicht egal“versucht der fiktive T-Systems-Mitarbeiter, Mitstreiter unterseinen Kollegen für die „Mission Security“ zu gewinnen.Die Figur hat eine tragende Rolle in der gleichnamigen Se-curity-Awareness-Kampagne, die im Jahr 2006 unterneh-mensweit gestartet wurde. Sicherheit spielt bei T-Systems ei-ne große Rolle – sowohl mit Blick auf die Kunden als auchim Unternehmen selbst. „Viele unserer Mitarbeiter habenbereits ein Sicherheitsbewusstsein“, betont Dr. ChristophSchog, Chief Security Officer bei T-Systems, „aber häufigwerden sie durch äußere Umstände daran gehindert, entspre-chend zu handeln. Deshalb haben wir mit James Bit eine Fi-gur geschaffen, die in vergleichbare Situationen wie unsereMitarbeiter gerät und versucht, sicherheitsbewusst zu handeln.“

Aus diesem Grund wurde auch der Security Award ausge-schrieben, bei dem alle Mitarbeiter sechs Wochen lang kon-krete Anregungen zur Verbesserung von Sicherheitsprozes-sen und zum Stopfen von Sicherheitslücken geben konnten.Diese wurden anschließend ausgewertet: Den besten Vor-schlägen wurde neben Sachpreisen der T-Systems SecurityAward verliehen. Gleichzeitig erfolgte eine kontinuierlicheWissensvermittlung über das Intranet, in dem der MissionSecurity ein eigener Bereich eingeräumt wurde. Dort erklärtJames Bit an konkreten Beispielen das richtige Verhalten inSecurity-Fragen. Außerdem wurde ein Mission-Security-

T-Systems: James Bit, übernehmen Sie ...

„Awareness-Kampagnen

wirken nachhaltiger,

wenn sie optisch auffäl-

lig und damit allgegen-

wärtig sind“, meint Dr.

Christoph Schog, Chief

Security Officer bei

T-Systems. Die Telekom-

Tochter ist einer der füh-

renden Dienstleister für

Informations- und Kom-

munikationstechnik in

Europa und betreut im

Konzern das Segment

Geschäftskunden. Sensi-

bilisierungsmaßnahmen

haben im Unternehmen

eine lange Tradition.

Newsletter etabliert, mit dessen Hilfe Sicherheitsaspektevermittelt werden.

„Man kann auch mit kleinem Budget eine Awareness-Kam-pagne durchführen, wenn man sich auf die Punkte be-schränkt, die im Unternehmen gerade besonderes wichtigsind“, weiß Dr. Schog. „Uns ist wichtig, dass auch unserePartner im mittelständischen Bereich Mitarbeitersensibili-sierung betreiben. Das richtige Verhalten der Mitarbeiter istein wesentlicher Faktor der Unternehmenssicherheit.“ Dennunternehmensinterne Informationen sollen selbstverständ-lich nicht nur bis zu den Unternehmensgrenzen geschütztsein, sondern auch darüber hinaus bei jeder weiteren Verar-beitung. Außerdem sollen Kunden, die von T-Systems mitqualifizierten Sicherheitsmechanismen ausgestattet werden,diese dann auch möglichst sinnvoll einsetzen.

„Die wirtschaftlichen Rahmenbedingungen zwingen heutzu-tage viele Unternehmen zu Sparmaßnahmen. Dennoch hatunsere Geschäftsleitung wegen der Wichtigkeit des Themasein angemessenes Budget bereitgestellt. Bei allen Maßnah-men mussten wir darauf achten, möglichst kostengünstig zuarbeiten. Viele der bei uns eingesetzten Kommunikations-wege, zum Beispiel das Intranet oder der E-Mail-Newsletter, sind preiswert und stehen meist auch in mittel-ständischen Unternehmen zur Verfügung. Wichtig ist vorallem, dass man der Mitarbeitersensibilisierung im Rah-men seiner Möglichkeiten ausreichende Auf-merksamkeit widmet“, empfiehlt Dr. Schog.

Page 18: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

16 Mitarbeiter sensibilisieren

Es ist besser, mit kleinen Schritten anzufangen, als über Jah-re hinweg die optimale Awareness-Kampagne zu planen.Prägend für den Erfolg bleibt letztlich das Verhalten des Ma-nagements: Die Geschäftsführung muss Maßnahmen aktivunterstützen und die Mitarbeiter zur Kooperation auffordern.Auch die Führungskräfte sollten einbezogen werden: Siemüssen ein Umfeld schaffen, das die Umsetzung ermöglicht,ein Budget und die benötigte Arbeitszeit einplanen. Darüberhinaus müssen Führungskräfte selbst mit gutem Beispielvorangehen und ihren Mitarbeitern sicheres Verhalten vorle-ben.

1. Schritt: Themenbereiche identifizierenIn welchen Bereichen besteht Handlungsbedarf? Einige all-gemeine Themen – Passwortsicherheit, Umgang mit vertrau-lichen Dokumenten, sichere Administration und Virenschutz– betreffen die meisten Unternehmen. Je nach Art des Be-triebs kommen weitere hinzu: Arbeitssicherheit in produzie-renden Betrieben, Verarbeitung personenbezogener Daten,mobile Sicherheit im Außendienst und bei Heimarbeitsplät-zen. Legen Sie geeignete Themen fest, zu denen Sie sensibi-lisieren möchten.

2. Schritt: Kommunikationskanäle festlegenSie müssen das Rad nicht neu erfinden. Sicherlich gibt es inIhrem Unternehmen bereits etablierte Kommunikationska-näle wie eine Mitarbeiterzeitung, Intranet-Bereiche oder re-gelmäßige E-Mail-Newsletter. Nutzen Sie diese! Das erhöhtdie Akzeptanz und erleichtert Ihnen die Arbeit.

3. Schritt: Maßnahmen visualisierenSicherheitsregeln erfreuen sich nicht besonderer Beliebtheit;sie wirken häufig eher trocken und behindernd. Visuelle Prä-sentationen dagegen sorgen für einen höheren Lerneffekt.Wollen Sie regelmäßige Aktionen durchführen oder mehrereMaßnahmen realisieren, sollten Sie dies kenntlich machendurch ein begleitendes Logo und/oder Motto. Ein Posteroder ein Comic prägen sich besser ein als Rundschreiben.Live-Hacking-Vorführungen, Darstellungen realer Scha-densszenarien und Informationsstände im Eingangsbereichverstärken den Lerneffekt.

4. Schritt: Betriebliche Gremien integrierenUm den Erfolg der Maßnahmen sicherzustellen, sollten Hin-dernisse von Anfang an ausgeräumt werden. Deshalb solltenSie bereits in der Planungsphase Personen und Gruppen be-teiligen, deren Meinung im Unternehmen wichtig ist. Nebender Geschäftsführung und der Mitarbeitervertretung ist diesauch der betriebliche Datenschutzbeauftragte. Binden Siedie Kommunikations- oder Presseabteilung mit ein. NutzenSie die Fähigkeiten dieser Fachleute für die Informations-vermittlung, und vermeiden Sie, dass sich Personen über-gangen fühlen.

5. Schritt: Unternehmenskultur berücksichtigenHaben Sie eher lockere, informelle Umgangsformen, sindstrenge, regelorientierte Maßnahmen nicht passend. Spiele-rische, unkonventionelle Wissensvermittlung verspricht da-gegen einen größeren Erfolg.

So kann in einem Unternehmen eine Awareness-

Kampagne vorbereitet und durchgeführt werden

Schritt für Schritt

Page 19: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

Diese Druckschrift wird im Rahmen der Öffentlichkeitsarbeit der Landesregierung

Nordrhein-Westfalen herausgegeben. Sie darf weder von Parteien noch von

Wahlwerbern oder Wahlhelfern während eines Wahlkampfes zum Zwecke der

Wahlwerbung verwendet werden.

Dies gilt für Landtags-, Bundestags- und Kommunalwahlen sowie auch für die

Wahl der Mitglieder des Europäischen Parlaments.

Missbräuchlich ist insbesondere die Verteilung auf Wahlveranstaltungen, an Infor-

mationsständen der Parteien sowie das Einlegen, Aufdrucken oder Aufkleben par-

teipolitischer Informationen oder Werbemittel. Untersagt ist gleichfalls die Weiter-

gabe an Dritte zum Zwecke der Wahlwerbung.

Eine Verwendung dieser Druckschrift durch Parteien oder sie unterstützende Orga-

nisationen ausschließlich zur Unterrichtung ihrer eigenen Mitglieder bleibt hiervon

unberührt. Unabhängig davon, wann, auf welchem Wege und in welcher Anzahl

diese Schrift dem Empfänger zugegangen ist, darf sie auch ohne zeitlichen Bezug

zu einer bevorstehenden Wahl nicht in einer Weise verwendet werden, die als

Parteinahme der Landesregierung zu Gunsten einzelner politischer Gruppen ver-

standen werden könnte.

Die folgenden Aspekte sollten bei der Planung einerSensibilisierungsmaßnahme berücksichtigt werden:

Organisation• Managementunterstützung sichern• Budget klären• Zeitrahmen bestimmen• Klare Zielsetzung (nur betriebsintern oder auch mit

Wirkung in Richtung Kunden?)• Messbare Erfolgsfaktoren festlegen

Auswahl der Zielgruppe• Komplettes Unternehmen oder einzelne Abteilungen?• Qualifikationsniveau berücksichtigen• Persönliche Erfahrungen einbeziehen• Interessen und Motivation abklären

Art der Kommunikation• Persönliche Ansprache• Konkrete Ansprache• Interaktive Elemente• Etablierte Kommunikationskanäle nutzen

! MaßnahmenplanungAuf Plakaten ließ die

Fiducia AG ihre

Mitarbeiter zum Thema

„IT-Sicherheit“ zu Wort

kommen. Die interne

Awareness-Kampagne

sorgte für große Aufmerk-

samkeit.

Page 20: secure-itinNRW. MitarbeitersensibilisierenfürIT-Sicherheit ... · 2 Mitarbeitersensibilisieren IT-SicherheitundDatenschutzsindSchutzziele,dieengmit-einanderverzahntsind.SietragenentscheidendzurInfor-mationssicherheitinFirmenbei

www.secure-it.nrw.de – www.innovation.nrw.de