Voraussetzung für Initiativen
Das Management für Awareness begeistern
In unserem modernen digitalen Zeitalter, in dem wir leben und arbeiten, haben sich Informations- und Kommunikationstechniken zur unverzichtbaren Basis alltäglicher Aufgaben entwickelt. Gleichzeitig wächst für Bürger und Unternehmen das Risiko von erfolgreichen Angriffen auf die Sicherheit ihrer Informationen. Der Grund dafür sind Sicherheitslücken in den neuen und existierenden Technologien zusammen mit Faktoren wie Konvergenz, die zunehmende Verbreitung von "Always-on"-Verbindungen und das kontinuierliche und exponentielle Wachstum der Anwenderzahlen in den europäischen Mitgliedstaaten.
Die schon erwähnten Verletzungen der Informationssicherheit können mit IT zu tun haben und zum
Beispiel durch Viren verursacht sein, oder sie sind möglicherweise sozial motiviert, etwa wenn
Equipment gestohlen wird. Mit der Abhängigkeit von digitaler Information steigt die Zahl
entsprechender Gefahren. Einer beträchtlichen Anzahl von Bürgern ist gar nicht bewusst, welchen
Risiken sie ausgesetzt sind.
Awareness-Defizite in Europa
Der Fortschritt und die Zunahme der beschriebenen Gefahren lässt die Sicherheitslösungen von
heute schon morgen veralten. Die Sicherheitslandschaft verändert sich permanent. Die meisten
Analysten stellen währenddessen fest, dass die menschliche Komponente im System der
Sicherheitsmaßnahmen das schwächste Glied darstellt. Unter diesen Umständen lässt sich die Zahl der
Verletzungen der Informationssicherheit nur durch signifikante Änderungen in der Wahrnehmung der
Anwender und der Kultur der Organisationen effektiv reduzieren [1].
Europa hat eindeutig Defizite im Bereich Information Security Awareness. Die Europäische Agentur
für Netzwerk- und Informationssicherheit (ENISA) geht davon aus, dass eine bewusste Wahrnehmung
(Awareness) der Risiken und der verfügbaren Schutzmaßnahmen die erste Verteidigungslinie darstellt,
wenn es um Sicherheit für Informationssysteme und Netzwerke geht. ENISA und die Mitgliedstaaten der
EU setzen ihre Anstrengungen fort, das Verhalten der Öffentlichkeit bezüglich der
Informationssicherheit positiv zu beeinflussen und die Haltung der Menschen so zu verändern, dass
sie in dieser Hinsicht mehr auf ihr eigenes Verhalten achten.
Praktische Hilfen für Awareness-Kampagnem
Vor diesem Hintergrund hat die Abteilung der EINSA, die für die Schärfung des
Sicherheitsbewusstseins im Informationssektor zuständig ist, die Broschüre "A Users? Guide: How to
Raise Information Security Awareness" veröffentlicht, der unter dem Titel "Leitfaden für die
Praxis: Wege zu mehr Bewusstsein für Informationssicherheit" auch in deutscher Sprache zur
Verfügung steht [4]. Er liefert praktische Hilfen für die Mitgliedstaaten der EU, um im Bereich
Informationssicherheit Awareness-Initiativen vorzubereiten und umzusetzen. Die in der Broschüre
enthaltenen Informationen umfassen unter anderem Schritt-für-Schritt-Anleitungen für die
Bassiskonzeption effektiver und zielgerichteter Awareness-Kampagnen für verschiedene Zielgruppen
wir etwa die Angehörigen öffentlicher und privater Organisationen.
Der "Guide" geht davon aus, dass einer zentralen Aspekte der Umsetzung einer
Awareness-Initiative darin liegt, sich der Unterstützung und der Förderung duch das Top-Managements
zu versichern. Es ist unerlässlich, unter Entscheidungsträgern Einverständnis darüber zu erzielen,
dass Awareness-Programme wichtig sind und eine angemessene finanzielle Ausstattung verdienen
[5].
Das Top-Management muss die Risiken erkennen
In dieser Hinsicht gehört es zu den Hauptzielen der Awareness-Arbeit, zu erreichen, dass sich
das Top-Management einer Organisation zur Förderung des Sicherheitsbewusstseins bekennt [6] und
dass es ausßerdem die Risiken und Herausforderungen versteht, die einen Einfluss auf den
Geschäftserfolg der Organisationen haben können [7].
Auf folgende Punkte sollten sich die Entscheidungsträger konzentrieren:
Sie müssen die Belange der Informationssicherheit verstehen.
Sie müssen verstehen, dass die Integrität, Vertraulichkeit und Verfügbarkeit
ihrer Daten für eine Organisation heute eine Schlüsselfunktion hat [8].
Sie müssen bestimmen, auf welchem Stand sich der Umgang mit
Informationssicherheit in ihrer Organisation befindet und welche Prozesse und Richtlinien
existieren. Sie sollten die Planung, das Management und die Überwachung der verschiedenen Phasen
von Initiativen für die Informationssicherheit unterstützen [9].
Sie sollten regelmäßig Berichte einfordern, die Aufschluss über die
Effektivität von Sicherheitsmaßnahmen und über den Erfolg von Awareness-Programmen geben.
Informationssicherheit auf der Agenda der Führungsebene
Damit sich das Top-Management tatsächlich mit den erwähnten Fragen und Themen befasst, sollte
man Informationssicherheit auf die Agenda der Führungsebene setzen. Dies lässt sich durch
provozierende Fragen erreichen:
Weiß die Führungsebene, wer in der Organisation für Sicherheit verantwortlich
ist?
Hat die jüngste Virus- oder Malware-Attacke das Unternehmen irgendwie
betroffen?
Weiß irgendwer, wie viele Computer das Unternehmen im Einsatz hat?
Welcher Prozentsatz der Belegschaft hat im vergangenen Jahr an einem
Sicherheitstraining teilgenommen?
Was tut das Unternehmen, um sicherheitsrelevante Vorfälle aufzudecken? Wie
werden sie in der Organisationshierarchie behandelt, gegebenenfalls eskaliert und wie geht das
Management damit um?
Welche Projekte zur Steigerung der Informationssicherheit gab es in den
vergangenen zwölf Monaten?
Wie ist das Top-Management in Entscheidungen über Zugriffsrechte auf
Informationsressourcen und Datenverarbeitungssysteme in der Organisation eingebunden?
Gibt es ein Programm dafür, wie das Unternehmen einen schwerwiegenden
Sicherheitsvorfall übersteht und danach wieder seinen Betrieb aufnehmen kann?
Ist sich die Führungsebene sicher, dass das Thema Security im Unternehmen
adäquat behandelt wird [10]?
Haben sich die Entscheidungsträger erst einmal mit diesen Fragen auseinandergesetzt, kann man
mit einiger Sicherheit darauf rechnen, dass sie sich für Security-Awareness-Initiativen zu
interessieren beginnen. Je nach Organisation kann es notwendig sein, das Programm nach dem Muster
einer geschäftlichen Angelegenheit zu behandeln und voranzutreiben, damit es befürwortet wird. Dies
bedeutet, dass Kosten und Ressourcen von vornherein bestimmt und präsentiert werden müssen. Darüber
hinaus ist es erforderlich, Metriken für Sicherheitsaktivitäten und Awareness-Aktivitäten
festzulegen und anzugeben. Der "Guide" stellt fest, dass der Bedarf an einer Förderung des
Sicherheitsbewusstseins zwar weithin anerkannt wird, dass aber nur wenige öffentliche oder private
Organisationen bereits versucht haben, den Wert entsprechender Kampagnen zu quantifizieren. Die
Evaluierung einer Kampagne oder eines Programms ist notwendig, um seine Wirksamkeit einschätzen und
gegebenenfalls auf der Basis der bisherigen Erfahrungen Anpassungen vornehmen zu können.
Awareness-Initiativen und Programme für die Informationssicherheit sollten auf die
Geschäftsstrategie und die Ziele einer Organisation abgestimmt werden. Die Führungsebene eines
Unternehmens wiederum sollte genau wissen, welches zentralen Prozesse und Aktivitäten dazu
notwendig sind, eine Awareness-Kampagne durchzuführen.
Schwierigkeiten überwinden
Aus all dem ergibt sich, dass die Implementierung einer erfolgreichen Awaneress-Kampagne eine
schwierige Aufgabe darstellen kann. Es ist nützlich, sich mit den häufigsten Hindernissen vertraut
zu machen, um sie schon in der Planungs- und Einführungsphase aus dem Weg räumen zu können. Der "
Guide" der ENISA befasst sich mit einigen der Barrieren und macht Vorschläge, wie sie zu überwinden
sind. Er ist als wertvolles Werkzeug für die Mitgliedstaaten gedacht, Awareness-Initiativen und
-Programme vorzubreiten und durchzuführen.
Die Europäische Agentur für Netzwerk- und Informationssicherheit ENISA wird weiter den Austausch
von Informationen fördern und Material zur Verfügung stellen, das individuell angepasst und den
EU-Mitgliedstaaten präsentiert werden kann, um dort die Arbeit zur Steigerung des Bewusstseins für
IT-Sicherheit zu erhöhen. ENISA und die Mitgliedstaaten werden ihre Arbeit intensivieren, mit der
sie die Haltung der Öffentlichkeit zur Informationssicherheit positiv beeinflussen wollen.
Lesen Sie mehr zum Thema
