Voraussetzung für Initiativen
Das Management für Awareness begeistern
In unserem modernen digitalen Zeitalter, in dem wir leben und arbeiten, haben sich Informations- und Kommunikationstechniken zur unverzichtbaren Basis alltäglicher Aufgaben entwickelt. Gleichzeitig wächst für Bürger und Unternehmen das Risiko von erfolgreichen Angriffen auf die Sicherheit ihrer Informationen. Der Grund dafür sind Sicherheitslücken in den neuen und existierenden Technologien zusammen mit Faktoren wie Konvergenz, die zunehmende Verbreitung von "Always-on"-Verbindungen und das kontinuierliche und exponentielle Wachstum der Anwenderzahlen in den europäischen Mitgliedstaaten.
Die schon erwähnten Verletzungen der Informationssicherheit können mit IT zu tun haben und zum Beispiel durch Viren verursacht sein, oder sie sind möglicherweise sozial motiviert, etwa wenn Equipment gestohlen wird. Mit der Abhängigkeit von digitaler Information steigt die Zahl entsprechender Gefahren. Einer beträchtlichen Anzahl von Bürgern ist gar nicht bewusst, welchen Risiken sie ausgesetzt sind.
Awareness-Defizite in Europa
Der Fortschritt und die Zunahme der beschriebenen Gefahren lässt die Sicherheitslösungen von heute schon morgen veralten. Die Sicherheitslandschaft verändert sich permanent. Die meisten Analysten stellen währenddessen fest, dass die menschliche Komponente im System der Sicherheitsmaßnahmen das schwächste Glied darstellt. Unter diesen Umständen lässt sich die Zahl der Verletzungen der Informationssicherheit nur durch signifikante Änderungen in der Wahrnehmung der Anwender und der Kultur der Organisationen effektiv reduzieren [1].
Europa hat eindeutig Defizite im Bereich Information Security Awareness. Die Europäische Agentur für Netzwerk- und Informationssicherheit (ENISA) geht davon aus, dass eine bewusste Wahrnehmung (Awareness) der Risiken und der verfügbaren Schutzmaßnahmen die erste Verteidigungslinie darstellt, wenn es um Sicherheit für Informationssysteme und Netzwerke geht. ENISA und die Mitgliedstaaten der EU setzen ihre Anstrengungen fort, das Verhalten der Öffentlichkeit bezüglich der Informationssicherheit positiv zu beeinflussen und die Haltung der Menschen so zu verändern, dass sie in dieser Hinsicht mehr auf ihr eigenes Verhalten achten.
Praktische Hilfen für Awareness-Kampagnem
Vor diesem Hintergrund hat die Abteilung der EINSA, die für die Schärfung des Sicherheitsbewusstseins im Informationssektor zuständig ist, die Broschüre "A Users? Guide: How to Raise Information Security Awareness" veröffentlicht, der unter dem Titel "Leitfaden für die Praxis: Wege zu mehr Bewusstsein für Informationssicherheit" auch in deutscher Sprache zur Verfügung steht [4]. Er liefert praktische Hilfen für die Mitgliedstaaten der EU, um im Bereich Informationssicherheit Awareness-Initiativen vorzubereiten und umzusetzen. Die in der Broschüre enthaltenen Informationen umfassen unter anderem Schritt-für-Schritt-Anleitungen für die Bassiskonzeption effektiver und zielgerichteter Awareness-Kampagnen für verschiedene Zielgruppen wir etwa die Angehörigen öffentlicher und privater Organisationen.
Der "Guide" geht davon aus, dass einer zentralen Aspekte der Umsetzung einer Awareness-Initiative darin liegt, sich der Unterstützung und der Förderung duch das Top-Managements zu versichern. Es ist unerlässlich, unter Entscheidungsträgern Einverständnis darüber zu erzielen, dass Awareness-Programme wichtig sind und eine angemessene finanzielle Ausstattung verdienen [5].
Das Top-Management muss die Risiken erkennen
In dieser Hinsicht gehört es zu den Hauptzielen der Awareness-Arbeit, zu erreichen, dass sich das Top-Management einer Organisation zur Förderung des Sicherheitsbewusstseins bekennt [6] und dass es ausßerdem die Risiken und Herausforderungen versteht, die einen Einfluss auf den Geschäftserfolg der Organisationen haben können [7].
Auf folgende Punkte sollten sich die Entscheidungsträger konzentrieren:
Sie müssen die Belange der Informationssicherheit verstehen.
Sie müssen verstehen, dass die Integrität, Vertraulichkeit und Verfügbarkeit ihrer Daten für eine Organisation heute eine Schlüsselfunktion hat [8].
Sie müssen bestimmen, auf welchem Stand sich der Umgang mit Informationssicherheit in ihrer Organisation befindet und welche Prozesse und Richtlinien existieren. Sie sollten die Planung, das Management und die Überwachung der verschiedenen Phasen von Initiativen für die Informationssicherheit unterstützen [9].
Sie sollten regelmäßig Berichte einfordern, die Aufschluss über die Effektivität von Sicherheitsmaßnahmen und über den Erfolg von Awareness-Programmen geben.
Informationssicherheit auf der Agenda der Führungsebene
Damit sich das Top-Management tatsächlich mit den erwähnten Fragen und Themen befasst, sollte man Informationssicherheit auf die Agenda der Führungsebene setzen. Dies lässt sich durch provozierende Fragen erreichen:
Weiß die Führungsebene, wer in der Organisation für Sicherheit verantwortlich ist?
Hat die jüngste Virus- oder Malware-Attacke das Unternehmen irgendwie betroffen?
Weiß irgendwer, wie viele Computer das Unternehmen im Einsatz hat?
Welcher Prozentsatz der Belegschaft hat im vergangenen Jahr an einem Sicherheitstraining teilgenommen?
Was tut das Unternehmen, um sicherheitsrelevante Vorfälle aufzudecken? Wie werden sie in der Organisationshierarchie behandelt, gegebenenfalls eskaliert und wie geht das Management damit um?
Welche Projekte zur Steigerung der Informationssicherheit gab es in den vergangenen zwölf Monaten?
Wie ist das Top-Management in Entscheidungen über Zugriffsrechte auf Informationsressourcen und Datenverarbeitungssysteme in der Organisation eingebunden?
Gibt es ein Programm dafür, wie das Unternehmen einen schwerwiegenden Sicherheitsvorfall übersteht und danach wieder seinen Betrieb aufnehmen kann?
Ist sich die Führungsebene sicher, dass das Thema Security im Unternehmen adäquat behandelt wird [10]?
Haben sich die Entscheidungsträger erst einmal mit diesen Fragen auseinandergesetzt, kann man mit einiger Sicherheit darauf rechnen, dass sie sich für Security-Awareness-Initiativen zu interessieren beginnen. Je nach Organisation kann es notwendig sein, das Programm nach dem Muster einer geschäftlichen Angelegenheit zu behandeln und voranzutreiben, damit es befürwortet wird. Dies bedeutet, dass Kosten und Ressourcen von vornherein bestimmt und präsentiert werden müssen. Darüber hinaus ist es erforderlich, Metriken für Sicherheitsaktivitäten und Awareness-Aktivitäten festzulegen und anzugeben. Der "Guide" stellt fest, dass der Bedarf an einer Förderung des Sicherheitsbewusstseins zwar weithin anerkannt wird, dass aber nur wenige öffentliche oder private Organisationen bereits versucht haben, den Wert entsprechender Kampagnen zu quantifizieren. Die Evaluierung einer Kampagne oder eines Programms ist notwendig, um seine Wirksamkeit einschätzen und gegebenenfalls auf der Basis der bisherigen Erfahrungen Anpassungen vornehmen zu können.
Awareness-Initiativen und Programme für die Informationssicherheit sollten auf die Geschäftsstrategie und die Ziele einer Organisation abgestimmt werden. Die Führungsebene eines Unternehmens wiederum sollte genau wissen, welches zentralen Prozesse und Aktivitäten dazu notwendig sind, eine Awareness-Kampagne durchzuführen.
Schwierigkeiten überwinden
Aus all dem ergibt sich, dass die Implementierung einer erfolgreichen Awaneress-Kampagne eine schwierige Aufgabe darstellen kann. Es ist nützlich, sich mit den häufigsten Hindernissen vertraut zu machen, um sie schon in der Planungs- und Einführungsphase aus dem Weg räumen zu können. Der "Guide" der ENISA befasst sich mit einigen der Barrieren und macht Vorschläge, wie sie zu überwinden sind. Er ist als wertvolles Werkzeug für die Mitgliedstaaten gedacht, Awareness-Initiativen und -Programme vorzubreiten und durchzuführen.
Die Europäische Agentur für Netzwerk- und Informationssicherheit ENISA wird weiter den Austausch von Informationen fördern und Material zur Verfügung stellen, das individuell angepasst und den EU-Mitgliedstaaten präsentiert werden kann, um dort die Arbeit zur Steigerung des Bewusstseins für IT-Sicherheit zu erhöhen. ENISA und die Mitgliedstaaten werden ihre Arbeit intensivieren, mit der sie die Haltung der Öffentlichkeit zur Informationssicherheit positiv beeinflussen wollen.
Lesen Sie mehr zum Thema
