Chefs, Mitarbeiter und Security Awareness (Teil 2/2) | ISMS

Security System ISMSDie beste Sicherheitslösung ist zum Scheitern verurteilt ist, wenn der Mensch nicht mitspielt. Umso wichtiger sind Maßnahmen, um die Sensibilisierung der eigenen Mitarbeiter im Umgang mit dem wichtigsten Rohstoff der Organisationen, sprich Informationen, zu fördern. 

Der 1. Teil dieses Artikels zeigt anhand zahlreicher Beispiele, warum es so wichtig ist, das notwendige Set im Umgang mit unternehmenskritischen Informationen zu vermitteln. >> zum Teil 1/2

Anzeige

… und die Unwissenheit in puncto Informationssicherheit

Im Rahmen der Studie wurden über 170 Unternehmen aus Deutschland, Österreich und der Schweiz befragt. Zu den meistgenannten Branchen gehört die Industrie mit 16 Prozent, gefolgt von Behörden (öffentliche Hand) mit 15 Prozent sowie dem Gesundheitssektor mit 13 Prozent. Im Mittelpunkt stand unter anderem die Frage, bis zu welchem Grad Unternehmen die Anforderungen der ISO/IEC 27001:2013 in Bezug auf Kompetenz und Bewusstsein derzeit umsetzen. Die Ergebnisse zeigen, dass nur 27 Prozent der befragten Unternehmensvertreter wussten, dass in ihrer Organisation ein ISMS nach ISO/IEC 27001 zum Einsatz kommt. Im Umkehrschluss heißt das: Das Thema ISMS ist in vielen Fällen „unbekanntes Land“. Uwe Rühl: „Im Grunde zeigt sich einer der häufigsten Mängel in Organisationen darin, dass nur etwas mehr als ein Viertel der Befragten von der Existenz eines ISMS im eigenen Unternehmen wissen.“ Und er ergänzt: „Mitarbeiter müssen die Informationssicherheitspolitik des Unternehmens kennen, sonst ist solch ein Vorhaben zum Scheitern verurteilt.“

Und das ist eine Kernaufgabe der Unternehmensleitung, die einen Gesamtprozess zum ISMS initiieren und deren Wirksamkeit überwachen muss – in der gesamten Organisation. Ein Umstand, der in Unternehmen zu wenig beachtet wird.

Dies deckt sich mit Expertenmeinungen, wie der „Cyber-Sicherheits-Umfrage 2015“ von der Allianz für Cyber-Sicherheit. Die Umfrage kommt zu dem Ergebnis, dass über 70 Prozent der Befragten Cyber-Risiken als zunehmend bewerten. Auf die Frage: „Wird in der jeweiligen Institution ein Managementsystem für Informationssicherheit (ISMS) betrieben?“, antworteten nur etwas mehr als 20 Prozent mit ja und das überwiegend auf Basis des IT-Grundschutzes und ISO 27001. Zur Überprüfung des Status von Maßnahmen zur IT-Sicherheit haben über 50 Prozent der Unternehmen weder regelmäßige noch strukturierte Prozesse hinterlegt. Geschweige denn „Revisionen und/oder Penetrationstests“. Im Umkehrschluss heißt das: Es besteht in puncto ISMS massiver Nachholbedarf. Ein Umstand, den die Chefetage aktiv im gesamten ISMS-Prozess begleiten muss.

Bereiche mit Schulungsmaßnahmen

Bild 1: Welche Bereiche bieten wie viele Schulungsmaßnahmen in puncto ISMS an?

„Den Mitarbeitern muss ihr Beitrag zur Wirksamkeit des Informations-Sicherheits-Management-Systems und der Verbesserung der Informationssicherheit bewusst sein und das geht in erster Linie über eine fundierte Kommunikation in der Organisation“, erklärt Rühl. Ein Blick auf die Umfrage und die Felder mit den meisten Schulungsmaßnahmen zeigt, dass 119 Probanden den Bereich Arbeitssicherheit nannten (das entspricht 35 Prozent der Antworten), gefolgt von der Informationssicherheit/Datenschutz mit 85 Probanden, sprich 25 Prozent der Antworten (siehe Bild 1).

ISMS – Verständnis, Kompetenzen, Erfolg

Interne Seminare sind mit 58 Prozent die häufigste Art der Wissensvermittlung im Bereich Informationssicherheit/Datenschutz. Mit Bezug auf die ISMS-Studie zeigt sich, dass die Kommunikation von Leitlinien im Bereich Informationssicherheit und des Datenschutzes mithilfe elektronischer Dokumente (zum Beispiel PDF) dominiert. 33 Prozent der Befragten nannten elektronische Dokumente als die häufigste Form, gefolgt vom Intranet und WIKIs mit 32 Prozent sowie der Bereitstellung von Leitlinien und Regelungen in Papierform mit 24 Prozent. 50 Prozent der Befragten gaben an, dass die Bestätigung der Kenntnisnahme und des Verständnisses durch Unterschriften erfolgt. Die Auswertung elektronischer Zugriffe und die Überprüfung anhand von Wissenstests lagen mit 19 und 15 Prozent mit Abstand dahinter. Über die Hälfte der Befragten gaben an, dass das Wissen um Leitlinien und Richtlinien im Bereich der Informationssicherheit und des Datenschutzes zumindest bestätigt werden müsse. Hierin liegt der Knackpunkt, da eine Bestätigung per Unterschrift keine Rückschlüsse zum Verständnis der Inhalte zulässt. „Die Methode einer reinen Unterschrift ist keine zielführende Lösung, um das Verständnis im ISMS-Bereich zu fördern und den Mitarbeitern die Auswirkungen bei Nichterfüllung bewusst zu machen“, warnt Uwe Rühl.

Im Rahmen der Befragung fällt auf, dass die überwiegende Methode zur Ermittlung vorhandener Kompetenzen im ISMS-Umfeld der Nachweis einer Teilnahme an Schulungen (45 Prozent) und das Vorweisen von Zertifikaten mit 20 Prozent darstellt. Wissenstests wurden nur von 13 Prozent der Befragten benannt. Eine Information darüber, ob sich die Teilnehmer die dort vermittelten Kompetenzen in ausreichender Weise angeeignet haben, ist kritisch zu hinterfragen. Ein wichtiger Punkkt, ist das fundierte Wissen um Inhalte, Prozesse und den praxisnahen Umgang im ISMS-Umfeld entscheidend für den Erfolg von Informationssicherheitsmaßnahmen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

E-Portfolios und die geteilte Meinung

Im Rahmen der Untersuchung stand der Einsatz von E-Portfolios als Alternative und Weg zur Vermittlung von Kompetenzen und dem notwendigen Bewusstsein eines ISO/IEC 27001:2013 im Fokus. Hierzu erarbeiteten die Verantwortlichen einen E-Portfolio-Entwurf als „E-Portfolio für Informationssicherheit“ auf Basis der Open-Source-Software „mahara“. Das Prüfungsportfolio soll Mitarbeitern in einem Unternehmen ein Bewusstsein und die notwendige Kompetenz im Bereich der Informationssicherheit vermitteln. In Bezug auf die Kenntnisse zu E-Portfolios bestätigt die Befragung, dass E-Portfolios in den teilnehmenden Unternehmen vielfach unbekannt sind (84 Prozent), siehe Bild 2.

E-Portfolio

Bild 2: Was bitte ist ein E-Portfolio?

Trotz der Unbekanntheit von E-Portfolios würde ein Drittel der Befragten ein solches im Rahmen von Schulungsmaßnahmen ausprobieren. Und auch skeptische Meinungen sind vertreten: Die meisten Teilnehmer nannten die Akzeptanz (39 Prozent) und die technische Umsetzung (37 Prozent) als größte Herausforderungen beim Einsatz von E-Portfolios.

Wichtige Erfolgsfaktoren für den Einsatz von E-Portfolios als Alternative sind unter anderem die Festlegung des Portfoliotyps, Inhalte exakt zu planen, eine klare Aufgabenfestlegung sowie die Portfolioarbeit in die Schulungen zu integrieren. Und das hat viel mit dem Prozessthema zu tun und der eingangs beschriebenen Reise, die mit einem ersten Schritt beginnt.

Weiterführende Informationen zu den Ergebnissen der Befragung erhalten Interessenten unter: [email protected]

>> zum Teil 1/2

Stephanie Lepski
Stephanie Lepski ist Geschäftsführerin der Rucon Service GmbH, einem Teil der Rühlconsulting Gruppe.

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.