Inhaltsverzeichnis
- Security Awareness: Definition
- Wofür Security Awareness?
- Security Awareness: Maßnahmen
- Häufige Risikofaktoren für Security Awareness
- Schulung zu Security Awareness: Tipps zur Umsetzung
Security Awareness: Definition
Der Begriff „Security Awareness“ (engl. für „Sicherheitsbewusstsein“) beschreibt die Sensibiliserung von Mitarbeitern zu IT-Sicherheit, Cybersecurity und Datenschutz. So erkennen Arbeitgeber, wie Angestellte mit vertraulichen Daten im Unternehmen umgehen und auf eventuelle Angriffe auf die interne Cybersicherheit reagieren. Anhand dieser Erkenntnis kann der Arbeitgeber weitere Maßnahmen zu Datenschutz und IT-Sicherheit ableiten.
Arbeitgeber erreichen Security Awareness vorrangig durch Aufklärung und Prävention der Beschäftigten. Erst wenn alle Angestellten umfangreich über mögliches Fehlverhalten sowie Bedrohungen in Datenschutz und IT-Sicherheit informiert sind und entsprechend handeln, weist ein Unternehmen hohe Security Awareness auf.
Die rechtlichen Grundlagen bilden u. a. die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG). Als wichtiger Bestandteil der Security Awareness hat der Arbeitgeber dafür zu sorgen, dass alle Mitarbeiter die datenschutzrechtlichen Vorgaben am Arbeitsplatz einhalten.
Bei der Umsetzung der gesetzlichen Vorschriften hilft die „Dokumentenmappe: Datenschutz im Unternehmen“. Sie bietet Arbeitgebern und Datenschutzbeauftragten Checklisten, Merkblätter und Formularsammlungen für die rechtssichere Datenschutzorganisation.
Mit dem „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“ informieren Arbeitgeber die Beschäftigten über alle Verpflichtungen zum Datenschutz im Betrieb.
Allerdings betreffen Security Awareness und Datenschutz nicht nur Unternehmen und Betriebe, sondern auch andere Organisationen wie Vereine oder Gesellschaften. Immer dort, wo mehrere Menschen miteinander interagieren und sensible Daten in Umlauf sind, sind alle Beteiligten für den Schutz dieser Daten verantwortlich.
Wofür Security Awareness?
Grundsätzlich kann der Arbeitgeber vertrauliche Daten bereits mit entsprechenden technische Programmen und Lösungen vor Schäden schützen. Allerdings sind IT-Sicherheit und Datenschutz kein rein technisches oder rechtliches Thema.
Selbst mit technischen Einrichtungen ist es nur bis zu einem gewissen Grad möglich, alle Daten zu schützen, da technische Mittel meist nur auf bestimmte Reize reagieren, z. B. bei einem aktiven Angriff auf eine Software. Menschen hingegen können auch proaktiv aus eigener Motivation heraus handeln, ohne dass zuvor ein bestimmtes Ereignis eintreten muss.
Durch diese Eigenschaft sind die Angestellten eines Unternehmens gleichzeitig Risikofaktor und Chance, sensible Inhalte im Unternehmen vor Angriffen o. ä. zu bewahren. Klärt der Arbeitgeber die Angestellten im Rahmen der Security Awareness auf, gewährleistet er eine höhere Sicherheit der unternehmenseigenen Daten. Dadurch stärkt eine hohe Security Awareness gleichzeitig die interne Cyberabwehr-Strategie.
Security Awareness: Maßnahmen
Das grundlegende Prinzip von Security Awareness besagt: Schult der Arbeitgeber die Beschäftigten umfassend und regelmäßig in IT-Sicherheit und Datenschutz, pflegt er ein gutes Informationssicherheitskonzept. Alle Beschäftigten sollten in der Lage sein, potenzielle Gefahren zu erkennen und wissen, welches Verhalten von ihnen im Ernstfall gefordert ist.
Daher sollte der Arbeitgeber entsprechende Maßnahmen etablieren, um eine vollumfängliche Security Awareness im Unternehmen zu erreichen. Folgende Maßnahmen sind empfehlenswert:
- Mitarbeiter sensibilieren und Kompetenzen aufbauen
Der Arbeitgeber sollte alle Angestellten im Unternehmen motivieren, achtsam gegenüber potenziellen Gefahren für sensible Daten zu sein. Hierfür muss der Arbeitgeber den Mitarbeitern die erforderlichen Kompetenzen bereits im Vorraus durch Schulungen o. ä. nahebringen. - regelmäßig Updates und Backups der Geräte durchführen
Damit die technischen Geräte im Unternehmen den aktuellen Sicherheitsstandards entsprechen, müssen die Angestellten regelmäßig den Sicherheitsstatus ihrer Geräte und Software prüfen sowie ggf. Updates durchführen. Auch Backups der Technik sind für den Schutz unternehmenseigener Daten umzusetzen. - sichere Passwörter vergeben
Um vertrauliche Daten zu schützen, sollten alle Angestellten sichere und komplexe Passwörter für ihre Geräte verwenden. Auch Datenträger und die Übertragung der Daten ist mit solchen Passwörtern vor eventuellen Angriffen zu schützen. - Daten mehrstufig verschlüsseln
Egal ob auf einem oder zwischen mehreren Geräten: Überall dort, wo im Unternehmen Daten ausgetauscht werden, ist eine mehrstufige Authentifizierung sinnvoll. Dieser komplexe Schutzmechanismus macht es Angreifern sehr schwer, die unternehmensinternen Systeme zu hacken und an sensible Daten heranzukommen. - Zugriffsrechte bestimmen
Legt der Arbeitgeber eindeutige Zugriffsrechte für bestimmte Konten und Zugänge fest, beugt er möglichen Sicherheitsverletzungen im Unternehmen vor, da alle Angestellten nur auf die Bereiche Zugriff haben, die sie für ihre tatsächliche Arbeit brauchen.
Diese Maßnahmen zur Security Awareness sollte der Arbeitgeber in enger Zusammenarbeit mit der IT-Abteilung bzw. den IT-Beauftragten im Unternehmen umsetzen. Dennoch gibt es einige Gefahrenquellen, die häufig auftreten und die viele Unternehmen vor datenschutzrechtliche Herausforderungen stellen.
Häufige Risikofaktoren für Security Awareness
Cyberkriminelle können sensible Daten eines Unternehmens auf verschiedensten Wegen schädigen oder stehlen. Kennt der Arbeitgeber jedoch die häufigsten Risikofakotren, kann er vorbeugen und entsprechende Gegenmaßnahmen zur Security Awareness einleiten.
Gängige Gefahrenquellen für Datenmissbrauch in Unternehmen sind z. B.:
Spam- und Phishing-Mails | Bösartige E-Mails stellen eine immer wiederkehrende Bedrohung für die Informationssicherheit eines Unternehmens dar. Spam-Mails können den E-Mail-Server des Unternehmens bedrohen oder schadhafte Links bzw. Anhänge enthalten, die die technischen Systeme schädigen. |
Malware | „Malicious Software“ oder kurz „Malware“ ist ein Programm, dass so konzipiert ist, dass es dem Benutzer schadet. Der Schaden kann z. B. entstehen, indem der Angreifer Daten ausspioniert oder Zugriffe von Administratoren erlangt. Bekannte Formen von Malware sind z. B. Viren, Trojaner oder Spyware. |
Shoulder-Surfing | Beim Shoulder-Surfing sieht der Angreifer „über die Schulter“ der Beschäftigten im Unternehmen, indem er beispielsweise bestimmte Informationen der technischen Geräten stiehlt oder Tastaturbewegungen der Mitarbeiter analysiert. So gelangt er an geheime Daten wie Passwörter, Zugänge oder andere vertrauliche Unternehmensdaten. |
Hat sich der Arbeitgeber über potenzielle technische Gefahrenquellen für sein Unternehmen informiert, kann er dieses Wissen für die Aufklärung der Mitarbeiter nutzen, etwa bei einer Schulung zur Security Awareness.
Um die Inhalte der Schulung effektiver zu vermitteln, gibt es zusätzliche Hilfestellungen für Arbeitgeber.
Schulung zu Security Awareness: Tipps zur Umsetzung
Gibt der Arbeitgeber oder ein von ihm beauftragter Sachkundiger den Beschäftigten eine Schulung zu Security Awareness, unterliegt sie mehreren Faktoren, die beeinflussen, wie stark sich die Awareness der Mitarbeiter durch die Schulung nachhaltig erhöht.
Damit die Schulung der Angestellten möglichst effektiv verläuft, kann sich der Arbeitgeber an folgenden Tipps orientieren:
- Mitarbeiter regelmäßig unterweisen
In kaum einem anderen Bereich ergeben sich so viele Neuerungen in so kurzer Zeit wie in der Technologie. Daher ist es für die erfolgreiche Security Awareness eines Unternehmens entscheidend, dass der Arbeitgeber die Mitarbeiter nicht einmalig, sondern in wiederkehrenden Abständen unterweist. - Schulung und Maßnahmen an die Beschäftigten anpassen
Die Inhalte und Formen der Schulungen sowie die daraus resultierenden Maßnahmen sollten an den aktuellen Wissensstand der Belegschaft anknüpfen und die einzelnen Aufgaben- und Verantwortungsbereiche mit einbeziehen. So bleibt das Unternehmen handlungsfähig und fördert die eigene Security Awareness. - Praxisbezogene Inhalte
Theorie ist wichtig, aber Praxis stellt eine Brücke zum tatsächlichen Arbeitsalltag her. Damit die Angestellten die theoretischen Inhalte möglichst erfolgreich in die Tat umsetzen können, muss die Schulung ein Gleichgewicht aus Theorie und Praxis aufweisen. So können die Mitarbeiter die Inhalte längerfristig im Gedächtnis behalten und im Ernstfall anwenden. - Prüfungen zum aktuellen Wissensstand
Bereits im Brandschutz ist es so: Um sicherzustellen, dass die Angestellten das fachlich korrekte Verhalten im Brandfall kennen, sind Unternehmen dazu verpflichtet, regelmäßig Probealarme und Brandschutzübungen in ihrem Gebäude durchzuführen.
Diese Situation lässt sich auch auf die Security Awareness übertragen: Wenn der Arbeitgeber das Wissen der Mitarbeiter immer wieder mit kleinen Prüfungen in Form von z. B. digitalen Quizzes oder praktischen Übungen testet, bleiben die in der Schulung gelernten Inhalte besser im Kopf. Das verringert Panik und Unsicherheiten im Ernstfall.
Quelle: „Infodienst Datenschutz für Praktiker“: Ausgabe 01/2021