M 3.5 Schulung zu IT-Sicherheitsmaßnahmen
Verantwortlich für Initiierung: Vorgesetzte, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Vorgesetzte, IT-Sicherheitsmanagement
Die überwiegende Zahl von Schäden im IT-Bereich entsteht durch Nachlässigkeit. Um dies
zu verhindern, ist jeder einzelne zum sorgfältigen Umgang mit der IT zu motivieren. Zusätzlich sind
Verhaltensregeln zu vermitteln, die ein Verständnis für die IT-Sicherheitsmaßnahmen wecken.
Insbesondere sollen folgende Themen in der Schulung zu IT-Sicherheitsmaßnahmen vermittelt werden:
- Sensibilisierung für IT-Sicherheit
Jeder Mitarbeiter ist auf die Notwendigkeit der IT-Sicherheit hinzuweisen. Das Aufzeigen der Abhängigkeit
der Behörde bzw. des Unternehmens und damit der Arbeitsplätze von dem reibungslosen
Funktionieren der IT-Systeme ist ein geeigneter Einstieg in die Sensibilisierung. Darüber hinaus ist der Wert
von Informationen herauszuarbeiten, insbesondere unter den Gesichtspunkten Vertraulichkeit, Integrität
und Verfügbarkeit. Diese Sensibilisierungsmaßnahmen sind in regelmäßigen
Zeitabständen zu wiederholen, evtl. auch durch praktische Hinweise z. B. in der Hauspost.
- Die mitarbeiterbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die in einem IT-Sicherheitskonzept
erarbeitet wurden und von den einzelnen Mitarbeitern umzusetzen sind. Dieser Teil der
Schulungsmaßnahmen hat eine große Bedeutung, da viele IT-Sicherheitsmaßnahmen erst nach
einer entsprechenden Schulung und Motivation effektiv umgesetzt werden können.
- Die produktbezogenen IT-Sicherheitsmaßnahmen
Zu diesem Thema sollen die IT-Sicherheitsmaßnahmen vermittelt werden, die inhärent mit einem
Softwareprodukt verbunden sind und bereits im Lieferumfang enthalten sind. Dies können neben
Passwörtern zur Anmeldung, der Pausenschaltung durch Bildschirmschoner auch Möglichkeiten der
Verschlüsselung von Dokumenten oder Datenfeldern sein. Hinweise und Empfehlungen über die
Strukturierung und Organisation von Dateien, die Bewegungsdaten enthalten, können die Vergabe von
Zugriffsrechten erleichtern und den Aufwand zu Datensicherung deutlich reduzieren.
- Das Verhalten bei Auftreten eines Computer-Virus auf einem PC
Hier soll den Mitarbeitern vermittelt werden, wie mit Computer-Viren umzugehen ist. Mögliche Inhalte
dieser Schulung sind (siehe
M 6.23
Verhaltensregeln bei Auftreten eines Computer-Virus):
-
Erkennen des Computer-Virusbefalls
- Wirkungsweise und Arten von Computer-Viren
- Sofortmaßnahmen im Verdachtsfall
- Maßnahmen zur Eliminierung des Computer-Virus
- Vorbeugende Maßnahmen
- Der richtige Einsatz von Passwörtern
Hierbei sollen die Bedeutung des Passwortes für die IT-Sicherheit sowie die Randbedingungen
erläutert werden, die einen wirksamen Einsatz eines Passwortes erst ermöglichen (vgl. auch
M 2.11
Regelung des Passwortgebrauchs).
- Die Bedeutung der Datensicherung und deren Durchführung
Die regelmäßige Datensicherung ist eine der wichtigsten IT-Sicherheitsmaßnahmen in jedem IT-
System. Vermittelt werden soll das Datensicherungskonzept (s. Kapitel 3.4 Datensicherungskonzept) der
Behörde bzw. des Unternehmens und die von jedem einzelnen durchzuführenden
Datensicherungsaufgaben. Besonders bedeutend ist dies für den PC-Bereich, in dem jeder Benutzer selbst
die Datensicherung verantwortlich durchführen muss.
- Der Umgang mit personenbezogenen Daten
An den Umgang mit personenbezogene Daten sind besondere Anforderungen zu stellen. Mitarbeiter, die mit
personenbezogenen Daten (sowohl in IT-Systemen als auch in Akten) arbeiten müssen, sind für die
gesetzlich erforderlichen Sicherheitsmaßnahmen zu schulen. Dies betrifft den Umgang mit
Auskunftsersuchen, Änderungs- und Verbesserungswünschen der Betroffenen, gesetzlich
vorgeschriebene Löschfristen, Schutz der Vertraulichkeit und die Übermittlung der Daten.
- Die Einweisung in Notfallmaßnahmen
Sämtliche Mitarbeiter (auch nicht unmittelbar mit IT befaßte Personen wie Pförtnerdienst oder
Wachpersonal) sind in bestehende Notfallmaßnahmen einzuweisen. Dazu gehört die
Erläuterung der Fluchtwege, die Verhaltensweisen bei Feuer, der Umgang mit Feuerlöschern, das
Notfall-Meldesystem (wer als erstes wie zu benachrichtigen ist) und der Umgang mit dem Notfall-Handbuch.
- Vorbeugung gegen Social Engineering
Die Mitarbeiter sollen auf die Gefahren des Social Engineering hingewiesen werden. Die typischen Muster solcher
Versuche, über gezieltes Aushorchen an vertrauliche Informationen zu gelangen, ebenso wie die
Methoden, sich dagegen zu schützen, sollten bekannt gegeben werden. Da Social Engineering oft mit der
Vorspiegelung einer falschen Identität einhergeht, sollten Mitarbeiter regelmäßig darauf
hingewiesen werden, die Identität von Gesprächspartnern zu überprüfen und
insbesondere am Telefon keine vertraulichen Informationen weiterzugeben.
Bei der Durchführung von Schulungen sollte immer beachtet werden, dass es nicht reicht, einen
Mitarbeiter einmal während seines gesamten Arbeitsverhältnisses zu schulen. Für nahezu alle
Formen von Schulungen, insbesondere Front-Desk-Schulungen, gilt, dass sehr viele neue Informationen auf die
Teilnehmer einstürzen. Diese gelangen nur zu einem kleinen Teil ins Langzeitgedächtnis, 80% sind
meist schon bei Schulungsende wieder vergessen.
Daher sollten Mitarbeiter immer wieder zu Themen der IT-Sicherheit geschult bzw. sensibilisiert werden. Dies
kann beispielsweise
-
in kürzeren Veranstaltungen zu aktuellen IT-Sicherheitsthemen,
- im Rahmen regelmäßiger Veranstaltungen wie Abteilungsbesprechungen, oder
- durch interaktive Schulungsprogramme, die allen Mitarbeitern zur verfügung stehen,
erfolgen.
Ergänzende Kontrollfragen:
-
Welche Themen bzgl. IT-Sicherheitsmaßnahmen wurden schon geschult?
- Werden neue Mitarbeiter entsprechend in die IT-Sicherheitsmaßnahmen eingewiesen?
- Welche Schulungsmaßnahmen werden in welchen Intervallen angeboten?
- Decken die Inhalte der Schulungsmaßnahmen die erforderlichen Gebiete ab?
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.