Die starke, durch das Internet ermöglichte Vernetzung bedeutet leider auch eine gesteigerte Gefahr von Cyberattacken und anderen Bedrohungen, welche die Informationssicherheit beeinträchtigen können. In den vergangenen Jahren gerieten beispielsweise Ausspähungen bzw. Abhöraktionen durch Dienste wie die NSA (National Security Agency) in den USA, durch das englische GCHQ (Government Communications Headquarter) und die französische DGSE (Direction Générale de la Sécurité Extérieure), sowie die bekannten russischen und chinesischen Dienste an die Öffentlichkeit. Seit vielen Jahren ist der Zugang zu Informationen über das Internet so leicht, dass man sich nun erhebliche Gedanken um die Absicherung von Daten machen muss. Dabei ist kein Unternehmen zu klein oder vermeintlich zu unbedeutend, um nicht Opfer von Cyber-Attacken sein zu können. Sie dürfen sogar davon ausgehen, dass in Deutschland jedes zweite Unternehmen – sowohl KMUs, als auch Konzerne – bereits Ziel von Internetangriffen wurde. Damit stellt die weltweite Vernetzung eine große Bedrohung dar.

Als Bedrohungen werden Ursachen verstanden, die einem Unternehmen Schaden zufügen können. Bezüglich der Ursachen unterscheidet man natürliche, technische und von Menschen verursachte Bedrohungen voneinander. Hinsichtlich der Absicht werden Bedrohungen in neurale, unbeabsichtigten bzw. zufälligen, haptischen absichtlichen und nichthaptischen absichtlichen Bedrohungen unterschieden. Ein erprobtes Managementsystem für Informationssicherheit ist jedoch in jedem Fall eine erfolgreiche Abwehrmaßnahme.

Vorteile eines Informationssicherheitsmanagementsystems

Bei den Vorteilen eines durchdachten ISMS (Information Security Management System) kann zwischen zwei Aspekten unterschieden werden – Vorteile, für deren Erfüllung ein Mitarbeiter einen unmittelbaren Anreiz sieht und solche, von denen ein Unternehmen als Ganzes profitiert. Zu Ersteren zählt der Schutz von Kunden- und Mitarbeiterdaten. Da es auch um den Schutz der individuellen Daten eines Mitarbeiters geht, besteht ein persönlicher Anreiz, alle Daten entsprechend zu schützen. Zu Letzteren zählt der Schutz des Images eines Unternehmens, welches bei der Nichteinhaltung der EU-DSGVO riskiert wird.

Für die ISO27001:2013 ergeben sich unter anderem folgende Vorteile für ein Unternehmen: Vertrauliche Informationen werden geschützt und ein sicherer Informationsaustausch wird ermöglicht. Kunden und Stakeholder gewinnen Vertrauen in das Unternehmen, da es seine Bemühungen und Entschlossenheit einer erfolgreichen Informationssicherheitsstrategie demonstriert und dieselben auch umsetzt. Aufgrund dieses Vertrauens können Wettbewerbsvorteile gegenüber anderen Unternehmen entstehen, die den Schutz von Informationen weniger ernst nehmen. Auch bindet es Kunden stärker, wenn jene sich darauf verlassen können, dass ihre Informationen verantwortungsvoll verarbeitet werden. Generell bieten die beschriebenen Vorteile eine Sicherheit, die Fremdkapitalgeber überzeugt.

Maßnahmen für mehr Bewusstsein zu Informationssicherheit und die ISO27001

Ein wichtiges Instrument des Managementsystems ist der Plan-Do-Check-Act-Zyklus (PDCA-Zyklus). Die vier Phasen des PDCA-Zykluses, dem Planen, dem Umsetzen, dem Überprüfen und dem Ausführen, tragen entscheiden für eine stetige Verbesserung und Weiterentwicklung der Sicherheitsmaßnahmen bei.
Da der menschliche Faktor ein wesentlicher Bestandteil der Informationssicherheit ist, sind Awareness- und Sensibilisierungsmaßnahmen ein wichtiger Punkt für die kontinuierliche Verbesserung der Sicherheitskonzepte.

Sensibilisierung und Schulung der Mitarbeiter in IT-Sicherheit

Die erste Zeit in einem neuen Unternehmen ist für einen neuen Mitarbeiter und seine Kollegen besonders prägend. Bereits am ersten Tag muss dieser daher zu den Vorgaben in Informationssicherheit und Datenschutz unterwiesen, sowie auf deren Einhaltung verpflichtet werden. Zur Einarbeitung sollte ein konkreter Plan erstellt und mit dem neuen Kollegen besprochen und durchgeführt werden. Wichtig ist hierbei, dass in der Anfangszeit ein Mentor als Ansprechpartner bereitsteht. Aber auch nach den ersten Wochen sollten die Mitarbeiter regelmäßig zum Beispiel via Rundmail, Newsletter oder eine Intranetseite über Sicherheitsaspekte informiert werden.

Konkret kann das Wissen zu IT-Sicherheitsthemen wie Bedrohungen und die Vorteile eines ISMS bei Schulungen vermittelt werden. Darüber hinaus ist es wichtig, hierbei jeden Mitarbeiter zu den Notfallplänen zu instruieren. Anschließend helfen Trainings (Übungen), bei denen sich das Kollegium praktisch mit Sicherheitsaspekten auseinandersetzen muss.

Ergibt sich aus aktuellem Anlass zum Beispiel in den Medien eine akute Gelegenheit zu themenspezifischen Workshops, ist es ratsam, diese wahrzunehmen, um unmittelbar das Bewusstsein darauf zu lenken, dass die Bedrohung auch das eigene Unternehmen treffen könnte. Hierbei mögen Mitarbeiter einer Abteilung im Rahmen eines Workshops analysieren, wie der neu bekannt gewordene Fall möglich wurde und eigene Vorschläge zum Thema Informationssicherheit und Datenschutz vorbringen.

Ebenfalls empfehlen sich anerkannte externe Schulungen zur Weiterbildung der Mitarbeiter in IT-Sicherheit. Diese können beispielsweise die Ausbildung zum ISO 27001 Beauftragte/r, ISO 27001 Auditor oder Cyber Security Expert sein. Diese ausgebildeten internen Ansprechpartner sind allen Mitarbeitern bekannt zu machen und müssen für diese erreichbar sein. Damit diese bei Sicherheitsbedenken oder Fragen sofort zu Rate gezogen werden können.

Um die Akzeptanz der Informationssicherheitsmaßnahmen bei Mitarbeitern zu erhöhen empfiehlt es sich, diese bereits in der Planung und Prozessgestaltung mit einzubinden. Bereits bei der Sammlung von Ideen für Sicherheitsmaßnahmen setzen sich die Mitarbeiter mit möglichen Gefahren auseinander und werden bei der Gestaltung der erforderlichen Prozesse und Maßnahmen aktiv. Daraus resultiert eine höhere Bereitschaft, diese auch umzusetzen und Regeln einzuhalten. Werden sie darüber hinaus auch bei der Implementierung, der Verbesserung und der Einhaltungsprüfung der ISMS-Prozesse eingebunden, können sie ihre eigene Beteiligung durch neue Ideen sogar kontinuierlich steigern und tragen dabei zum wiederkehrenden Planungselement des PDCA-Zyklus bei.

Awareness-Kampagnen zur stetigen Wachsamkeit

Es bieten sich vielfältige Möglichkeiten Awareness-Kampagnen zu gestalten. In jeder Form dient dies, das Bewusstsein für Sicherheitsaspekte aufrecht zu erhalten.
Dies mag zum Beispiel mit Postern gelingen, welche den Mitarbeitern die Aspekte der Informationssicherheit kommunizieren. Eine gute Möglichkeit zur Schaffung von mehr Bewusstsein für Datenschutz und Sicherheitsthemen ist auch eine Livehacking-Demonstration auf einer Betriebsversammlung. Darüber hinaus sind Quizzes zu IT-Sicherheitsthemen vorstellbar, bei denen Mitarbeiter Sachpreise gewinnen können. Dieses System macht sich beispielsweise ein großer Finanzdienstleister zu Nutze und kann hierbei im Durchschnitt eine Teilnahme von über 80% seiner Mitarbeiter aufweisen.
Egal durch welche Methoden – Das Bewusstsein über Informationssicherheit und Datenschutz ist in heutiger Zeit in jedem Unternehmen aktiv zu fördern.

 

Bildnachweis: (c) Steve Buissinne, CC0 v1.0, Pixabay