Informationssicherheit beginnt beim Menschen. Cyber Security ist eine tägliche Herausforderung. Seit Jahren wird immer wieder die mangelnde Sensibilität der IT-Nutzer für Belange der Informationssicherheit beklagt. Aber wie lässt sich das Bewusstsein nachhaltig steigern? Ein erprobtes Mittel zur Mitarbeitersensibilisierung ist eine gezielte Security Awareness-Kampagne.
Eine wirkungsvolle Methode, um das Interesse zu gewinnen, ist, Möglichkeiten zum Schutz des eigenen privaten PCs vor Viren und Hacker-Angriffen aus dem Internet zu vermitteln. Denn Ransomware, Trojaner und Phishing betreffen die Mitarbeitenden auch als Privatpersonen. Diese Sensibilisierung für die Risiken der Cyberwelt kann die Entwicklung einer höheren Sensibilität für Sicherheitsbelange des Unternehmens erheblich fördern.
Zentraler Baustein einer Security Awareness Kampagne ist aber ganz klar, den Mitarbeitenden das erforderliche Verständnis für Sicherheitsmassnahmen zu lehren. Dabei wird das Ziel verfolgt, die Einstellung und damit auch das individuelle Verhalten zu verändern. Inhaltlicher Kern einer solchen Kampagne ist die Security-Policy des Unternehmens, die konkrete Verhaltensanforderungen und -anweisungen formuliert. Die praktische Umsetzung einer Awareness-Aktion erfolgt in drei Schritten:
Ziel dieser ersten Phase ist es, die Aufmerksamkeit der Mitarbeitenden zu gewinnen und ihnen aufzuzeigen, wo die Risiken im Alltag liegen und wie wichtig ihr persönlicher Beitrag ist.
Erfolgreiche Massnahmen um den Mitarbeitenden die «Augen» zu öffnen:
Die zweite Phase dient der Vermittlung des für das Verständnis von Sicherheitsmassnahmen erforderlichen Wissens und hat zum Ziel, das individuelle Verhalten hinsichtlich der Informationssicherheit zu optimieren. Es ist der wichtigste und zugleich anspruchsvollste Schritt der Mitarbeitersensibilisierung. Mögliche Massnahmen hierzu sind:
In dieser abschliessenden Phase wird eine dauerhafte Veränderung der Einstellung und des Verhaltens angestrebt. Hier sind Massnahmen empfehlenswert, die die Thematik fest im Bewusstsein der Mitarbeitenden verankern und immer wieder aufs Neue in Erinnerung rufen. Auch sind unbedingt entsprechende Massnahmen zur Überprüfung des Security Awareness Levels einzuplanen:
Ein wirkungsvoller Informationsschutz steht und fällt mit der aktiven Unterstützung aller Mitarbeitenden des Unternehmens – inklusive Management! Durch eine geeignete Security Awareness-Kampagne können sowohl das erforderliche Grundwissen vermittelt und die Sensibilität der Mitarbeitenden für Informationssicherheit erhöht als auch Einstellungen und Verhaltensweisen nachhaltig verändert werden.
Mehr rund um Security Awareness, Phishing, Social Engineering & Co. finden Sie auf unserer Webseite «Know-how Security Awareness», inkl. Quiz!