ISO 27002 - Kapitel 6.3 Sensibilisierung für die Informationssicherheit, Aufklärung und Schulung

Organisationen können sich noch so viel Mühe geben, die eigenen Prozesse zu regeln. Es wird niemals möglich sein, alle für einen bestimmten Fachbereich relevanten Aspekte niederzuschreiben und der Versuch dürfte oftmals darin enden, dass Mitarbeiter angesichts der Regelungsfülle schnell überfordert sind. Um Beschäftigte über den Bestand und Inhalt von Regelungen zu informieren und auch über deren Grenzen hinaus für wichtige Belange zu sensibilisieren, ist es unumgänglich, einen geeigneten Prozess zur Schulung und Information von Mitarbeitern aufzubauen.

Das Kapitel 6.3 der ISO 27002 enthält hierzu etliche Empfehlungen, die wir im Folgenden im Überblick vorstellen.

Warum schulen und sensibilisieren?

In der Praxis begegnet man sehr oft Organisationen, die der Auffassung sind, dass ein paar Regelungen genügen, die den Mitarbeitern nachweislich zur Verfügung gestellt wurden. Schließlich habe man es mit vernünftigen und verständigen Personen zu tun. Dieser Eindruck ist oft falsch und schnell fatal.

Die zur Erreichung einer angemessenen Informationssicherheit notwendigen Regelungen sind an sich bereits komplex und angesichts der in jeder Hinsicht rasanten Entwicklung schnell nicht mehr aktuell. Selbst Fachleute müssen sich laufend und regelmäßig informieren und weiterbilden. Erst recht gilt dies für Personal, das nicht hauptberuflich in ISMS-relevanten Bereichen eingesetzt wird.

Im Ergebnis muss jeder im Rahmen seiner eigenen Verantwortung das passende Bewusstsein für die Belange der Informationssicherheit der betroffenen Organisation haben und dem entsprechend handeln können.

Schulungsprogramm

Auch im Bereich von Schulungen ist eine Verteilung per Gießkanne im Ergebnis nicht geeignet. Organisationen sollten auch hier geplant vorgehen. Dies heißt konkret, dass in Abhängigkeit vom jeweils bestehenden konkreten Schulungsbedarf ein passender und angemessener Plan zur Erfüllung dieses Bedarfs aufgestellt werden sollte. Folgende Faktoren spielen hierbei unter anderem eine Rolle:

  • Welche Fachkenntnisse und Ausbildung werden mitgebracht? Es ist nicht notwendig, Wissen zu vermitteln, dass nachweislich bereits vorliegt.
  • Haben sich seit einem bestimmten Schulungsstand Änderungen ergeben, über die informiert werden muss? Dann ist über solche Änderungen zu informieren. Gegebenenfalls muss ein neuer Lehrgang besucht werden.
  • Welche Kenntnisse müssen alle Mitarbeiter besitzen und welche benötigen nur Angehörige eines bestimmten Fachbereiches? Die allgemeine Schulung im Datenschutz wird beispielsweise oft allen Beschäftigten zumindest einmal angetan. Auf Schulungen, die nur für das IT-Personal relevant sind, werden aber naturgemäß nur Mitarbeiter der IT-Abteilung geschickt.
  • Wann müssen diese Kenntnisse vorliegen? Entscheidend ist, dass die relevanten Fähigkeiten vermittelt wurden, bevor mit der betroffenen Tätigkeit begonnen wird. Besonderes Augenmerk ist also auf die Phase der Einstellung zu legen aber auch, wenn ein Beschäftigter auf eine neue Position wechselt oder aber eine Abteilung ein neues Werkzeug zur Verfügung gestellt bekommt.
  • Wie wichtig ist die Schulung? Hier steht zum einen die Verteilung der oft begrenzten Ressourcen an, aber auch die Frage, ob und in welcher Form der Erfolg der Schulung nachzuweisen ist. Genügt eine schlichte Liste der Teilnehmer oder muss eine Wissenskontrolle erfolgen?

Ergebnis dieser gesamten Überlegungen sollte ein definierter und dokumentierter Schulungsplan für beispielsweise das jeweils anstehende Kalenderjahr sein. Darin sollte sich finden lassen, wer, wann, worüber zu schulen ist. Die Mindestinhalte der einzelnen Schulungsveranstaltungen sollten daneben zumindest im Grundsatz festgelegt werden. Selbstverständlich kann und muss der Schulungsplan gegebenenfalls kurzfristig angepasst werden, wenn aktueller Anlass besteht. Wird etwa ein Unternehmen vermehrt gezielt angegriffen, sollten Mitarbeiter so früh wie irgend möglich informiert und sensibilisiert werden.

Sensibilisierung

Die Vermittlung harter Fakten ist das eine. Die Informationsvermittlung sollte aber auch immer der Schaffung und Stärkung des Bewusstseins für Belange der Informationssicherheit einhergehen. Wenn Mitarbeiter die Hintergründe verstehen, warum bestimmte Prozesse so und nicht anders geregelt wurden und weshalb vielleicht bestimmte Einschränkungen notwendig sind, fördert dies die vor allem Akzeptanz aber meist auch den Willen und die Bereitschaft, angemessen mitzuwirken.

Es ist in diesem Zusammenhang sehr wichtig, dass das eigene Engagement des Managements und die Übernahme von auch persönlicher Verantwortung für alle Beteiligten klar erkennbar wird. Wenn die Chefetage die eigene Vorbildfunktion nicht wahrnimmt, werden sich auch Mitarbeiter oftmals weniger Mühe geben.

Abschließend noch der Hinweis, dass Organisationen nicht nur auf die Zwänge im Zusammenhang mit der Informationssicherheit hinweisen sollten, sondern auch auf die direkten und indirekten Vorteile, die damit verbunden sind. Die Aufklärung über Wettbewerbsvorteile, das Bestehen am Markt, die Sicherheit des eigenen Arbeitsplatzes etc. sind alles Umstände, die auch weniger interessierte Beschäftigte zur künftig besseren und bereitwilligeren Mitwirkung bewegen können.

Externe Kräfte

Selbstverständlich darf nicht vergessen werden, dass Organisation in der Regel auch Verbindungen zu externen Stellen besitzen, die ebenfalls das ISMS beeinflussen können.

Die oben gestellten Fragen sind auch in diesem Zusammenhang zu stellen und angemessen zu beantworten. Im Ergebnis muss auch hier sichergestellt sein, dass ausschließlich befähigtes und angemessen sensibilisiertes Personal zum Einsatz kommt.

 

Fazit: Erörtern Sie, welches Wissen und welches Bewusstsein in der Organisation geschaffen werden muss und sorgen Sie dafür, dass dies dann auch vorliegt!

Auch das beste Personal muss gelegentlich an die Hand genommen und geführt werden. Das Management ist persönlich nicht nur dafür verantwortlich, geeignetes Personal einzusetzen, die Beschäftigten müssen auch angemessen angeleitet bzw. angewiesen werden. Der Versuch, dies durch ein paar gedruckte Zeilen zu erledigen und dann die im Einzelfall korrekte Ausführung dem Mitarbeiter zu überlassen ist ungenügend, entspricht nicht der geforderten Sorgfalt und wird im Ergebnis nicht funktionieren.

Stellen Sie den konkreten Schulungsbedarf im eigenen Hause regelmäßig fest und erfüllen Sie diesen dann angemessen, rechtzeitig und nachweislich. Der hiermit verbundene Aufwand kann teilweise durch den Einsatz bereits hoch qualifizierten Personals verringert werden. Ein Profi muss gegebenenfalls nur noch kurz auf Wesentlichkeit hingewiesen werden. Fachfremde Personen müssen möglicherweise stärker und nachhaltiger geschult werden.

Verantwortlich für ein angemessenes Schulungwesen ist letztlich das Management; dieses muss gegebenenfalls auch angesichts begrenzter Ressourcen über die Priorität von Maßnahmen entscheiden. Da die Feststellung des Bedarfs und der konkret notwendigen Inhalte meist nicht ohne Fachkenntnis möglich ist, werden Verantwortliche hier oft selbst auch auf Hilfe angewiesen sein.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

Die activeMind AG stellt ihren Mandanten ein Lernmanagementsystem (LMS) mit Mitarbeiter-Onlinekursen zur Informationssicherheit und zum Datenschutzrecht zur Verfügung.