Awareness-Kampagnen – Ein klein wenig sicherer geht immer!

 

Wie steht es eigentlich um die Informationssicherheit Ihres Unternehmens?
Haben Sie sich in einer Burg hinter hohen und meterbreiten Schutzmauern verbarrikadiert? Oder sitzen Sie unter einer unsichtbaren Kuppel, die Angriffe neutralisiert, bevor Sie in die innere Atmosphäre eindringen können?

Schön wär’s vermutlich! Aber vermutlich sitzen Sie entweder in einem klassischen Büro oder sogar im Homeoffice. Nun stellt sich also die Frage: Wie gut sind sensible Unternehmensinformationen dort (und bei allen anderen Mitarbeitern des Unternehmens) geschützt? Sicherlich haben Ihre unternehmenseigene IT oder Ihr Dienstleister umfangreiche technische Schutzmaßnahmen zur Gefahrenabwehr implementiert. Aber was ist, wenn die einmal nicht ausreichend sind? Haben Sie sich bewusst auf den Moment vorbereitet, in dem der Angreifer doch die Barrieren durchbricht?

Und damit kommen wir auf das Thema Awareness zu sprechen: Bei Awareness (=Bewusstseins)-Maßnahmen steht das Sicherheitsbewusstsein der Mitarbeiter eines Unternehmens im Fokus. Es geht bei diesen Maßnahmen jedoch nicht nur darum, das Bewusstsein zu stärken, sondern eine Verhaltensänderung zu erwirken. Hierzu empfiehlt sich mehrere Maßnahmen in Kombination in einer Awareness-Kampagne zusammenzufassen. Eine nachhaltige Kampagne konzentriert sich somit nicht nur auf die Erhöhung des Bewusstseins, sondern hat ein erfolgreiches Umdenken und Handeln zum Ziel.

Consultant Datenschutz Bild

Beantworten Sie einmal für sich selbst folgende Fragen: Sind Ihre Mitarbeiter in der Lage das Unternehmen zu verteidigen? Verfügen sie hierfür über das nötige Wissen und auch den Willen? Und werden sie uns in der entsprechenden Situation tatsächlich verteidigen?

Umfangreiche technischen Sicherheitsmaßnahmen eines Unternehmens können das Risiko von Sicherheitsvorfällen stark reduzieren. Wo technische Maßnahmen jedoch nicht greifen, kommt die menschliche Verteidigungsebene zum Einsatz. Auf diese Weise kann die ganzheitliche Informationssicherheit im Unternehmen erhöht werden.

Vielleicht ist das Sicherheitsbewusstsein und der Handlungswille Ihrer Mitarbeiter auch schon auf einem hohen Niveau! Vielleicht aber auch nicht! Vor dem Start einer Kampagne sollte genau das erst einmal herausgefunden werden. Gegebenenfalls ist Ihr Unternehmen schon so gut aufgestellt, dass Awareness-Maßnahmen nicht mehr notwendig erscheinen (Hut ab, falls dem so ist!). In den meisten Fällen jedoch gibt es ein wenig bis viel Luft nach oben.

Eine Awareness-Kampagne sollte nicht als ein Standardkonzept verstanden und jedem Unternehmen übergestülpt werden. Die Inhalte müssen geplant, die Durchführung auf die Unternehmenskultur abgestimmt und regelmäßige Maßnahmenkontrollen berücksichtigt werden.

War die Kampagne erfolgreich?
Ein Teil des Sicherheitsbewusstseins und -verhaltens der Mitarbeiter lässt sich an Hand von Kennziffern messen bzw. einschätzen. Hierbei werden z.B. tatsächliche Sicherheitsvorfälle, Meldungen der Mitarbeiter an das Sicherheitsteam, Phishing-Mails oder auch die Qualität des Passwortes herangezogen. Der andere Teil – die Einstellung der Mitarbeiter – ist jedoch nur durch konkrete Fragestellungen zu erfassen. Diese richten sich an die Gefühle, das Bewusstsein und die Verhaltensabsicht der Mitarbeiter. Diese Kombination aus Beobachtung und Fragebogen kann als grobes Messinstrument vor als auch nach der durchgeführten Kampagne eingesetzt werden. Man darf jedoch nicht vergessen, dass es sich nur um eine richtungsweisende Messung handelt.

Abschließend gilt also: Ohne Maßnahmen, keine Verbesserung der Sicherheit! Eine 100%ige Sicherheit gibt es nicht, aber jede noch so kleine Awareness-Maßnahme kann DIE Ausschlaggebende sein, dass ein Sicherheitsvorfall vermieden wird.