Maßnahmen zur Mitarbeitersensibilisierung in Sachen Informationssicherheit sind für viele Unternehmen keine bloße Option mehr, sondern fester Bestandteil der Erfüllung von Compliance-Anforderungen. PCI DSS etwa gibt Awareness-Maßnahmen explizit vor. Andere Rahmenwerke legen sie zumindest nahe oder beschreiben sie als Teil eines erfolgreichen Sicherheits-Managements. Die gute Nachricht: Man muss nicht unbedingt in teure Tools oder Programme investieren, um den Vorgaben nachzukommen. LANline hat das Web nach brauchbaren kostenlosen Materialien durchkämmt.

Seit der Zeit der großen Kampagnen [1] hat sich bei der Durchführung von Maßnahmen zur Mitarbeitersensibilisierung für Informationssicherheit einiges getan. So ist das Thema an sich endgültig kein exotisches mehr. Es gilt heute in nahezu allen Organisationen als integraler und unverzichtbarer Teilt der IT-Security. Ein Grund für diese Entwicklung ist sicher, dass Industrienormen und Gesetze, die Mindeststandards für Informationssicherheit setzen, immer deutlicher auf „Awareness“ pochen. Vielleicht am deutlichsten fordern derzeit der Datenschutz und PCI DSS Sensibilisierungsmaßnahmen ein, während andere Normen wie ISO 27001 zum Informationssicherheits-Management zumindest implizit verdeutlichen, dass entsprechende Anstrengungen Teil eines umfassenden Sicherheitskonzepts sein sollten.

Man sensibilisiert wieder selbst

Interessanterweise lässt sich in modernen Unternehmen beobachten, dass die großen Awareness-„Kampagnen“ seltener geworden sind. Die CISOs und Security-Teams führen eher zielgruppenspezifische, kleinere Maßnahmen durch, diese allerdings häufiger und – im Gegensatz zu früheren Praktiken – zunehmend in Kooperation mit den Mitarbeitern, die vorab nach ihren Bedürfnisse und Lernvorlieben gefragt werden. Dies hat allerdings die Nebenwirkung, dass die Security-Experten der Organisationen auch häufiger selbst aktiv werden, statt Berater oder sogar Spezialfirmen zu engagieren.

Wirkt professionell, fällt jedoch nicht wirklich auf: ENISA-Poster zum Sperren des Bildschirms vor der Kaffeepause.

Wirkt professionell, fällt jedoch nicht wirklich auf: ENISA-Poster zum Sperren des Bildschirms vor der Kaffeepause.

Und noch ein Phänomen fällt bei den aktuellen Praktiken auf: Es gilt mittlerweile durchaus als Best Practice, sich bei der Sensibilisierung nicht allein auf ein singuläres Medium wie etwa Online- oder Frontalschulungen zu verlassen, sondern mehrere Kanäle parallel zu nutzen, also auch Poster, E-Mail, das Intranet und so weiter. PCI DSS fordert diese Multimedialität sogar explizit ein.

„Selbermachen“ muss aber nicht heißen, jedes Poster, jede E-Mail-Serie und jeden Lehrfilm selbst zu produzieren. Dies würde in einem Security-Team zu viel Zeit binden. Auch die Zweckentfremdung einer möglicherweise vorhandenen Marketing-Abteilung für entsprechende Aktivitäten findet nicht in jedem Unternehmen Gegenliebe – auch wenn dies grundsätzlich ein Modell ist, das zu guten Erfolgen führen kann. Eine echte Alternative sind im Internet frei verfügbare Materialien. Was allerdings taugen diese Ressourcen – sind sie gut genug, dass die Mitarbeiter sie tatsächlich ernst nehmen, und lassen sich damit auch die erwähnten Compliance-Anforderungen erfüllen?

Materialien der ENISA

„The European Union Agency for Network and Information Security“, ENISA – wenn man so will, eine Art „Europa-BSI“ – stellt seit Jahren Awareness-Materialien zusammen, die Unternehmen in Europa für ihre Maßnahmen frei nutzen können. Über die Zeit ist der Bestand zu einem respektablen Angebot herangewachsen, das derzeit definitiv einen genaueren Blick lohnt. Vorteilhaft ist dabei nicht zuletzt, dass sich die ENISA bemüht, ihre Produkte grundsätzlich mehrsprachig zu produzieren – dabei eben auch in Deutsch. Generell muss man heute davon ausgehen, dass die meisten größeren und mittelständischen Unternehmen Awareness-Materialien in deutscher und englischer Sprache benötigen.

Das ENISA-Reservoir ist unter www.enisa.europa.eu/media/multimedia/material zu erreichen und teilt sich auf in Videoclips, Poster für Organisationen, Poster für Eltern, Illustrationen und Bildschirmschoner. Die Organisation will also sowohl professionelle Anwender in den Unternehmen als auch Privatnutzer von IT-Systemen erreichen. Die Illustrationen und Bildschirmschoner beruhen auf gezeichneten Materialien, die Videos und Poster auf fotografierten und gefilmten Realszenen. Wie immer lässt sich über den Grafikstil streiten – die Machart der gezeichneten Bilder wird nicht jedes Mitglied der Zielgruppen ansprechen. Dafür sind sie aufgrund ihres eigenen Stils, der sich wahrscheinlich nicht mit den Gestaltungsvorgaben für Unternehmenskommunikation in den meisten Organisationen deckt, ein auffälliger „Hingucker“.

Awareness-Newsletter der LANline

LANline bietet ein- bis zweimal pro Monat einen kostenlosen E-Mail-Newsletter, der jeweils einen per Cut and Paste frei verwendbaren Awareness-Text für Unternehmensmitarbeiter enthält. Er greift immer wieder Basisthemen auf, geht auf aktuelle Bedrohungen ein und enthält von Zeit zu Zeit kleine Serien, die spezielle Aspekte wie Kennwortsicherheit behandeln. Auch dies ist ein Kanal, der sich gut parallel zu anderen Maßnahmen verwenden lässt oder in weniger sicherheitskritischen Umgebungen vielleicht sogar als Hauptmaßnahme bestehen kann. Sie können den Newsletter unter www.lanline.de/newsletter bestellen.

Um herauszufinden, wie gut das Material seine Botschaften transportiert, müsste man allerdings eine Art Feldstudie durchführen und eben zusätzlich analysieren, wie das übrige Kommunikationsumfeld in der Anwenderorganisation aussieht. Außerdem kommt es darauf an, ob ein Unternehmen die Bilder einfach irgendwo aufhängt oder durch andere Maßnahmen unterstützt, etwa durch eine Botschaft der Geschäftsleitung.

Grafiken und Realbilder sind spürbar auf Personen mittleren Alters abgestimmt, die im modernen Erwerbsleben stehen – also zum Beispiel auch im Café mit dem Notebook arbeiten und regelmäßig mit Smartphones arbeiten. In den meisten Fällen liegen die Produkte in deutscher englischer und französischer Sprache vor, die Illustrationen etwa gibt es darüber hinaus auch in Spanisch. Die Videoclips kommen allen 23 offiziellen europäischer Sprachen – wobei sie ohne gesprochene Dialoge konzipiert sind. Am Ende wird lediglich die Schlussfolgerung aus der jeweiligen Szene als Textnachricht eingeblendet.

Thematisch sind Standardsituationen der Informationssicherheit und des Datenschutzes abgedeckt: Vorsichtiger Umgang mit Kennwörtern, Obacht beim Diskutieren vertraulicher Themen in der Öffentlichkeit, Notebook und Handy nicht unbeaufsichtigt lassen, Bildschirm sperren, Clean Desktop, Vertrauliches schnell aus dem Drucker holen. Die Bildschirmschoner (für Windows-Systeme) sind einfach gehalten und blenden nur jeweils einzelne Bilder nacheinander ein, lediglich kleinere Animationen sind eingebunden.

Die ENISA hat zudem neben den Materialien selbst auch eine vorzügliche Anleitung zur Gestaltung von Awareness-Maßnahmen im Programm. Das Dokument findet sich unter www.enisa.europa.eu/publications/archive/copy_of_new-users-guide.

Ein weiteres, etwas weniger detailliertes Dokument ähnlicher Art hält übrigens das PCI Security Standards Council unter www.pcisecuritystandards.org/documents/PCI_DSS_V1.0_Best_Practices_for_Implementing_Security_Awareness_Program.pdf – auch hier kann man sich Anregungen für sinnvolle Awareness-Maßnahmen holen, auch wenn man nicht mit Kreditkartendaten hantiert.

Wer es vornehmlich mit einer englischen Belegschaft zu tun hat, findet ein paar gute Minibilder auch unter nativeintelligence.com/ni-free/index.asp. Hängt man diese Grafiken auf, funktioniert wiederum der Überraschungseffekt: Ihr Stil springt ins Auge. Außerdem bietet die Seite ein Reservoir erprobter Slogans, auch für exotischere Themen wie etwa die Compliance zur HIPAA-Norm. Wer tiefer einsteigen will, landet allerdings schnell im kostenpflichtigen Bereich.

Weiterführende Literatur

[1] Johannes Wiele, „Die Mitarbeiter als Firewall. Wie Sicherheitsbewusstsein entsteht“, in: LANline 7/2005, S.56–59

[2] Bettina Weßelmann, „Awareness 2012/2013“ – Serie in LANline 6/2012 bis 2/2013.

Dr. Johannes Wiele ist Security-Spezialist und Autor des LANline Security Awareness Newsletters.