RiLi-Sensibilisierung

Aus ISMS-Ratgeber WiKi
Version vom 22. August 2024, 18:24 Uhr von Dirk (Diskussion | Beiträge) (→‎Gesetzliche Rahmenbedingungen)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Die Richtlinie beschreibt Maßnahmen zur Erhöhung des Bewusstseins für Informationssicherheit unter Mitarbeitenden. Sie umfasst Schulungen, Kommunikation im Intranet, Vorbildfunktion der Führungskräfte und Meldewege für Sicherheitsvorfälle, um das Risiko menschlichen Versagens zu minimieren und die Sicherheit zu erhöhen.

Einleitung

In einer zunehmend vernetzten und digitalisierten Arbeitswelt kommt der Informationssicherheit eine hohe Bedeutung zu. Cyberangriffe und Datenverluste können erhebliche Schäden verursachen und das Vertrauen von Kunden und Geschäftspartnern beeinträchtigen. Die Sensibilisierung der Mitarbeitenden für IT-Sicherheit ist daher unerlässlich, um das Risiko von IT-Sicherheitsvorfällen zu minimieren. In Schulungen und Trainings lernen die Mitarbeitenden, wie sie sich und das Unternehmen vor Cyberangriffen und Datenverlusten schützen können. Dadurch wird ein sichereres Arbeitsumfeld geschaffen und das Unternehmen kann besser vor den Folgen von IT-Sicherheitsvorfällen geschützt werden.

Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden der Organisation.

Zielsetzung

Die Sensibilisierung der Mitarbeitenden für Informationssicherheit ist ein wichtiger Aspekt der Unternehmenssicherheit. Da die meisten Sicherheitsbedrohungen auf menschliches Versagen zurückzuführen sind, ist es von entscheidender Bedeutung, dass alle Mitarbeitenden der Organisation über die Bedeutung der Informationssicherheit informiert und geschult werden.

Einige der wichtigsten Themen, die bei der Sensibilisierung der Mitarbeitenden für Informationssicherheit behandelt werden sollten, sind

  • Phishing-Angriffe: Die Mitarbeitenden sollten über die Risiken von Phishing-Angriffen informiert werden und darüber, wie wichtig es ist, beim Öffnen von E-Mails oder beim Anklicken von Links Vorsicht walten zu lassen.
  • Passwortsicherheit: Alle Mitarbeitenden sollten darüber informiert werden, wie sie sichere Passwörter erstellen und regelmäßig aktualisieren können.
  • Datenklassifizierung: Die Mitarbeitenden sollten verstehen, wie sie Daten entsprechend ihrer Bedeutsamkeit und Sensibilität klassifizieren und sicher aufbewahren können.
  • Verhaltensregeln für die Nutzung von IT-Systemen: Mitarbeitende sollten klare Verhaltensregeln für die Nutzung von IT-Systemen kennen und einhalten.
  • Social Engineering: Mitarbeitende sollten über Social-Engineering-Angriffe informiert sein und wissen, wie sie diese erkennen und darauf reagieren können.
  • Notfallvorsorge: Mitarbeitende sollten über Notfallpläne informiert sein und wissen, wie sie bei einem Sicherheitsvorfall reagieren können.

Es sind regelmäßig Schulungen und Trainings durchzuführen und die Mitarbeitenden über neue Bedrohungen und Risiken auf dem Laufenden zu halten, um Informationssicherheit dauerhaft in der Organisationskultur zu verankern.

Gesetzliche Rahmenbedingungen

Rechtliche Anforderungen für die Sensibilisierung von Mitarbeitenden sind u.a. in folgenden Gesetzen verankert:

  • Bundesdatenschutzgesetz (BDSG)
  • ggf. IT-Sicherheitsgesetz (IT-SiG)
  • ggf. Telemediengesetz (TMG)
  • ggf. Sozialgesetzbuch (SGB X)

Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Verantwortliche

Die Verantwortung für die Informationssicherheit und die Sensibilisierung der Mitarbeitenden liegt in erster Linie bei der Leitung der Organisation und ihren Führungskräften. Die Organisation legt mit dieser Policy klare Ziele für die Sensibilisierung der Mitarbeitenden fest.

Auch die Mitarbeitenden selbst können zur Sensibilisierung beitragen. Durch offene Kommunikation und aktive Beteiligung an Diskussionen über erkannte Risiken und Verbesserungspotenziale können sie dazu beitragen, das Bewusstsein für Informationssicherheit in der Organisation zu schärfen.

Der ISB wird regelmässig Schulungen und Trainings zu verschiedenen Themen der Informationssicherheit anbieten oder organisieren.

Vorbildfunktion

Die Vorbildfunktion der Organisationsleitung, der ISB und der Führungskräfte kann einen starken Einfluss auf die Sensibilisierung der Mitarbeitenden haben. Wenn Führungskräfte eine bestimmte Einstellung oder ein bestimmtes Verhalten vorleben, ist es wahrscheinlicher, dass die Mitarbeitenden diese Einstellung oder dieses Verhalten übernehmen und im Unternehmen umsetzen.

Führungskräfte müssen als Vorbilder fungieren und sich aktiv an der Sensibilisierung der Mitarbeitenden beteiligen. Darüber hinaus können sie durch ihre eigene Kommunikation und ihr Verhalten dafür sorgen, dass bestimmte Werte und Verhaltensweisen im Unternehmen gelebt werden.

Schulungen und Trainings

Schulungen und Trainings zur Informationssicherheit sind eine wichtige Maßnahme, um Mitarbeitende für die Risiken von Cyber-Angriffen und Datenverlusten zu sensibilisieren. Der ISB organisiert im Auftrag der Organisationsleitung regelmässige Schulungen und Trainings, die zur Sensibilisierung beitragen:

  • Grundlagen der Informationssicherheit: Diese Schulungen vermitteln Grundkenntnisse der Informationssicherheit und zeigen auf, wie die Mitarbeitenden zu einem sicheren Arbeitsumfeld beitragen können. Themen sind beispielsweise der Umgang mit Passwörtern, die Bedeutung von Firewalls und Antivirensoftware sowie Phishing-Angriffe.
  • Social Engineering Training: Beim Social Engineering geht es darum, Mitarbeitende zur Preisgabe vertraulicher Informationen oder zu unerwünschten Handlungen zu verleiten. In diesem Training werden die Mitarbeitenden für diese Art von Angriffen sensibilisiert und lernen, wie sie diese erkennen und vermeiden können.
  • Mobile Devices and Remote Work Security Training: Die zunehmende Nutzung von mobilen Geräten und die Verbreitung von Homeoffice und mobilen Arbeiten erhöhen das Risiko von IT-Sicherheitsvorfällen. In diesem Training werden die Mitarbeitenden für die Risiken sensibilisiert und lernen, wie sie ihre mobilen Geräte und Remote-Arbeitsplätze sicherer betreiben können.
  • Incident Response Training: Im Falle eines Cyberangriffs ist es wichtig, dass die Mitarbeitenden schnell und richtig reagieren. In diesem Training lernen sie, wie man einen Angriff erkennt, wie man ihn meldet und wie man im Ernstfall reagiert, um den Schaden zu minimieren.

Diese Schulungen und Trainings werden regelmäßig durchgeführt, um sicherzustellen, dass die Mitarbeitenden immer auf dem neuesten Stand sind und sich der Bedrohungen bewusst bleiben.

Intranet und Kommunikation

Das Intranet ist ein wertvolles Instrument zur Sensibilisierung für Informationssicherheit. Folgende Inhalte und Angebote zur Informationssicherheit werden im Intranet der Organisation angeboten:

  • Verzeichnis der Richtlinien und Konzepte: Über das Intranet werden organisationsweit an zentraler Stelle alle relevanten Richtlinien und Verfahrensanweisungen in der jeweils aktuellen Fassung veröffentlicht und allen Mitarbeitenden zur Verfügung gestellt.
  • Informationen zu Schulungen und Trainings: Das aktuelle Angebot an Schulungen und Trainings zur Informationssicherheit wird regelmäßig im Intranet veröffentlicht.
  • Sensibilisierungskampagnen: Bei Bedarf werden Awareness-Kampagnen im Intranet veröffentlicht, um auf aktuelle Bedrohungen oder wiederkehrende Sicherheitsvorfälle hinzuweisen und zu sensibilisieren.
  • Ansprechpartner und Meldewege: Alle Ansprechpartner für Informationssicherheit und deren Kontaktdaten werden im Intranet veröffentlicht, ebenso die Meldewege für Sicherheitsvorfälle.
  • Information über aktuelle Sicherheitswarnungen: Aktuelle Sicherheitswarnungen werden in einem Newsticker im Intranet auf der Startseite veröffentlicht.

Meldewege

Beschreibung der Meldewege für Sicherheitsvorfälle, z.B.:

  • Ansprechpartner (ISB, DSB) und Kontaktdaten
  • Zentrale Funktionspostfächer
  • ServiceDesk, UserHelpDesk oder Ticketsystem
  • ...

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung