Aber auch dort kommen solche Programme in der Regel nur zustande, wenn es im Betrieb zum Beispiel einen Chief Information Officer (CISO) gibt, der das Vorhaben initiiert und vorantreibt. Am sinnvollsten ist es laut Berater, wenn das Security Awareness-Programm dann auch in ein übergeordnetes Information Security Management System (ISMS) eingebettet wird.
Eine Vielzahl von Sicherheitsproblemen ist heute direkt oder indirekt auf die Mitarbeiter des eigenen Unternehmens zurückzuführen. Weltweite Statistiken belegen, dass zahlreiche Fälle durch unbewusstes oder bewusstes Vorgehen von noch beschäftigten und ehemaligen Mitarbeitern passieren.
Grundsätzlich geht es bei einem Security Awareness-Programm um die Sensibilisierung von Mitarbeitern zu Themen wie Security Policies und Richtlinien, Bedrohungen und Risiken oder die Einhaltung von Regularien. CISOs sollten das Programm auch dazu nutzen, um die Information Security-Strategie gegenüber dem Management zu kommunizieren und um dort Unterstützung zu gewinnen.
Interaktive Awareness-Maßnahmen
In der Praxis hat sich laut Experton Group gezeigt, dass interaktive Maßnahmen zur Erhöhung des Sicherheitsbewusstseins erfolgreicher sind als eine Einbahnstraßen-Kommunikation. Interaktive Awareness-Maßnahmen sind etwa Präsenz-Training, Einführungs-Training für neue Mitarbeiter, Computer-basiertes Training (CBT) oder ein Quiz. Aber auch weniger aufwändige Maßnahmen wie Newsletter, Intranet, Poster und Giveaways unterstützen das Programm.
Herausforderungen und Durchhaltevermögen
Die Planung und Umsetzung eines Awareness-Programms ist mit einigen Herausforderungen verbunden. So gilt es vor allem die Unterstützung des Managements dafür zu gewinnen und bei der Belegschaft Akzeptanz für das Anliegen zu schaffen.
Außerdem sollte im Vorfeld zunächst eine Risiko-Analyse erfolgen. So kann der IT-Verantwortliche Nutzergruppen klassifizieren und Mitarbeiter mit Zugriff auf sehr vertrauliche Daten mit Face-to-Face-Training adressieren, während für andere Mitarbeiter die weniger aufwändigeren Maßnahmen wie Newsletter oder Intranet-Informationen ausreichen.
Die Analysten warnen davor, auf einen schnellen Erfolg zu hoffen. Bei einem Security Awareness-Programm ist Durchhaltevermögen gefragt, handelt es sich doch um ein kontinuierliches Vorhaben. Dabei müssen auch kulturelle Unterschiede bei der Konzeption bedacht werden. Eine erfolgreiche Kampagne in Deutschland kann unter Umständen in anderen Ländern wie in den USA oder in Asien auf Tabus stoßen.
Die Experton Group stützt ihre Erkenntnisse auf mehrere Studien und Erfahrungen aus ihrer Berater-Praxis.