Security-Awareness-Programme erfolgreich durchführen

Gezielte Security-Awareness-Programme wurden bislang aber primär bei großen Unternehmen aufgesetzt, so die Marktforscher. Solche Programme kämen in der Regel nur zustande, wenn es im Unternehmen einen Sicherheitsverantwortlichen gebe – zum Beispiel einen Chief Information Security Officer (CISO) – der das Vorhaben initiiere und vorantreibe. Außerdem sollte es in ein Informationssicherheitsmanagement (Information Security Management System – ISMS) eingebettet sein.

Grundsätzlich geht es bei einem Security-Awareness-Programm um die Sensibilisierung von Mitarbeitern (IT und Nicht-IT) zu Themen wie Security Policies und Richtlinien, Bedrohungen und Risiken oder die Einhaltung von Regularien. Darüber hinaus nutzen die CISOs das Programm, um die Information-Security-Strategie gegenüber dem Management zu kommunizieren und um dort Unterstützung zu gewinnen.

In der Praxis habe sich gezeigt, dass interaktive Maßnahmen zur Erhöhung des Sicherheitsbewusstseins erfolgreicher seien als eine “Einbahnstraßen-Kommunikation”, hieß es von Andreas Burau, Research Director ICT-Service bei der Experton Group. Interaktive Awareness-Maßnahmen seien etwa Präsenztraining, Einführungstraining für neue Mitarbeiter, Computer-basiertes Training (CBT) oder ein Quiz.

Aber auch weniger aufwändige Maßnahmen wie Newsletter, Intranet, Poster und Giveaways unterstützten das Programm. Generell sollte ein Security-Awareness-Programm demnach mit interessanten Inhalten aufgepeppt sein, zum Beispiel mit Tipps für die Home-PC-Sicherheit.