Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Wie kann die Awareness beim Menschen erhöht werden?

Bis auf einige «Advocatus Diaboli» scheint man sich hinsichtlich der IT Sicherheitsawarness einig zu sein. Das Schaffen von Awareness oder noch besser das kontinuierliche Verbessern und Trainieren des Verständnisses für die IT-Sicherheit ist elementar. Denn auch die beste Sicherheitslösung ist zum Scheitern verurteilt, wenn der Mensch nicht mitspielt. Umso wichtiger sind Massnahmen, die das Bewusstsein der Menschen im Umgang mit dem neuen Rohstoff «Information» nicht nur schaffen, sondern erhöhen. Dabei ist es im Grunde irrelevant, ob diese Erhöhung im privaten oder betrieblichem Umfeld angestrebt wird. Wenn sich jeder Einzelne der Risiken in der neuen digitalisierten Welt bewusster wird, kann auch ein sensibilisierter Umgang mit all den neuen Medien und Services erreicht werden. Die Hypothese des selbstbestimmten Handelns im Umgang mit neuen Technologien hat aber einen Pferdefuss. Trotz des Wissen um die Risiken, trotz der Warnungen der Datenschützer und Sicherheitsexperten, gibt es Themen und Fragestellunge, die man bewusst in den Hintergrund der eigenen Aufmerksamkeit schiebt, obwohl man genau weiss, dass man das nicht tun sollte. Genau so verhalten wir uns beim eigenen Datenschutz und dem Umgang mit den Sicherheitsthemen des digitalen Zeitalters. Während wir uns bei Formularen darüber aufregen, dass wir Geschlecht oder Geburtsdatum angeben müssen, posten wir gleichzeitig Bilder aus dem Privatleben. Die dramatischen Technologiesprünge ermöglichen laufend neuen Anwendungen und stellen an die Nutzenden neue Herausforderungen. Zu oft sind die neuen Möglichkeiten ein «must have» und das Häkchen bei den allgemeinen Nutzungsbedingungen wird aktiviert Viel einfacher müsste somit die Sensibilisierung im betrieblichen Umfeld machbar sein. Hier lassen sich durch strukturierte Vorgehensweise Risiken kategorisieren und Massnahmen zur deren Einschränkung ableiten. Zudem können wir hier auf die professionelle Unterstützung von Sicherheitsspezialisten zurückgreifen, welche die auf unsere Bedürfnisse passende Awareness-Kampagne erarbeiten und die Belegschaft adressatengerecht schulen. Der Faktor Mensch spielt im betrieblichen Umfeld eine noch wichtigere Rolle. Während im privaten Umfeld jeder für sich abschätzen muss, wie vertrauensselig er mit Medien und Technologien umgehen will, und die daraus entstehenden Konsequenzen selber trägt, gilt es in der Geschäftswelt die gesetzlichen und ethischen Richtwerte jederzeit einzuhalten. Unsere Krux ist, die Mitarbeitenden für diese Themenbereiche nachhaltig zu sensibilisieren. «Bedrohungen» und «Risiken» verändern sich in einer schnelllebigen Gesellschaft laufend. So hat auch die tollste Awareness-Kampagne ihre Halbwertszeit. Die Einführung von Sicherheitsprozessen und deren kontinuierliche Verbesserung sind ein Teil der unternehmerischen Verantwortung. Durch die Einführung eines ISMS lassen sich diese Prozesse kontrolliert implementieren und sukzessive durchsetzen. Dabei muss die Unternehmungsführung vorbildlich vorangehen und die Infomationssicherheit als fort­laufenden Prozess verstehen und vorleben. Gelingt es, die Informationssicherheit in der Unternehmenskultur zu verankern und die richtigen Kommunikatonsintervalle zu initiieren, sollte über kurz oder lang auch bei den Mitarbeitenden das notwendige Bewusstsein gefördert werden. Im Sinne von «steter Tropfen höhlt den Stein», erfolgt die Sensibilisierung und Einbindung der Mitarbeitenden in das ITSM-Gedankengut in erster Linie über eine fundierte Kommunikation in der Organisation. Alle Bemühungen, den Einzelnen hinsichtlich der Risiken nachhaltig zu sensibilisieren fruchten noch besser, wenn jedermann individuell für sich die Entwicklung hinsichtlich Datensamm­lungen und Cyberrisiken bewusst hinterfragt und den eigenen Sicherheits- und Datenschutzbedürfnissen gegenüberstellt. Zur Sensibilisierung des Individuums helfen primär eigene Erfahrungen und die Auseinandersetzung mit den aktuell stattfindenden Weichenstellungen in unserer immer stärker digitalisierten Gesellschaft.  Hier muss jeder für sich entscheiden, wie viel von seiner Persönlichkeit er dem Netz überlassen will. Leider sind die künftigen Auswirkungen auf den ersten Blick nicht immer erkennbar. Die Auseinandersetzung mit der Zukunft, wie dies beispielsweise im Rahmen von Vor­trägen und Lernveranstaltungen durchgeführt wird, ist die eine Möglichkeit diese Auswirkungen zu erkennen. Ein breiteres Publikum erreichen aber Anlässe wie die Dragon-Days, die den Datenschutz nicht als trockenes Thema, sondern in Form eines Politthrillers präsentieren. Alle diese Massnahme öffnen die Augen und schaffen Bewusstsein. Die angefangenen Trends sind nicht umkehrbar. Der überlegte Umgang mit den neuen Technologien und das Einhalten der relevanten Grundregeln erhöhen einerseits die eigene Sicherheit, andererseits das Verständnis für die Sicherheitsbedürfnisse im unternehm­erischen Umfeld. In diesem Sinne ist die Erhöhung der Awareness die Verteidigungsstrategie gegen aktuelle und neue Bedrohungen im digitalen Zeitalter par excellence.

---

Blogpost wurde erstellt im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.