Informationssicherheit in Unternehmen steht auf der KippeEntscheidend ist der menschliche Faktor

14. Oktober 2021

Mit zunehmender Digitalisierung wächst auch die Gefahr, dass Unternehmen Opfer von Datendiebstahl oder Hackerattacken werden. Das Thema Cyber-Kriminalität steht im Fokus der allgemeinen Aufmerksamkeit. Und wirklich stehen Kriminelle und IT-Sicherheitsexperten seit Jahren in einer Art Wettbewerb, bei dem das Verbrechen leider immer noch zu häufig entscheidende Vorteile hat. Weniger präsent, aber nicht weniger wichtig ist der menschliche Faktor bei der Durchsetzung von Informationssicherheit. Denn auch die leistungsfähigsten technischen Sicherheitskonzepte stoßen schnell an ihre Grenzen, wenn nicht alle Mitarbeitenden größte Sorgfalt walten lassen.

Kundendaten, Personaldaten, Produktneuentwicklungen, Geschäftsstrategien oder Umsatzzahlen – jedes Unternehmen verfügt über Informationen, die vor dem Zugriff Dritter geschützt werden müssen. Seitens der IT-Verantwortlichen wird deshalb größter Wert darauf gelegt, dass alle Systeme auf dem aktuellsten Stand sind und eventuelle Sicherheitslücken frühzeitig erkannt und geschlossen werden. Dennoch kommt es immer wieder vor, dass selbst große und digital sehr versierte Unternehmen erfolgreich angegriffen werden.

Ursachen hierfür sind einerseits die extrem große kriminelle Energie und der technische Erfindungsreichtum von Datendieben, Industriespionen und Erpressern. Doch auch ein schlichtes menschliches Versagen einzelner Mitarbeiter kann Kriminellen Tür und Tor öffnen.

Angesichts dieser Situation investieren Unternehmen sowohl im eigenen Interesse als auch aufgrund gesetzlicher Vorgaben, wie zum Beispiel der europäischen Datenschutzgrundverordnung (EU-DSGVO), in die Informationssicherheits-Kompetenz ihrer Mitarbeitenden. In Schulungen, Broschüren und Vereinbarungen werden Arbeitnehmern die gesetzlichen und betrieblichen Vorgaben zum Umgang mit unterschiedlichen Vertraulichkeitsstufen, zur Bedeutung von Kennzeichnungs- und Weitergabe-Regeln oder zur Entsorgung von Datenträgern nahegebracht.

Wissen ist nicht Bewusstsein

Bei den Mitarbeitenden ist in aller Regel kein böser Wille im Spiel, sondern es handelt sich um kleine, im Grunde verständliche Nachlässigkeiten, wie beispielsweise das kurze Verlassen eines Büros, ohne darauf zu achten, dass der Bildschirm gesperrt ist.

Andere Fehler passieren aus Naivität oder sogar Hilfsbereitschaft, wie das neugierige Öffnen eines Mail-Anhangs oder das Prüfen eines auf dem Betriebsgelände gefundenen Sticks in der Annahme, ein Kollege habe ihn verloren. Um solche Unachtsamkeiten auszuschließen, reicht es nicht aus, seine Mitarbeitenden zu informieren. Vielmehr müssen Vorsicht und Aufmerksamkeit verinnerlicht werden.

E-Learning veranschaulicht Sachverhalte

Inwieweit das gelingt, hängt auch von der Schulungsmethode ab. Lernforscher wissen, dass zum Beispiel gelesene Informationen sehr viel weniger nachhaltig gelernt werden als Inhalte, mit denen Lernende selbst umgehen. Hier liegt die große Stärke so genannter Web Basierter Trainings (WBT). Sie können mit einem bunten Medienmix bis hin zu Videosequenzen sehr lebendig darstellen, welches Verhalten welche Konsequenzen haben kann.

Die Trainings können die Sensibilität der Lernenden effektiv erhöhen, indem sie Gelerntes abfragen und die Teilnehmer selbst Entscheidungen oder Einschätzungen im Umgang mit Situationen oder Dokumenten treffen lassen. Das direkte Feedback zur Entscheidung unterstützt eine nachhaltige Verankerung des erwünschten Verhaltens im Bewusstsein der Lernenden. Erfahrene Bildungsanbieter, wie zum Beispiel die VIWIS GmbH, bieten durchdachte und erprobte didaktische Konzepte, die unterschiedliche Lerntypen optimal ansprechen.

Selbstorganisation inklusive

Informationssicherheit geht alle an, vom Vorstand bis zur Poststelle. Auch deshalb ist die räumliche und zeitliche Ungebundenheit ein weiterer großer Vorteil des web-basierten Lernens. So kann jeder Lernende selbst bestimmen, wann und wo er sich mit dem wichtigen Thema befasst.

Das ist umso wichtiger, als dass Wissen und Kompetenz im Umgang mit Informationen immer wieder aufgefrischt werden müssen und gemeinsame Präsenzschulungen einen hohen organisatorischen Aufwand bedeuten. Gut strukturierte Lernportale bieten Lernenden und Verantwortlichen im Unternehmen außerdem jederzeit eine Übersicht über den aktuellen Lernstand. Abschluss-Zertifikate werden automatisch generiert.

Der Bereich Informationssicherheit unterliegt einer großen Dynamik. So müssen sowohl die gesetzlichen als auch die internen Regelungen an neue technische Entwicklungen angepasst werden. Ein wichtiges Kriterium bei der Auswahl eines Schulungsanbieters muss deshalb die garantierte Aktualität sämtlicher Programme und Inhalte sein.

Gesetzlicher Rahmen plus Individualität

Neben den gesetzlichen Vorgaben zur Informationssicherheit gibt es in vielen Unternehmen zusätzliche Regelungen, die auf individuellen Anforderungen basieren. Ein Bildungsanbieter sollte daher in der Lage sein, nicht nur den Look von Schulungsmaßnahmen an das Unternehmensdesign anzupassen, sondern auch eventuelle Sonderregelungen abzubilden.

Über die Qualität von Lerninhalten und ihre Aktualität hinaus sind Technik und Sicherheit wichtige Entscheidungskriterien. Lernprogramme, die als Software as a Service (SaaS) auf dem Anbieter-Server gehostet werden, ersparen dem Lernenden umständliches Installieren auf dem eigenen Rechner. Selbstverständlich ist auch hier darauf zu achten, dass die europäische DSGVO eingehalten wird und dass sich sämtliche Server in der EU bzw. in Deutschland befinden.

Mitarbeiter im Bereich Informationssicherheit zu qualifizieren, ist für Unternehmen von existenzieller Bedeutung. Über die verbindlichen gesetzlichen Vorgaben hinaus liegt es auch im ureigenen Interesse von Unternehmen, etwa Geschäftsdaten oder andere Betriebsgeheimnisse verlässlich vor fremdem Zugriff zu schützen. Damit das funktioniert, muss es gelingen, die Mitarbeitenden nachhaltig und umfassend für das Thema zu sensibilisieren.

Dank anschaulicher Darstellung und modernen Methoden sind E-Trainings hierfür besonders gut geeignet. Ein weiterer großer Vorteil ist ihre räumliche und zeitliche Ungebundenheit. Bei der Auswahl eines entsprechenden Bildungsanbieters sollten Unternehmen vor allem auf die Aktualität der Inhalte, die Möglichkeit der individuellen Anpassung und fundierte didaktische Erfahrung achten. (rhh)

Cora Rosenkranz ist IT-Journalistin für Wordfinder.

Viwis

Lesen Sie auch