SCHWERPUNKT

Robert Kaltenböck, Sabine Schuster

Awareness für Informationssicherheit und Datenschutz in der Sparkassen-Finanzgruppe Mit Bildsprache Mitarbeiter sensibilisieren Damit nicht jedes der rund 600 Unternehmen der Sparkassen-Finanzgruppe in Sachen Mitarbeitersensibilisierung das Rad neu erfinden muss, unterstützt die DSVGruppe (Deutscher Sparkassenverlag) mit Beratern und Medien die AwarenessAktivitäten vor Ort. Die Autoren stellen das dafür entwickelte, individualisierbare Awareness-Basiskonzept vor und berichten über ihre Erfahrungen.

Einführung Um ein angemessenes Informationssicherheitsniveau im Unternehmen zu gewährleisten sind nicht nur zahlreiche technische, organisatorische und physische Maßnahmen notwendig. Genauso wichtig ist es, die Mitarbeiter für das abstrakte Thema Informationssicherheit zu gewinnen. Denn der beste Schutz für Informationen sind sensibilisierte Mitarbeiter. Ihr Verhalten entscheidet maßgeblich darüber, ob die Zahl der Sicherheitsvorfälle steigt oder sinkt, was sich im besten Fall positiv auf die Kosten und die Auditergebnisse auswirkt. Diese Erkenntnisse drücken sich in allen anerkannten ITSicherheitsstandards aus, wie BSI IT-Grundschutz, SIZ „Sicherer IT-Betrieb“ (Sicherheitsstandard der Sparkassen-Finanzgruppe)

Robert Kaltenböck Abteilungsleiter IT-Consulting, Deutscher Sparkassenverlag

E-Mail: [email protected]

Sabine Schuster Marketingreferentin, Deutscher Sparkassenverlag

E-Mail: [email protected] DuD • Datenschutz und Datensicherheit

5 | 2013

oder ISO/IEC 27001. Was heißt das für die Praxis? Bei Beratungsprojekten und Audits zur Informationssicherheit in der Sparkassen-Finanzgruppe wird die Sensibilisierung von Mitarbeitern regelmäßig als eine der wichtigsten und auch wirksamsten Aufgaben im Informationssicherheits-Management identifiziert. Für viele Unternehmen bedeutet das eine kommunikative Herausforderung, geht es doch darum, ein Sensibilisierungskonzept zu entwickeln, das mit verschiedenen individuellen Maßnahmen wie Schulungen, Online-Seminaren und Sensibilisierungsmedien unterschiedliche Zielgruppen anspricht. Denn, auch wenn sich die technischen Sicherheitsmaßnahmen auf einem hohen Niveau bewegen, die Aufmerksamkeit und Mitwirkung aller Mitarbeiter ist zwingend erforderlich, um das angestrebte Sicherheitsniveau zu erreichen und zu halten. Das zeigt sich in unterschiedlichen Situationen: ™ Unbekannte Personen in nicht öffentlichen Bereichen sollten angesprochen und begleitet werden, damit Unbefugte keinen Zugriff auf vertrauliche Informationen oder kritische ITKomponenten erhalten. ™ Die Klassifikation von Informationen und – noch wichtiger – der zulässige Umgang mit den klassifizierten Informationen ist nicht nur anzuweisen, sondern auch zu schulen. Ansonsten lässt sich beispielsweise der Versand sensibler Informationen per E-Mail kaum verhindern. ™ Auch außerhalb des Unternehmens sind Informationen vertraulich zu behandeln, damit keine schutzbedürftigen Daten prominenter Kunden in geselliger Runde ausgeplaudert oder Personaldaten auf einer Bahnreise den Blicken von Mitreisenden ausgesetzt werden. ™ Alle Beschäftigten, also auch im Vertrieb oder Backoffice, sollten entsprechend geschult sein, damit nicht – wie geschehen – ein frisch sensibilisierter Auszubildender auf Unverständnis und Ablehnung trifft, weil er den ihm unbekannten Vorstand (ohne Namensschild) fragte, wo er hin wolle und ob er ihm helfen könne. 283

SCHWERPUNKT

Abb. 1 | Poster Wolf

Abb. 2 | Poster Ente

Bildmotive aus der Tierwelt Auch wenn jedes Unternehmen der Sparkassen-Finanzgruppe eigenverantwortlich über die Umsetzung von Sensibilisierungsmaßnahmen entscheidet, so bietet doch die Zusammenarbeit im Verbund den Vorteil, sinnvoll Synergien zu nutzen, um einmal vorgenommene Entwicklungen allen zugänglich zu machen. Mit diesem Ziel entwickelte die DSV-Gruppe (Deutscher Sparkassenverlag) als spezialisierter Lösungsanbieter für die Sparkassen sowie die Verbände und Unternehmen der SparkassenFinanzgruppe eine individualisierbare Kampagne. Ein interdisziplinäres Team aus IT-Sicherheits- und Kommunikationsspezialisten erarbeitete zum einen Medien mit Tiermotiven und zum anderen eine Vorgehensweise für die zielgerichtete Entwicklung individueller Awareness-Kampagnen. Dabei flossen auch die Erkenntnisse aus einer von der DSV-Gruppe mitfinanzierten tiefenpsychologischen Studie „Entsicherung am Arbeitsplatz – Die geheime Logik der IT-Security in Unternehmen“ ein [1]. Im ersten Entwicklungsschritt wurden folgende Motive für die wichtigsten Sensibilisierungsthemen erarbeitet: ™ Diebische Elster mit USB-Stick im Schnabel: Umgang mit vertraulichen Informationen ™ Das Farben wechselnde Chamäleon: Passwortsicherheit ™ Angel und Fisch: E-Mail-Sicherheit und Phishing ™ Wolf im Schafspelz: Zutrittsschutz ™ Surfende Ente: Internet-Verhalten. Die diebische Elster findet sich leitmotivisch auf jedem Element der Kampagne und erhöht so den Wiedererkennungswert. Jedes 284

Motiv begleitet ein einprägsamer Text, jeweils ergänzt um drei individuelle Handlungsanweisungen. Zum Beispiel für das Motiv „Wolf“: „Ein Wolf kann sich verkleiden, lammfromm stellen, Kreide fressen, nett lächeln – und sich überall Zugang verschaffen“. Eine mögliche Handlungsanweisung lautet deshalb: „Begleiten Sie fremde Personen bis zum Ziel“. Inzwischen sind diese Tiermotive nicht nur bei den Sparkassen verbreitet: Die Publikation „Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung“ führt sie beispielhaft an. Ergänzt wurden die Motive zwischenzeitlich um weitere einprägsame Fotomotive: das Känguru (Mobile Daten machen Sprünge), den Biber (Skimming-Aufsätze sofort erkannt) und den Elefanten (Das Internet vergisst nie).

Awareness-Medien: vom Poster bis zum Glückskeks Ebenso entwickelte der Deutsche Sparkassenverlag (DSV) auf Basis der Tiermotive geeignete Medien für die Sensibilisierungsthemen. Ergebnisse des fortlaufenden Entwicklungsprozesses sind bisher: ™ Acht Postermotive mit Textvorschlägen und Hinweisen, die sich an die institutsindividuelle Situation anpassen lassen.

DuD • Datenschutz und Datensicherheit

5 | 2013

SCHWERPUNKT

Abb. 3 | Poster Elster

dem Einsatz von Sensibilisierungsmaßnahmen durchgeführt, meist verbunden mit einem Anreiz in Form von Sachpreisen. Im Vorfeld einer Sensibilisierungskampagne gibt kontrolliertes Social Engineering wichtige Hinweise, in welchem Bereich eine Sensibilisierung besonders notwendig ist [3]. Es dient damit auch zur Überzeugung von Entscheidern. Gut und abgestimmt durchgeführt regt ein kontrolliertes Social Engineering zudem die Auseinandersetzung mit dem Thema unter den Mitarbeitern an. Alle Medien lassen sich individuell an die jeweiligen Institutsanforderungen anpassen – angefangen vom Firmenlogo über die Sicherheitshinweise bis hin zum Foto des Informationssicherheits-Management-Teams in der Broschüre.

Gezieltes Vorgehen nach Plan Ob Web Based Training, Quiz, Plakat oder Broschüre: Die Medien ergänzen sich sinnvoll. Damit einzelne Maßnahmen nicht verpuffen, sondern dauerhaft nachwirken, bewährt sich in der Praxis für ein geplantes Vorgehen ein dreistufiges Einführungskonzept: Die Phasen Planen, Umsetzen und Messen werden in Workshops bearbeitet. Abb. 4 | Vorgehensmodell

™ Broschüre zu den Tiermotiven mit einprägsamen Geschichten und ausführlichen Hinweisen. Damit werden die Informationssicherheitsregeln für jeden Mitarbeiter verständlich. ™ Mousepads: Sie nehmen die Tiermotive auf und enthalten die wichtigsten Tipps. Durch ihre ständige Präsenz am Arbeitsplatz erhöht sich der Lerneffekt. ™ Bildschirmschoner oder Bildschirmhintergrund mit den Tiermotiven, die alternativ oder zusätzlich zu den Postern bereitgestellt werden. ™ Haftnotizzettel mit allen in der Kampagne ausgewählten Handlungsanweisungen, wobei jeder Zettel einen anderen Tipp aufgreift. ™ Zettelhalter mit jeweils einer Handlungsanweisung auf dem Sockel. Der Zettelhalter wird als Passwort-Paradoxon oder für die Sicherheits-Tipps verwendet. ™ Tasse, die mit einer Collage der Tiermotive alle Sicherheitsthemen in Erinnerung ruft. ™ Glückskekse, die sich für eine Kantinenaktion als Nachtisch eignen. Jeder Glückskeks enthält eine der Handlungsanweisungen auf den Postern. Darüber hinaus bieten sich unterschiedliche Medien zur intensiveren Schulung und Sensibilisierung der Mitarbeiter an. Beim Web Based Training wird der Content von jedem Institut individuell angepasst und weiterentwickelt. Präsenzschulungen und Live-Hacking bewähren sich für eine Erstsensibilisierung oder Wissensauffrischung. Ein Quiz sensibilisiert nicht nur für die Sicherheitsthemen, sondern misst auch den Erfolg. In der Regel wird es daher nach DuD • Datenschutz und Datensicherheit

5 | 2013

In der Planungsphase wirken Mitarbeiter mit, die einen repräsentativen Querschnitt des Instituts bilden und sicherstellen, dass die Sensibilisierungsmaßnahmen zum Haus passen. Zunächst gilt es, die Zielgruppen und Themen festzulegen. Hinweise dazu geben vor allem Sicherheitsvorfälle, Auditergebnisse und Einschätzungen der Workshop-Teilnehmer. Der geeignete Medienmix ist nicht zuletzt eine Frage der jeweiligen Unternehmenskultur. Auswahl und Anpassung der Medien können deshalb von Sparkasse zu Sparkasse stark variieren. Die Dokumentation erfolgt in Form eines Konzepts, das eine Matrix der Themen, Zielgruppen, Medien und zeitlichen Reihenfolge enthält. Dabei werden auch Kunden einbezogen, die Sparkassen über ihre Online-Banking-Portale und teilweise durch eine direkte Ansprache sensibilisieren. In der Umsetzungsphase gilt es, die ausgewählten Maßnahmen zu organisieren, also beispielsweise die Startkommunikation durch die Unternehmensleitung, ein Live-Hacking auf der Betriebsversammlung und die Individualisierung der ausgewählten Medien. Idealerweise weckt die Kampagne die Neugier der Mitarbeiter und initiiert so eine breite inhaltliche Diskussion. Auf

285

SCHWERPUNKT

diesem Weg erreicht man am besten die Akzeptanz der zentralen Botschaften. Wie könnte eine aufmerksamkeitsstarke Kampagne aussehen? Das erprobte Praxisbeispiel mit dem „Wolf“ zeigt es: Als Aufsteller ohne erläuternden Text sorgt er bei Mitarbeitern für Verwunderung. Erst Tage später wird das Rätsel über Poster oder Bildschirmschoner aufgelöst. Weitere Tiermotive folgen im Monatsrhythmus, sodass sich über das Jahr verteilt SensibilisierungsSchwerpunkte bilden. Für einzelne Zielgruppen wie Auszubildende oder Administratoren empfehlen sich gesonderte Maßnahmen oder Schulungen. Nach einer festgelegten Frist erfolgt eine im Vorfeld ausgewählte Erfolgsmessung – etwa mit einem Quiz, durch Befragungen oder auch Messung der Anzahl der Rückfragen zur IT-Sicherheit beim Beauftragten für Informationssicherheit (IS) oder alternativ beim IT-Service. Eine betriebswirtschaftlich belastbare Erfolgsmessung (z. B. vermiedene Schadensfälle) ist kaum möglich. Einige Institute verzichten auf eine Messung, da die Notwendigkeit einer Sensibilisierung außer Frage steht.

Auf unterschiedlichen Wegen zum Ziel Nach mehr als sieben Jahren Erfahrungen als Auditoren oder Berater in Unternehmen der Sparkassen-Finanzgruppe mit unterschiedlichsten Anforderungen an Sensibilisierungsmaßnahmen zeigt sich den DSV-Fachexperten eine enorme Bandbreite bei der Planung und Umsetzung der Aktivitäten: Nahezu alle Institute sensibilisieren ihre Mitarbeiter über E-Mails oder Veröffentlichungen im Intranet. Doch während beispielsweise die eine Sparkasse in nur unregelmäßigen Abständen ihre Mitarbeiter in EMails adressiert, fährt eine andere eine umfangreiche und entsprechend arbeits- und kostenintensive Awareness-Kampagne, die sie laufend weiterentwickelt. Häufig verwendet wird ein Online-Seminar zur Mitarbeitersensibilisierung, da so ohne großen Aufwand viele Mitarbeiter erreicht werden. Weit verbreitet sind daneben Sensibilisierungsschulungen für Auszubildende und neue Mitarbeiter. Erfahrungsgemäß sorgen die individuell angepassten Broschüren für eine hohe Identifikation. Eher selten, dafür dann aber höchst professionell, werden umfangreiche Sensibilisierungskampagnen durchgeführt. Diese umfassen eine initiale Kommunikation durch den Vorstand oder die Geschäftsführung, häufig verbunden mit einer kurzen aufrüttelnden Präsentation und sensibilisierenden Präsenten (z. B. Tasse mit den Tiermotiven). Es folgen verschiedene Sensibilisierungs-Schwerpunkte für einen befristen Zeitraum, meist einen Monat. Dabei kommen häufig Poster oder Bildschirmhintergründe und für bestimmte Mitarbeitergruppen vertiefende Maßnahmen (z. B. Seminare für Administratoren) zum Einsatz. Als Abschlussaktionen eignen sich ein Quiz oder eine Kantinenaktion, die je nach Bedarf die Fortführung der Awareness-Maßnahmen ankündigen. Dass sich die gesteckten Ziele mit einem gut geplanten Konzept erreichen lassen, zeigt unter anderem die hohe Beteiligung

286

von über 80 Prozent bei durchgeführten Quizzen in fünf Unternehmen. Selbst wenn man einen besonders ansprechenden Sachpreis als Grund für die hohe Beteiligung vermutet – schlussendlich gelang mit diesem Anreiz die gewünschte Sensibilisierung der Mitarbeiter. Viele Verantwortliche für Informationssicherheit haben die ausschließlich für Mitglieder der Sparkassen-Finanzgruppe zugängliche Ausbildung zum IS-Koordinator absolviert – und als Abschlussarbeit ein Sensibilisierungskonzept erstellt. Die so entstandenen und teilweise auch in die Praxis umgesetzten Konzepte werden häufig mit immer wieder neuen Ideen und einprägsamen Begriffen weiterentwickelt. Hat ein Unternehmen seine Mitarbeiter quasi „grundimmunisiert“, können im weiteren Verlauf verschiedene „Aufbauimpfungen“ folgen. Mehrere Institute haben auch den Aspekt „der Sicherheit ein Gesicht geben“ wörtlich genommen und den IS-Beauft ragten oder das IS-Team in Broschüren und Veröffentlichungen im Intranet mit einem Foto bekannt gemacht.

Besondere Herausforderungen Bei allem Erfolg in der Praxis – es gibt vielfach noch Verbesserungspotenzial. So stellt sich meist die Aufgabe, die Unternehmensleitung zunächst von der Notwendigkeit einer Sensibilisierungskampagne zu überzeugen, auch weil sie Kosten verursacht. Außerdem fehlt nicht selten das Verständnis für die erfolgsrelevanten kommunikativen und psychologischen Faktoren. ITSicherheitsexperten sollten sich deshalb auf das Erfahrungswissen von Kommunikationsspezialisten verlassen. Broschüren oder Poster sollten nicht mit Text überfrachtet werden. Vielmehr gilt: „Weniger ist mehr“. So nahe liegend es auch ist, möglichst alle Gefahren und daraus resultierende Regeln darzustellen – die Praxis zeigt, dass mit viel Text und einer nicht mediengerechten Aufbereitung die Leselust leidet und damit schnell Akzeptanz und Erfolg der Maßnahme auf dem Spiel stehen. In jedem Fall brauchen die Verantwortlichen für Informationssicherheit einen „langen Atem“, denn das Tagesgeschäft bindet bereits die verfügbare Arbeitszeit, sodass wenig Zeit für Konzeptionen bleibt. Hier muss jedoch immer wieder deutlich gemacht werden, dass mit der Sensibilisierung für Informationssicherheit auch das Vertrauen der Kunden in ihr Institut image-wirksam gestärkt wird.

Referenzen [1] Psychologische Studie (2006), im Auftrag der Kommunikationsagentur known_sense, der Zeitschrift für Informationssicherheit kes, der EnBW Energie Baden-Württemberg, des Deutschen Sparkassenverlags, der Marketing- und Technologieberatung nextsolutions und des Security Service-Anbieters Pallas. [2] Michael Helisch, Dietmar Pokoyski (Hrsg): Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung, 2009, S. 221. [3] Michael Lardschneider: Social Engineering. Schwerpunktheft Awareness, DuD 9/2008, S. 574-578.

DuD • Datenschutz und Datensicherheit

5 | 2013