Die wachsende Zahl an technischen Tools und Lösungen gewährleistet die IT-Sicherheit in der Digitalisierung von Unternehmen – doch über 72 Prozent aller Sicherheitsvorfälle werden von Mitarbeitenden verursacht. Oftmals unbewusst umgehen oder beachten sie diese Sicherheitsregeln nicht. Unwissenheit, Bequemlichkeit, Gewohnheit – dies sind die häufigsten Gründe für sehr viele Schäden. Deshalb müssen sowohl die Technik als auch der „Faktor Mensch“ in einem idealen Informationssicherheitsmanagement-Konzept berücksichtigt werden. Außerdem gilt: Informationsschutz und IT-Sicherheit erfordern die volle Aufmerksamkeit der Unternehmensführung.
1. Vorbereitung
Wählen Sie als entsprechende Zielgruppe die Mitarbeitenden aus, die unmittelbar in ihrem Arbeitsalltag mit Unternehmensdaten zu tun haben. Das kann das gesamte Unternehmen sein oder einzelne Abteilungen. Bestimmen Sie einen Zeit- und Budgetrahmen, in denen die Maßnahmen durchgeführt werden sollen und planen Sie einen Puffer ein. Legen Sie den Handlungsbedarf in der IT-Sicherheit Ihres Unternehmens fest z. B. Passwortsicherheit, Umgang mit Dokumenten und Mailings, Virenschutz. Bereiten Sie Workshops vor, in denen Ihren Mitarbeitenden die Kenntnisse vermittelt werden sollen.
2. Festlegung der unternehmerischen Kommunikationskanäle
Achten Sie auf die Art der Kommunikation zur Thematik: Wählen Sie am besten keine allzu fachspezifische Sprache, weil sie abschreckend wirken kann. Berücksichtigen Sie die Ansprache in Ihrer bisherigen Unternehmenskultur und greifen Sie auf bereits verwendete Formen der Materialaufbereitung zurück, damit die neue Thematik vertrauenswürdig und umsetzbar erscheint. Nutzen Sie bereits etablierte Kommunikationskanäle z. B. das Intranet für die Vermittlung.
3. Umsetzung
Führen Sie Pflichtschulungen durch oder beauftragen Sie einen IT-Spezialisten, der Sie dabei unterstützt. Bieten Sie zusätzliches Infomaterial und vertiefende Schulungen an (Fachvorträge oder Flyer etc.). Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt beispielsweise Broschüren vom Überblick des IT-Grundschutzes bis zur sicheren Nutzung von Cloud-Diensten kostenlos zur Verfügung.
Motivieren Sie Ihre Mitarbeitenden mit Informationen in Form von Videos, einem Quiz und praxisnahen Beispielen aus dem Unternehmen.
4. Erfolgsmessung
Werten Sie z. B. die Intranet-Zugriffe auf die dortigen Inhalte aus. Analysieren Sie die Test- und Quiz-Ergebnisse und evaluieren Sie regelmäßig die Workshops, an denen die Mitarbeitenden teilnehmen.
5. Wiederholung und Anpassung auf aktuelle Sicherheitsvorfälle
Die Durchführung eines Maßnahmen-Kataloges ist nach der Abarbeitung nicht abgeschlossen, sondern ein fortwährender Prozess, der aufgrund neuer Gegebenheiten und Veränderungen in der IT-Welt angepasst werden muss.
Die Einschätzung der Mitarbeitenden zu den Folgen von verlorengegangen oder gestohlenen Daten kann manchmal naiv oder verharmlosend sein. Aus ihrer Perspektive sind Konsequenzen nicht immer absehbar und werden nicht bedacht. Deshalb muss die Unternehmensführung in der internen Kommunikation ihre Mitarbeitenden sensibel, aber mit Nachdruck über die Handhabung in der Cybersicherheit aufklären. Damit Mitarbeitende die Unternehmensdaten schützen, müssen sie digitale Gefahren kennen und ein Bewusstsein für den richtigen Umgang mit Daten entwickeln. Regeln und Prozesse werden ihnen dabei helfen, sie unterstützen und anleiten.
Mitarbeitende sollten durch den Maßnahmen-Katalog einen geschulten Blick für Risiken im eigenen Handlungsbereich entwickeln, um proaktiv tätig zu sein und Schaden vom Unternehmen abzuwenden. Denn es lauern viele potentielle Gefahren im Unternehmensalltag. Verantwortlich für Verstöße gegen den Datenschutz und die Informationssicherheit ist die Geschäftsführung. Sie muss dafür sorgen, dass der IT-Sicherheit die richtige Priorität eingeräumt wird und Maßnahmen sowie Anweisungen von den Mitarbeitenden entsprechend eingehalten werden. Es gibt auch die Möglichkeit, Aufgaben an einen internen oder externen Datenschutzbeauftragten zu delegieren oder sich unterstützen zu lassen.
Verschaffen Sie sich einen Überblick über die tatsächliche IT-Sicherheit in Ihrem Unternehmen. Ein umfassender IT-Sicherheits-Check mit m2GUARD bringt Klarheit!