Der wichtigste Erfolgsfaktor für die Erreichung eines angemessenen Sicherheitsniveaus sind verantwortungsbewusste und kompetente Mitarbeiter.[1] Informationssicherheit betrifft dabei ohne Ausnahme alle Mitarbeiter. Jeder Einzelne kann durch verantwortungs- und sicherheitsbewusstes Handeln dabei helfen, Schäden zu vermeiden und zum Erfolg beitragen. Sensibilisierung für Informationssicherheit und fachliche Schulungen der Mitarbeiter sind daher eine Grundvoraussetzung für Informationssicherheit. Auch das Arbeitsklima, gemeinsame Wertvorstellungen und das Engagement der Mitarbeiter beeinflussen entscheidend die Informationssicherheit.
Bei allen Mitarbeitern, internen wie externen, müssen von der Personalauswahl bis zum Weggang der Mitarbeiter ebenfalls Aspekte der Informationssicherheit beachtet werden.
1. Schulung und Sensibilisierung
Alle Mitarbeiter müssen in Hinblick auf die Bedeutung von Sicherheitsmaßnahmen und ihre Anwendung geschult und sensibilisiert werden. Dafür müssen Schulungskonzepte für verschiedene Zielgruppen (z.B. Administratoren, Manager, Anwender, Wachpersonal) erstellt werden. Die Schulungen zu Informationssicherheit müssen dabei in bestehende Schulungskonzepte integriert werden.
Grundsätzlich müssen alle Mitarbeiter, die neu eingestellt oder denen neue Aufgaben zugewiesen wurden, gründlich eingearbeitet und ausgebildet werden. Bei der Gestaltung bzw. Auswahl der entsprechenden Schulungsmaßnahmen sollten alle relevanten Sicherheitsaspekte integriert werden. Auch erfahrene IT-Benutzer sollten in regelmäßigen Abständen ihr Wissen auffrischen und ergänzen.
Mitarbeiter müssen regelmäßig für Informationssicherheit sensibilisiert werden, um das Bewusstsein für die Risiken im alltäglichen Umgang mit Informationen zu schärfen. Um eine wirksame Sensibilisierung für Informationssicherheit zu erreichen, ist es beispielsweise sinnvoll, ein Sicherheitsforum im Intranet einzurichten, in dem Tipps zu Sicherheitsmaßnahmen und aktuelle Schadensfälle veröffentlicht werden, den Mitarbeitern Workshops oder Vorträge zu Informationssicherheit anzubieten oder Fachzeitschriften verfügbar zu machen.
2. Kommunikation, Einbindung und Meldewege
Damit die Mitarbeiter auch nach den Schulungs- und Sensibilisierungsmaßnahmen den Bezug zu Sicherheitsthemen behalten, ist es wichtig, Ansprechpartner zu Sicherheitsfragen festzulegen und diese Zuständigkeiten bekannt zu machen. Nur so können die Mitarbeiter aktiv unterstützt werden und Sicherheitsrichtlinien und -konzepte in der Praxis und auf Dauer umsetzen. Dazu gehört auch die Definition von Melde- und Eskalationswegen für Sicherheitsvorfälle. Jeder Mitarbeiter muss wissen, wie er sich bei Verdacht auf einen Sicherheitsvorfall verhalten muss und wer der zuständige Ansprechpartner ist. Zusätzlich muss es möglich sein, diese Informationen schnell und unter allen Umständen in Erfahrung zu bringen, beispielsweise auch, wenn keine IT mehr zur Verfügung steht.
Mitarbeiter müssen über den Sinn von Sicherheitsmaßnahmen aufgeklärt werden. Dies ist besonders wichtig, wenn sie Komfort- oder Funktionseinbußen zur Folge haben. Im Einzelfall können gerade Sicherheitsmaßnahmen mitbestimmungspflichtig sein, so dass eine Beteiligung von Personal- oder Betriebsrat sogar vorgeschrieben ist.
Werden Mitarbeiter frühzeitig bei Planung von Sicherheitsmaßnahmen oder der Gestaltung organisatorischer Regelungen beteiligt, hat dies mehrere Vorteile:
- Das vorhandene Wissen und Ideen aus der eigenen Institution werden besser ausgenutzt.
- Die Praxistauglichkeit und Effizienz von Sicherheitsmaßnahmen oder organisatorischen Regelungen wird erhöht.
- Die Bereitschaft, Vorgaben und Maßnahmen im Alltagsbetrieb tatsächlich zu befolgen, steigt.
- Das Arbeitsklima wird positiv beeinflusst, wenn Mitarbeiter sich in die Entscheidungen des Managements eingebunden fühlen.
3. Aufgabenwechsel oder Weggang von Mitarbeitern
Wenn Mitarbeiter die Institution verlassen, andere Aufgaben übernehmen oder Zuständigkeiten verlieren, muss dies durch geeignete Sicherheitsmaßnahmen begleitet und dokumentiert werden. In der Regel müssen mehrere Stellen in einer Institution über den Aufgabenwechsel oder den Weggang eines Mitarbeiters informiert werden und entsprechende Aktionen durchführen, wie z.B. die Rückgabe von Schlüsseln und Ausweisen einfordern, die Zugriffsrechte auf Anwendungen und Informationen anpassen, die Pförtner und weiteres Personal informieren usw. Damit keine Sicherheitsrisiken entstehen, sollte das Identitäts- und Berechtigungsmanagement als Prozess klar definiert sein, z.B. in Form einer Anleitung oder Checkliste. Wenn der Mitarbeiter Funktionen im Sicherheitsprozess hatte, so müssen hier auch die entsprechenden Unterlagen wie beispielsweise der Notfallplan aktualisiert werden.
Des Weiteren ist es sinnvoll, die Mitarbeiter im Vorfeld (z.B. im Rahmen einer Dienstvereinbarung) über ihre Verpflichtungen bei einem Aufgabenwechsel oder bei der Beendung des Arbeitsverhältnisses zu informieren. Hierzu gehört unter anderem ein Hinweis auf ihre Verschwiegenheitspflichten.
[1] Empfehlungen nach BSI-Standard 100-2 IT-Grundschutz-Vorgehensweise, S. 34.