Mit der Vorstellung von ISO 27001:22 und ISO 27002:22 im letzten Jahr erfuhren auch die Ausführungen zu den Themen Awareness und Education Aktualisierungen. Letztlich sind die ISO-Standards und der IT-Grundschutz zumeist der Auslöser für die Einführung von Security Awareness Trainings. Insbesondere die neue Struktur im ISO-27002 fördert die Auseinandersetzung mit der Thematik.
Der Faktor Mensch als der physischen, organisatorischen und technischen Sicherheit gleichwertige Komponente ist enorm wichtig und es ist nur richtig, dass der Standard dies nun auch anerkennt. Gemeint sind die Ausführungen zu 6.3 Information Security Awareness, Training, and Education. Generell hat sich nicht viel verändert, lediglich die Sprache wurde vereinfacht. Weiterhin ist wichtig, dass ein Ansprechpartner benannt wird, der das Security Awareness Programm treibt. Der Verantwortliche sollte ein gutes Verständnis für Informationssicherheit mitbringen und in der Lage sein, den Mitarbeitern die Anforderungen, die die Inhalte des Programms an sie stellt zu vermitteln. Sie muss Inhalte für Schulungsprogramme entwickeln und diese regelmäßig durchführen. Zwar muss diese Person keinen IT-Background haben, sollte sich aber eng mit der Abteilung austauschen.
Die folgenden Punkte sollten Organisationen bei der Einführung von Security Awareness Training beachten, um das Beste aus den ISO-Standards zu ziehen und sich nicht nur im Hinblick auf die Compliance, sondern auch auf die Cybersicherheit zu rüsten.
- Awareness Trainings sollte regelmäßig stattfinden – vornehmlich mit variierten Inhalten und idealerweise mindestens vierteljährig. Es bieten sich Phishing-Simulationen als zusätzliche Trainingsmaßnahme und zur Erhebung des aktuellen Risikozustandes an
- Awareness Training müssen abwechslungsreich und relevant sein – oftmals erreichen Unternehmen nach anfänglichem Erfolg mit hauseigenen ISMS-Maßnahmen den Punkt, an dem es an neuem und abwechslungsreichem Material mangelt. Das Programm fällt hinter den Erwartungen zurück und weniger Leute schließen Trainingsmaßnahmen erfolgreich ab
- Awareness Training sollten über die reine Sensibilisierung hinaus gehen – schlussendlich kommt es auf das Handeln der Mitarbeitenden an, nicht nur ihr Wissen oder ihre grundsätzliche Einstellung zu Sachverhalten. Dementsprechend müssen erfolgreiche Security Awareness Programme and der Etablierung von sicheren Verhaltensweisen arbeiten
- Awareness Training ist in die Unternehmenskultur eingebettet – eine aktive Gestaltung der Organisationskultur und im Speziellen der Sicherheitskultur als ein Bestandteil dieser Kultur ist unabdingbar. Eine Kultur, die nicht aktive gestaltet und geformt wird, verselbstständigt sich. Resultierend unsichere Verhaltensweisen sind zumeist sehr schwer wieder einzufangen.
- Arbeits- und Beschäftigungsbedingungen – Diese sind wichtige Rahmenbedingungen, in denen sich eine Security Awareness Kampagne finden muss. Ohne die richtige Kommunikation und das Mitarbeiter Buy-In können Security Awareness-Kampagnen nicht erfolgreich sein.
Fazit
Schlussendlich geht es beim ISO-Standard darum Verhaltensweisen zu trainieren und zu fördern, wie bei jedem guten Security Awareness-Training. Eine einzige reine Awareness-Maßnahme reicht nicht aus. Eine ganzheitliche Umsetzung unter Einbezug des Managements von Anfang an wird nicht erfolgreich sein. Der Standard sieht die Involvierung der Geschäftsführung als ersten wichtigen Schritt vor. Demnach ist Management Buy-In und die Möglichkeit als „Role-Model“ zu dienen, vielleicht sogar noch ein größerer Anreiz, um Security Awareness-Trainings erfolgreich und nachhaltig zu gestalten. Die weitere Entwicklung der ISO-Standards sollten die Verantwortlichen weiter im Blick behalten.