Datenschutz ist Teamwork: So sensibilisieren Sie Ihr Team für Privatsphäre und Sicherheit
Es ist wieder europäischer Datenschutztag, der initiiert wurde, um das Datenschutzbewusstsein von Nutzern und Unternehmen zu schärfen. Ein Team sicherheits- und datenschutzbewusst zu machen, funktioniert ähnlich wie das Konzept der Herdenimmunität: Um die gesamte Gruppe zu schützen, muss die signifikante Mehrheit gegen die wichtigsten Bedrohungen und Risiken geschützt sein.
Aber wie erhöhen Sie das Datenschutzbewusstsein in Ihrem gesamten Team und Unternehmen? Hier finden Sie einige Tipps, wie Sie Ihre Mitarbeiter aktivieren können, um den Schutz der Sicherheit und Privatsphäre im Team umzusetzen.
Bestimmen Sie eine Person, deren Kernaufgabe die Informationssicherheit ist
Sollte Ihr Unternehmen noch klein sein, könnten Sie vielleicht denken, dass Sie keine Person nur für den Datenschutz benötigen, denn Ihr IT-Admin oder jemand aus der Technik kann das ja nebenbei mit übernehmen. Aber das ist falsch. Besonders in KMUs können Mitarbeiter schon mit den anderen Aufgaben voll eingespannt sein, was dazu führen kann, dass dieser Bereich nicht genügend Aufmerksamkeit bekommt. Eine ausschließlich dafür eingesetzte Person kann die Arbeit von allen unterstützen und größere Projekte übernehmen, die umgesetzt werden müssen, um das gesamte Unternehmen zu sensibilieren. Außerdem ist dies notwendig, um verschiedenen Zertifizierungen wie der ISO und den Datenschutzregelungen der EU-DSGVO (ab Mai 2018) zu entsprechen, dass Sie eine Personen in Ihrem Team haben, die für Informationssicherheit verantwortlich ist.
Es ist wichtig, dass Sie interne Sicherheits- und Datenschutzrichtlinien und -abläufe so früh wie möglich angehen. Eine sicherheitsbewusste Unternehmenskultur lässt sich einfacher aufbauen, wenn die Organisation noch jung ist und das Team klein. Wenn das Unternehmen dann wächst, lässt sich darauf besser aufbauen und neue Mitarbeiter können mit den bestehenden Unterlagen geschult werden.
Profi-Tipp: Trennen Sie Sicherheit und IT in Ihrem Unternehmen so früh wie möglich, so dass bei der Einführung der notwendigen Standards, die Rollen und Verantwortlichkeiten leichter aufgeteilt werden können.
Stellen Sie sicher, dass Sicherheitsbewusstsein als Teamaufgabe wahrgenommen wird und nicht in Silos
Um das gesamte Unternehmen zu schützen, muss jeder fair spielen und sich an einige Grundregeln halten. Selbst die Mehrheit Ihrer Mitarbeiter achtsam ist, kann die Unvorsichtigkeit einzelner die Sicherheit der gesamten Organisation und der sensiblen Daten Risiken aussetzen.
Paradoxerweise bedeutet die Durchsetzung von einheitlichen Richtlinien und Sensibilität bei allen Mitarbeitern, dass die Anzahl der gemeldeten Sicherheitsvorfälle steigt. Es gibt keine Möglichkeit, sich hunderprozentig zu vor Sicherheitsbedrohungen zu schützen, aber wenn Sie Prozesse und Dokumentationen bereitstellen, wie damit umzugehen ist, wird der Umgang mit Sicherheitsvorfällen transparenter und effektiver.
Versuchen Sie, Mitarbeiter auch für Sicherheitsrisiken in ihrer privaten Nutzung zu sensibilisieren. Besonders in BYOD- und mobilen Arbeitssituationen, sind die Grenzen zwischen privater und beruflicher Nutzung fließend, weshalb die Aufklärung über die Bürowände hinausreichen sollte.
Profi-Tipp: Nutzen Sie Hilfsmittel wie Poster und Warnhinweise an sonst nicht sicherheitsrelevanten Orten, um indirekt aufzuklären. Zum Beispiel kann ein Poster in der Teeküche danach fragen, ob die Bildschirmsperre aktiviert wurde, bevor die Kollegen den Schreibtisch verlassen haben.
Sicherheitstrainings sind unverzichtbar – werden Sie kreativ darin, wie Sie Wissen teilen
Sicherheits- und Datenschutztrainings dienen dazu, den Risikofaktor Mensch zu verringern, da hier oft das schwächste Glied zu finden ist. Ein allgemeines Einführungstraining, das das Einmaleins der Cybersicherheit vermittelt, bringt Ihr Team auf denselben Stand. Es ist auch sinnvoll für Sie, Feedback von Ihrem Team zum aktuellen Wissensstand und blinden Flecken zu sammeln, die mehr Aufmerksamkeit bedürfen. Das gilt besonders für KMUs, die bisher noch keine etablierten Cybersicherheitsprozesse haben.
Allerdings ist ein allgemeines Training erst der Anfang eines längeren Prozesses. Organisieren Sie dezidierte Schulungen für jedes Team mit bereichsspezifischen und greifbaren Tipps, die sich mit ihrem Arbeitsalltag verbinden lassen. Etwa sind Datenschutzfragen zu Customer-Relationship-Tools besonders relevant für das Marketingteam.
Machen Sie all das auch unterhaltsam, denn sonst werden Ihre Bemühungen im Sande verlaufen. Bleiben Sie so praxisnah wie möglich, organisieren Sie Ratespiele, nutzen Sie verschiedene Tools. Sehen Sie sich zum Beispiel Dienste an, die Ihrem Team falsche Phishing-E-Mails senden oder nutzen Sie einen anderen Kanal, um zu testen, wie empfänglich Mitarbeiter für Social Engineering sind. Sie können auch einen monatlichen Datenschutzsensibilisierungsnewsletter einführen, in welchem Sie ein bestimmtes Thema im Detail erkunden. Etwa eine E-Mail zu Ransomware, wenn dieses Thema gerade wieder in den Nachrichten ist.
Trotzdem ist es auch wichtig, es nicht mit Schulungsmaßnahmen zu übertreiben. Sicherheitsverdrossenheit ist ein echtes Problem: Wenn Sie zu viel über das Thema sprechen, werden die Informationen langweilig und nicht mehr in den Alltag übernommen.
Profi-Tipp: Sowohl Aufklärung als auch Schulung sind wichtig. Aufklärung bedeutet, dass Mitarbeiter verstehen, warum etwas notwendig ist und ein Grundverständnis haben, mithilfe dessen sie individuell entscheiden können. Schulungen sind eine Maßnahme, bei der Mitarbeiter lernen, was zu tun ist und wie es zu tun ist. Sie benötigen beides, um sicher zu stellen, dass Ihre Kollegen die richtigen Schritte basierend auf einer guten Einschätzung der Lage ergreifen.
Definieren Sie Prioritäten entsprechend Ihrer Branche und Mitarbeiteraktivitäten
Cybersicherheit und Privatsphäre sind komplexe Felder, mit vielen Aspekten und Bedrohungen, auf die geachtet werden muss. Sie können sich nicht allen Anforderungen gleichzeitig widmen. Passen Sie Ihre Prozesse daher an Ihr Unternehmen an.
Die wichtigsten Bereiche, auf die Sie achten müssen:
- HR-Prozesse. Das ist eine Abteilung des Unternehmens, das mit den vertraulichsten Daten zu tun hat, für die sich Hacker interessieren. Es ist entscheidend, dass Sie eine Vertraulichkeitseinstufung durchführen, um zu sehen, wo sich sensibelsten Daten anfallen.
- Allgemeine Anwendungssicherheit. An digitalen Arbeitsplätzen werden ständig Apps heruntergeladen und genutzt. Es ist praktisch unmöglich, Schatten-IT auszuschließen, was das Installieren von Software ohne das Wissen der IT-Abteilung bedeutet. Allerdings können allgemeine Richtlinien zur Nutzung von Apps und Anwendungen bereits helfen, die Risiken zu verringern.
- Netzwerksicherheit und Gerätemanagement. Netzwerke und die Internetnutzung im Büro sicher zu gestalten, hat in allen Unternehmen Priorität. Auch ein guter Überblick über die firmeneignen und privaten Endgeräte ist kritisch, um sich vor Sicherheitsrisiken zu schützen.
- Respekt vor der Privatsphäre von Kunden und Mitarbeiten, indem ein eindeutiges Einverständnis des Dateneigentümers eingeholt wird.
- Physische Sicherheit. Dies wird oft übersehen, ist aber wesentlich. Unbeaufsichtigte Geräte und Dokumente können zu ernsthaften Datenpannen führen.
Profi-Tipp: Schneidern Sie den Inhalt auf das Publikum zu: Management, IT-Mitarbeiter und Endnutzer haben unterschiedliche Beziehungen zu den Informationssystemen und unterschiedliche Beweggründe, Datenschutzrichtlinien einzuhalten. Zum Beispiel lässt sich die Managementebene am Besten mit an Bord holen, wenn Sie auf die Geschäftsrisiken von Datenpannen hingewiesen werden.
Datenschutz ist ein Prozess: PDCA.
Cybersicherheit und Datenschutzsensibilisierung sind niemals abgeschlossen, sondern ein Prozess, der ständig verbessert werden sollte. Die Grundlagen des Prozessmanagements können hier hilfreich sein: Die PDCA-Methode (Plan, Do, Check und Act) ist besonders nützlich im Informationssicherheitsmanagement.
Profi-Tipp: Messen Sie die Effektivität Ihrer Aufklärungsbemühungen. Wenn Sie zum Beispiel einen Phishing-Test durchführen, können Sie den Anteil durchgefallener Nutzer prozentual bestimmen. Nutzen Sie nun den PDCA-Prozess, um Verbesserungen zu Planen (Plan) und umzusetzen (Do). Prüfen (Check) Sie die Ergebnisse erneut, indem Sie die Phishing-Simulation einige Monate später wiederholen. Agieren (Act) Sie entsprechend. So können Sie messbare Ziele setzen und Ihr Management die Effektivität Ihrer Bemühungen sehen.
Holen Sie mehr Leute an Bord, datenschutzfreundliche Tools zu nutzen
Über den Autor
Zoltan war in verschiedenen Rollen in Compliance Assurance, IT-Sicherheit, Audit und Operation Support bei IBM tätig, bevor er zu uns als IT-Sicherheitsbeauftragter wechselte. Momentan arbeitet er daran, unsere internen Sicherheitsrichtlinien als Teil unseres ISO27001-Zertifizierungsprozesses weiter zu verbessern. |