Motivation und Schulung zur IT-Sicherheit
Veranstaltungsort
DB Systel GmbHJürgen-Ponto-Platz 1 (Silberturm) - im Auditorium auf der 31ten Etage
(5 Gehminuten vom Frankfurter Hauptbahnhof)
60329 Frankfurt am Main, Deutschland
Beschreibung
Die Themen
- Security Awareness in der Praxis
- Sensibilisierung für Informationssicherheit in großen und kleinen Unternehmen
- Messbarkeit von Security Awareness
- Datenschutzausbildung
- Datenschutz-Zertifizierung
Bericht zum Workshop und Details zu den Vorträgen
Dirk Fox (Secorvo, Karlsruhe):
Security Awareness in der Praxis, Sensibilisierung für Informationssicherheit in Kampagnenbeispielen
Der Vortrag basiert auf Erfahrungen mit Motivations- und Schulungsprojekten mit mehreren Großfirmen. Die Rolle der Firma Secorvo war dabei, Sicherheitswissen einzubringen, wobei gleichzeitig eine Werbeagentur für die Aufbereitung der Information und die Umsetzung in der Kampagne wesentlich mit eingebunden war. Die Beteiligung von externen Beratern bei solchen Kampagnen ist wichtig, nicht weil das Sicherheits-Wissen nicht in der Firma prinzipiell vorhanden wäre, sondern weil das Eigenpersonal mit anderen Aufgaben primär betraut ist, und deshalb "mental scheitert" an der Aufgabe, das Wissen in einer (Groß-)Firma umzusetzen.
Ziel einer Kampagne ist, eine Verhaltensänderung der Mitarbeiter, die eingeübt werden muss, wie das "Zähneputzen bei den Kindern". Motivation und Überzeugung ist wichtig, um einerseits Fehleinschätzungen des Managements zu vermeiden ("machen wir mit Sicherheitstools", "regeln wir organisatorisch"), bei denen unter anderem die Kreativität zur Umgehung von Maßnahmen der Mitarbeiter, die nicht überzeugt sind, unterschätzt wird, andererseits die vielen Hürden, die zu überwinden sind (resultierende Arbeitsbehinderungen z.B. dauert Account-Bearbeitung plötzlich zu lange, Verantwortungslücken und Risiken, die, als realitätsfern angesehen werden, nicht übernommen werden können. Herr Fox:: "man muss die Herzen gewinnen!"
Herr Fox unterscheidet bei einer solchen Kampagne vier Phasen
- Aufmerksamkeit, um unter den vielen Themen (kreislauf etc.), die kampagnenmäßig behandelt werden, überhaupt wahrgenommen zu werden,
- Vermittlung des notwendigen Wissens und Einstellungen (Preisausschreiben, Videos, - nur IT als Medium genügt nicht!.Man muss auf die verschiedenen Lerntypen dabei eingehen),
- Verstärkung (um positive Identität zu schaffen, und zur Einübung à la Zähneputzen),
- Öffentlichkeit (um es als normales Q-Merkmal zu etablieren).
Das Schaffen eines positiven Sicherheitsbegriffs wurde an Beispielen aus der Praxis erläutert. Die kampagnen wurden Firmen-bezogen durchgeführt. bei einer Versicherung gab es ein Preisausschreiben, bei dem der Satz zu ergänzen war: "Sicherheit ist ... " (mit Antworten wie: ein Grundbedürfnis des Menschen; bis zu "wenn immer ein Kasten Bier im Keller steht") Wichtig ist, dass über die Kampagne gesprochen und es darf oder soll auch gewitzelt werden. Auch der Spieltrieb wurde ggf. erfolgreich geweckt. Die spannenden und unterhaltsamen Beispiele, die im Vortrag genannt wurden, können leider in den im Web veröffentlichten Folien nicht enthalten sein.
Die Erfahrungen mit Großfirmen sind, wie Herr Voßbein im Nachtrag bemerkte, nicht auf den Mittelstand übertragbar. Allein die Firmen-spezifische Aufbereitung der Kampagne durch eine Agentur ist zu teuer, da der Aufwand bei kleineren Firmen kaum geringer als bei großen ist, so dass sich kleine Firmen dies nicht leisten können.
Dr. Christoph Schog (T-Systems, Frankfurt):
Mission Security - Mir ist es nicht egal!
Herr Dr. Schog ist CSO bei T-Systems und berichtete über eine Kampagne, die in Zusammenarbeit mit Secorvo abgehalten wurde. Einer der Ausgangspunkte ist eine Microsoft-Studie von 2004, dass fehlende Mitarbeiter-/ Middle-Management-Motivation zu 51%/42% als Problem gesehen wird, während fehlende Methoden, Werkzeuge und Produkte nur zu 18% bzw. zu 17% als Problem gesehen werden. Die lebensgroße Figur "James Bit", die an 1200 Stellen in der Firma aufgestellt worden war, war hier ein großer Aufreißer-Erfolg. Auch ein Video, das die spannende Situation eines Laptop-Diebstahls mit Verfolgungsjagd zeigt (wurde vorgeführt), trug zum Erfolg bei. Der Erfolg der Kampagne wurde durch Befragungen von 10000 Mitarbeiter vor und nach der Kampagne nachgewiesen und "gemessen". Es sind 4300 Führungskräfte zu überzeugen gewesen. Ein Ideen-Wettbewerb war zentraler Bestandteil. Es wurden 140 Trainer in der Firma ausgebildet, Projekt-Gelder werden nur mit Zustimmung der Security genehmigt.. Es wurde eine grobe Darstellung gegeben, wie Security Management bei T-Systems funktioniert, die Security Documents Hierarchy vorgestellt und ein Ausblick auf die Kennzahlen zur Messung der "weichen" Faktoren vorgestellt.
Peer Reymann (ITQS® GmbH, Hamburg):
Datenschutzausbildung im Umbruch?
Mit dem bislang richtungsweisenden Urteil des LG Ulm aus dem Jahre 1990 wurde bisher zwar festgestellt, daß es sich beim Datenschutzbeauftragten um einen "Beruf" handelt, die notwendigen Fähigkeiten wurden jedoch nur grob umrissen. Die augenblicklichen Datenschutzbeauftragten der ersten Generation weisen in Bezug auf ihre Ausbildung eigentlich keine Gemeinsamkeiten auf. Es sind Juristen, Kaufleute oder Techniker, die sich in der Firma meist frühe Verdienste im Umfeld der IT erworben haben. (Ein Datenschutzbeauftragter, der dies zu mehr als 50% seiner Zeit ausübt, ist unkündbar.) Diese Generation wird aber in den nächsten Jahren durch eine neue ersetzt werden, ohne dass klar ist, welche Anforderungen an sie zu stellen sind. So gibt es heute eine Vielzahl von Anbietern auf dem Markt, die nach eigenen Worten eine "zertifizierte" oder "fachkundige" Datenschutzausbildung anbieten, ohne dies wirklich "handfest" zu machen. Der Bundesbeauftragte für den Datenschutz, Peter Schaar, hat bereits bei der GI-Jahrestagung 2005 in Regensburg angekündigt, hier regulierend eingreifen zu wollen und Gespräche mit Verbänden zu führen. Im Vortrag wurde ein Überblick und eine grobe Klassifizierung bzw. Bewertung der einzelnen konkurrierenden Ausbildungsmodelle umrissen und mögliche Lösungsansätze einer qualifizierten Ausbildung dargestellt.
Tobias Straub (Fraunhofer Gesellschaft (FhG) SIT, Darmstadt):
TISP: Expertenzertifikat für IT-Sicherheit
Vor zwei Jahren wurde unter dem Dach des TeleTrusT e.V. ein Expertenzertifikat für den Bereich IT-Sicherheit geschaffen. Dieses so genannte TISP- (TeleTrusT Information Security Professional) Zertifikat richtet sich speziell an Interessenten im europäischen und deutschsprachigen Raum - im Gegensatz zu den seit Längerem angebotenen amerikanischen Zertifikaten. Im Vortrag wurde die Konzeption der TISP-Zertifizierung erläutert und näher auf die Inhalte des TISP-Lehrplans eingegangen. Außerdem wurden die Erfahrungen des Fraunhofer SIT, das selbst einer der TISP-Schulungsanbieter ist, dargestellt.
Programm
10:15 | Begrüßung |
10:30-11:45 | "Security Awareness in der Praxis" |
| Sensibilisierung für Informationssicherheit an Kampagnenbeispielen. |
| Vortrag & Diskussion (Dirk Fox / Secorvo Security Consulting GmbH, Karlsruhe) |
11:45-13:15 | Mittagessen |
13:15-14:30 | "Mission Security - Mir ist es nicht egal!" |
| Vortrag & Diskussion (Dr. Christoph Schog / T-Systems, Frankfurt) |
14:30-15:45 | "Datenschutzausbildung im Umbruch?" |
| Vortrag & Diskussion (Peer Reymann / ITQS® GmbH, Hamburg) |
15:45-16:00 | Pause |
16:00-17:15 | "TISP: Expertenzertifikat für IT-Sicherheit" |
| Vortrag & Diskussion (Tobias Straub / Fraunhofer Gesellschaft (FhG) SIT, Darmstadt) |
17:15-17:30 | Verabschiedung |