nach oben
Meine Merkliste
Ihre Merklisteneinträge speichern
Wenn Sie weitere Inhalte zu Ihrer Merkliste hinzufügen möchten, melden Sie sich bitte an. Wenn Sie noch kein Benutzerkonto haben, registrieren Sie sich bitte im Hanser Kundencenter.

» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.
Ihre Merklisten
Wenn Sie Ihre Merklisten bei Ihrem nächsten Besuch wieder verwenden möchten, melden Sie sich bitte an oder registrieren Sie sich im Hanser Kundencenter.
» Sie haben schon ein Benutzerkonto? Melden Sie sich bitte hier an.
» Noch kein Benutzerkonto? Registrieren Sie sich bitte hier.

« Zurück

Ihre Vorteile im Überblick

  • Ein Login für alle Hanser Fachportale
  • Individuelle Startseite und damit schneller Zugriff auf bevorzugte Inhalte
  • Exklusiver Zugriff auf ausgewählte Inhalte
  • Persönliche Merklisten über alle Hanser Fachportale
  • Zentrale Verwaltung Ihrer persönlichen Daten und Newsletter-Abonnements

Jetzt registrieren
Merken Gemerkt
20.07.2020 Informationssicherheit ISO 27001
Frage & Antwort

Awareness-Problem bei Informationssicherheit

Gibt es ein Awareness-Problem und welche Rolle spielen die Themen Schulung, Übung und Sensibilisierung?

Antwort:

Ja, es gibt ein Awareness-Problem!

Im Zeitalter sozialer Medien ist es nicht unüblich, in der Öffentlichkeit viele Daten preiszugeben. Oft werden damit in Verbindung stehende, potenzielle Risiken erst erkannt, wenn ein Missbrauch stattgefunden hat, ein Risiko also bereits eingetreten ist. Ein proaktives Agieren ist dann nicht mehr möglich – es kann nur noch „reagiert“ werden.

Beispiel: Im Zuge von Smartphone und Co. überwiegt dabei nicht selten der Komfort der Apps gegenüber Sicherheitsbedenken bzw. dem Bewusstsein dafür. Diese zweifelhafte Haltung wird häufig vom Privatbereich in das Unternehmen hineingetragen und damit zu einem Haupt-Unternehmensrisiko. Da es sich im Bereich der Informationssicherheit vor allem um immaterielle Güter handelt, bleiben Risiken und deren Auswirkungen sowie Konsequenzen für Entscheider und Mitarbeitende oft abstrakt. Es ist häufig unklar, welche Informationen in diesem Zusammenhang überhaupt vorhanden und für das Un-ternehmen „von Wert“ sind. Unternehmen tun also im Sinne der Wahrung der eigenen Informationssicherheit gut daran, klare Vorgaben und Regeln für den Umgang mit eigenen Daten und Informationen im Unternehmenskontext zu schaffen.

Kritisch muss aber auch die Grauzone zwischen dem Unternehmen und dem Privatbereich der Mitarbeitenden betrachtet werden: Nicht jede genutzte App ist möglicherweise für das eigene Unternehmen risikolos, siehe WhatsApp, Instagramm, TikTok etc.. BYOD-Konzepte (Bring your own device), also die Nutzung privater Hardware für das Unternehmen, müssen technisch und organsiatorisch kritisch betrachtet werden. Da die Anwendung dieser Medien und Apps aber schwer vom Unternehmen zu kontrollieren ist, bleiben oft nur klare Vorgaben, bis zum Verbot einzelner Anwendungen oder grundsätzlich der privaten Nutzung. Vor allem auch in Hinblick auf den Datenschutz.

Gerade deshalb spielen die Themen Schulung, Übung und Sensibilisierung eine herausragende Rolle! Richtiges Verhalten und Bewusstsein in einer Organisation setzt Kompetenz und Wissen voraus. Dieses ist lebenslang zu fördern und zu entwickeln – Schulungen unterstützen dieses Bemühen. Üben ist hier von entscheidender Bedeutung, denn Informationssicherheitsvorfälle sind wie Ausnahmesituationen, in denen es auf das verlässliche und richtige Vorgehen ankommt. Auch das Üben von Extremsituationen ist zwingend nötig, um Sachverhalte und deren Zusammenhänge zu verstehen und das Erfahrungswissen dazu auszubauen und als „lesson learned“ in der Organisation einzusetzen. Das große Ziel sollte eine gewisse Selbstverständlichkeit im Umgang mit diesen Themen sein: Schütze ich das entscheidende Wissen und die relevanten Informationen hinsichtlich meiner Wettbewerbsfähigkeit im Unternehmen, sichere ich letztendlich den eigenen Arbeitsplatz. Ebenso wie den aller anderen Beschäftigten.

Experte zum Thema

Unser Experte beantwortet Ihre Fragen rund um das Thema Informationssicherheit ISO 27001


Stellen Sie Ihre Frage!


Über den Experten

Andreas Altena

Andreas Altena ist Geschäftsführer der Sollence GmbH, Berater, Trainer und Auditor mit den Kernkompetenzen in der Organisations- entwicklung und integrierten Managementsystemen, Qualitäts-, Informationssicherheits-, Risiko- und (IT-)Servicemanagement sowie Dienstleistungs-Excellence.