Warum Mitarbeiter zum Schutz von Kundendaten beitragen müssen
Mit der Einführung der Datenschutzgrundverordnung (DSGVO) nach 2015 hat in vielen Unternehmen ein Umdenken begonnen. Bemerkbar machten sich vor allem Aufwände zur Katalogisierung von Prozessen zur Sammlung, Verarbeitung und Speicherung von Daten.
Unternehmensrichtlinien zum Datenschutz wurden aktualisiert und die Mitarbeitenden mit in die Verantwortung genommen. Nicht immer hat dies zu nachhaltigen Verhaltensänderungen geführt. Menschliches Handeln begünstigt mehr als 80 Prozent aller Cybersicherheits-Vorfälle. Um aus dem gesteigerten Bewusstsein für Datenschutz auch entsprechende Verhaltensweisen abzuleiten, bedarf es weiterer Unterstützung und Schulung.
Datenschutz ist gleich Kundenschutz, so einfach ist das. Unternehmen müssen die Daten ihrer Kunden schützen, um die Anforderungen der DSGVO zu erfüllen. Kundendaten werden jedoch von Mitarbeitenden verwendet, um Dienstleistungen zu erbringen oder Produkte herzustellen. Den Mitarbeitenden, die diese Daten verwalten und schützen müssen, kommt daher eine wichtige Rolle zu.
Daraus ergibt sich ein erhöhter Bedarf an Mitarbeiterschulungen zur Erfüllung dieser Aufgabe. Security-Awareness bedeutet, dass Mitarbeiterinnen und Mitarbeiter durch kontinuierliche Schulung in die Lage versetzt werden, potenzielle Sicherheitsbedrohungen zu erkennen und zu vermeiden, um die IT-Sicherheit und den Datenschutz zu unterstützen.
Tatsächlich ergibt sich die Notwendigkeit zur Schulung der Mitarbeitenden auch direkt aus den gesetzlichen Rahmenbedingungen. Gemäß der Datenschutz-Grundverordnung (DSGVO) besteht de facto eine Pflicht zur Schulung. Auch der oftmals zur Umsetzung der DSGVO herangezogene ISO 27001 Standard erfordert regelmäßige Security-Awareness-Trainings (siehe Anhang 7.2.2).
In Deutschland wird die ISO 27001 als Standard für Informationssicherheit von vielen Unternehmen genutzt und auch von der Bundesregierung empfohlen. Unternehmen, die diese Norm einhalten, müssen sicherstellen, dass ihre Mitarbeiter über die Grundsätze der Informationssicherheit und geeignete Maßnahmen zum Schutz von IT-Systemen und -Daten informiert sind. Hierzu gehören auch regelmäßige Schulungen zur Förderung des Sicherheitsbewusstsein.
Der Schutz von Daten und Informationssicherheit sind für Unternehmen von grundlegender Bedeutung. Um diese Ziele zu erreichen, können Unternehmen auf den IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zurückgreifen, der durch die BSI-Standards 200-1, 200-2 und 200-3 eine Zertifizierung nach ISO 27001 ermöglicht. Wesentliche Bestandteile des IT-Grundschutzes sind die Integration der Mitarbeitenden in den Sicherheitsprozess und die Sensibilisierung und Schulung zur Informationssicherheit. Mitarbeitende spielen eine wichtige Rolle bei der Umsetzung von Sicherheitszielen und -maßnahmen in Unternehmen. Daher ist es entscheidend, dass sie über ein ausreichendes Sicherheitsbewusstsein verfügen und bereit sind, dieses im Arbeitsalltag umzusetzen. Nur so kann eine Sicherheitskultur in der Institution aufgebaut und im Arbeitsalltag gelebt werden.
In einigen Branchen gelten darüber hinaus weitere Rahmenbedingungen. Versicherer gehen beispielsweise dazu über, Security-Awareness-Training in ihre Kriterienkataloge aufzunehmen. Der Gesamtverband der deutschen Versicherungswirtschaft (GDV) führt regelmäßige Schulungen in seinem Standard-Katalog für Cyber-Versicherungen auf. Generell taucht das Thema Schulungen als Unterthema in immer mehr Kriterienkatalogen auf. Das Thema gewinnt also auch in der Versicherungsbranche an Bedeutung und eine umso prominentere Positionierung in den Kriterienkatalogen der Versicherer ist zu erwarten. Auf dem amerikanischen Versicherungsmarkt ist das Thema Schulung und Awareness teilweise bereits in den Top 5 Kriterien angekommen. Ein Trend zu weiteren Anforderungen an die Unternehmens- und Sicherheitskultur ist absehbar.
Beim Aufsetzen eines Security-Awareness-Programm sollten Unternehmen die folgenden sechs Kernkomponenten eines Programms zur Sensibilisierung für Cybersicherheit beachten:
- Inhalte: Als Menschen bevorzugen wir unterschiedliche Arten und Stile von Inhalten. Gehen Sie bei Ihrem Programm nicht nach dem Motto vor, dass es eine Einheitsgröße für alle gibt. Passen Sie die verschiedenen Inhaltstypen an die verschiedenen Rollen in Ihrem Unternehmen an.
- Unterstützung und Planung für Führungskräfte: Materialien, die Ihnen dabei helfen, den Wert des Programms gegenüber Ihrem Führungsteam zu beweisen und auch den Prüfern/Regulierungsbehörden zu zeigen, dass Sie das Richtige tun.
- Materialien zur Unterstützung von Kampagnen: Ein erfolgreiches Programm sollte nicht einmalig sein, sondern als Marketingmaßnahme behandelt werden. Eine einmal im Jahr durchgeführte Schulung, bei der nur ein Häkchen gesetzt wird, wird nicht dazu beitragen, das Verhalten der Benutzer zu ändern. Die kontinuierliche Präsentation der Informationen auf unterschiedliche Weise, wenn sie mit ihrem Lebenskontext übereinstimmt, wird ihre Entscheidungen beeinflussen und es den Nutzern leichter machen, klügere Entscheidungen zu treffen.
- Metriken und Berichte: Sie müssen in der Lage sein, nachzuweisen, dass Sie Sicherheitslücken schließen. Berichte sind auch nützlich, um Kampagnen auf der Grundlage früherer Ergebnisse zu optimieren. Sie müssen sehen können, was gut funktioniert und was verbessert werden kann.
- Umfragen/Bewertungen: Diese Art von Instrumenten kann Ihnen helfen, die Einstellungen Ihrer Organisation zu verstehen und herauszufinden, wie gut Ihr Programm bei Ihren Mitarbeitern ankommt, damit Sie es anpassen können. Betrachten Sie sie als eine Art Pulskontrolle für subtile Nuancen, die sich von Kennzahlen/Berichten unterscheiden, wie zum Beispiel Meinungen oder Gemütszustände.
Testen: Die Mitarbeiter müssen in eine Situation gebracht werden, in der sie eine Entscheidung treffen müssen, die darüber entscheidet, ob das Unternehmen Opfer eines Angriffs wird oder nicht. Bei Phishing-Simulationen werden die Mitarbeiter aufgefordert, entweder auf einen Link zu klicken, den Versuch zu melden oder nichts zu tun. Sie möchten ihnen die Möglichkeit geben, Phishing-Versuche zu melden und die Widerstandsfähigkeit des Unternehmens zu erhöhen. Wenn sie auf den Phishing-Versuch hereinfallen, sollten Sie die Möglichkeit haben, sofort eine Schulung durchzuführen, um einen Lernmoment zu schaffen. Nichts zu tun ist nicht ideal, da die potenzielle Bedrohung bestehen bleibt und andere im Unternehmen die Möglichkeit haben, darauf hereinzufallen.