Mit wenigen Ausnahmen werden Mitarbeiter auf der Grundlage ihrer Fähigkeit, ihre Aufgabe innerhalb der Organisation zu erfüllen, für eine Einstellung ausgewählt. Einige verfügen über technische Fähigkeiten, die nur für das Kernprodukt oder die Dienstleistung erforderlich sind, während andere über Fähigkeiten und Fertigkeiten verfügen, die z. B. für Unterstützungsfunktionen geeignet sind.
Unabhängig von ihrer Rolle innerhalb des Unternehmens ist es sehr wahrscheinlich, dass die meisten von ihnen keine formale Schulung im Umgang mit Informations-, Daten- und Sicherheitsrisiken und -management erhalten haben.
Der konsequente Schutz von Informationen, Daten und Systemen vor gezielten Cyberangriffen stellt eine große Herausforderung für Unternehmen dar. Im Gegensatz zur Datenschutz-Grundverordnung (DSGVO), die zum Schutz personenbezogener Daten eingeführt wurde, ist das Informations-, Daten- und Cybersicherheitsmanagement in der Regel eine freiwillige Maßnahme – wenn auch zunehmend eine dringende kommerzielle und geschäftliche Notwendigkeit.
Menschliches Versagen ist die Hauptrisikoquelle
Eine Anfang 2022 von DNV veröffentlichte Umfrage zum Thema Datenschutzmanagement hat ergeben, dass Unternehmen menschliches Versagen als Hauptrisikoquelle angeben (44,5 %), gefolgt von mangelndem Bewusstsein der Mitarbeiter oder einer mangelhaften Organisationskultur (27,7 %). Darüber hinaus verlagern sich die Maßnahmen von einer technologieintensiven Ausrichtung hin zu einer verstärkten Ausrichtung auf die Schulung und Sensibilisierung der Mitarbeiter. Ähnlich verhält es sich mit dem Management von Informationen, Daten und Cybersicherheit.
Wenn menschliches Versagen und mangelndes Bewusstsein als Hauptrisiken gelten, bedeutet dies häufig, dass diesbezüglich keine effektive Unternehmenskultur geschaffen wurde. Dies ließe sich leicht durch die Einführung eines formellen Überwachungsmodells für das Managementsystem beheben. Jede Organisation muss mit schwankenden Ressourcen rechnen, z. B. durch Fluktuation und die Einstellung neuer Mitarbeiter. Dies erfordert eine regelmäßige Schulung neuer Mitarbeiter oder eine regelmäßige Sensibilisierung der bereits beschäftigten Mitarbeiter. Dabei kann es sich um E-Learnings, Microlearnings oder umfangreichere Schulungen für alle an der Datenverwaltung beteiligten Mitarbeiter handeln.
Maßnahmen zur IT-Sicherheit sind nach wie vor unverzichtbar. Da einzelne Mitarbeiter jedoch zunehmend eine potenzielle Schwachstelle darstellen, sollte diesen eine zentrale Rolle in jedem Informationssicherheitsansatz zukommen.
Systeme steigern die Zuverlässigkeit
Um sicherzustellen, dass die Mitarbeiter jederzeit so geschult sind, dass der Schutz des Unternehmens gewährleistet ist, ohne dass sie von ihren täglichen Aufgaben abgelenkt werden, bedarf es einer eindeutigen Struktur. Dies lässt sich am besten durch ein Managementsystemmodell erreichen, das auf den Best Practices der internationalen Norm für Informationssicherheitsmanagementsysteme ISO/IEC 27001 basiert. Eine solche Norm legt spezifische Anforderungen an regelmäßige Schulungen und Sensibilisierung fest, um ein einheitliches Niveau in der gesamten Organisation zu gewährleisten. Dies führt zu einem größeren Engagement und befähigt die Mitarbeiter, die „Informationssicherheit“ zu berücksichtigen und hilft ihnen, besser mit „Unsicherheit“ im Zusammenhang mit Risiken oder Bedrohungen umgehen zu können. Erfahrungsgemäß hilft die Umsetzung eines Managementsystemmodells einer Organisation dabei, eine Sicherheitskultur zu schaffen bzw. zu verbessern.
Neben der allgemeinen Mitarbeiterschulung sind noch weitere Aspekte zu berücksichtigen. Von entscheidender Bedeutung ist die Verfügbarkeit von internen, gut ausgebildeten Fachkräften, die den Mitarbeitern bei Fragen oder Unklarheiten als Ansprechpartner zur Verfügung stehen. Außerdem sollten die Führungskräfte ihr persönliches Engagement zum Ausdruck bringen und zeigen, dass sich jeder an dieselben Regeln zu halten hat. Andernfalls könnten sich die Mitarbeiter fragen, warum von ihnen erwartet wird, wachsam zu sein und die Verfahren zu befolgen, während die Führungskräfte der Organisation davon ausgenommen sind.
Angesichts der steigenden Kosten, die Bedrohungen durch Informations-, Daten- und Cyberangriffsrisiken für Unternehmen mit sich bringen, können es sich nur wenige Unternehmen leisten, auf Schulungen zu verzichten. In die Steigerung der Kompetenz zu investieren, ist immer ein konstruktiver Ansatz und die Vorteile sind beträchtlich. In Verbindung mit der Umsetzung eines nach ISO/IEC 27001 zertifizierten Informationssicherheitsmanagementsystems bietet dies einen noch robusteren, belastbareren und zuverlässigeren Ansatz.