Wie Security-Awareness vom ISO-Standard ISO27001:22 profitiert

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Mit der Vorstellung von ISO27001:22 und ISO27002:22 im letzten Jahr erfuhren auch die Ausführungen zu den Themen Awareness und Education Aktualisierungen. Letztlich sind die ISO-Standards und der IT-Grundschutz zumeist der Auslöser für die Einführung von Security-Awareness-Trainings. Insbesondere die neue Struktur im ISO27002 fördert die Auseinandersetzung mit der Thematik.

Der Faktor Mensch als der physischen, organisatorischen und technischen Sicherheit gleichwertige Komponente ist enorm wichtig und es ist nur richtig, dass der Standard dies nun auch anerkennt. Gemeint sind die Ausführungen zu 6.3 Information Security-Awareness-Training, and Education. Generell hat sich nicht viel verändert, lediglich die Sprache wurde vereinfacht. Weiterhin ist wichtig, dass ein Ansprechpartner benannt wird, der das Security-Awareness-Programm treibt. Der Verantwortliche sollte ein gutes Verständnis für Informationssicherheit mitbringen und in der Lage sein, den Mitarbeitern die Anforderungen, die die Inhalte des Programms an sie stellt zu vermitteln. Sie muss Inhalte für Schulungsprogramme entwickeln und diese regelmäßig durchführen. Zwar muss diese Person keinen IT-Background haben, sollte sich aber eng mit der Abteilung austauschen.

Die folgenden Punkte sollten Organisationen bei der Einführung von Security-Awareness-Training beachten, um das Beste aus den ISO-Standards zu ziehen und sich nicht nur im Hinblick auf die Compliance, sondern auch auf die Cybersicherheit zu rüsten.

  • Awareness-Trainings sollten regelmäßig stattfinden – vornehmlich mit variierten Inhalten und idealerweise mindestens vierteljährig. Es bieten sich Phishing-Simulationen als zusätzliche Trainingsmaßnahme und zur Erhebung des aktuellen Risikozustandes an.
  • Awareness-Trainings müssen abwechslungsreich und relevant sein – oftmals erreichen Unternehmen nach anfänglichem Erfolg mit hauseigenen ISMS-Maßnahmen den Punkt, an dem es an neuem und abwechslungsreichem Material mangelt. Das Programm fällt hinter den Erwartungen zurück und weniger Leute schließen Trainingsmaßnahmen erfolgreich ab.
  • Awareness-Trainings sollten über die reine Sensibilisierung hinaus gehen – schlussendlich kommt es auf das Handeln der Mitarbeitenden an, nicht nur ihr Wissen oder ihre grundsätzliche Einstellung zu Sachverhalten. Dementsprechend müssen erfolgreiche Security Awareness Programme and der Etablierung von sicheren Verhaltensweisen arbeiten.
  • Awareness-Trainings sind in die Unternehmenskultur eingebettet – eine aktive Gestaltung der Organisationskultur und im Speziellen der Sicherheitskultur als ein Bestandteil dieser Kultur ist unabdingbar. Eine Kultur, die nicht aktive gestaltet und geformt wird, verselbstständigt sich. Resultierend unsichere Verhaltensweisen sind zumeist sehr schwer wieder einzufangen.
  • Arbeits- und Beschäftigungsbedingungen – Diese sind wichtige Rahmenbedingungen, in denen sich eine Security-Awareness-Kampagne finden muss. Ohne die richtige Kommunikation und das Mitarbeiter-Buy-In können Security-Awareness-Kampagnen nicht erfolgreich sein.

Fazit

Schlussendlich geht es beim ISO-Standard darum Verhaltensweisen zu trainieren und zu fördern, wie bei jedem guten Security-Awareness-Training. Eine einzige reine Awareness-Maßnahme reicht nicht aus. Eine ganzheitliche Umsetzung unter Einbezug des Managements von Anfang an wird nicht erfolgreich sein. Der Standard sieht die Involvierung der Geschäftsführung als ersten wichtigen Schritt vor. Demnach ist Management-Buy-In und die Möglichkeit als „Role-Model“ zu dienen, vielleicht sogar noch ein größerer Anreiz, um Security-Awareness-Trainings erfolgreich und nachhaltig zu gestalten. Die weitere Entwicklung der ISO-Standards sollten die Verantwortlichen weiter im Blick behalten.

#KnowBe4