Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewendet wird. Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden.

Planen Sie Schulungsmaßnahmen ein!

Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter. Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können? Drei weitere Beispiele für zweckmäßige Schulungen:

• Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als ICS-Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets. Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen.
• Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration.
• Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden.

Sensibilisieren Sie die betroffenen Mitarbeiter!

Gute Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten. Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren. Einige negative Beispiele:

• Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist.
• Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt.
• Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe. Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit. Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, z. B. indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren.
• Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht.

Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form.

Überprüfen Sie die Akzeptanz der Maßnahmen!

Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden. Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein.