Der Faktor Mensch: vom Risiko zum Treiber für Informationssicherheit - neue Wege für eine erfolgreiche Benutzersensibilisierung

Untersuchungen verweisen seit Jahren immer wieder auf den "Faktor Mensch" als wesentliche Quelle für Informationssicherheitsvorfälle. Zwar können eine bessere Usability der Systeme und technische Restriktionen die Wahrscheinlichkeit herabsetzen, dass sich Fehler der Benutzer im Umgang mit IT und kritischen Informationen zu schwerwiegenden Sicherheitsproblemen auswachsen. Gleichwohl werden technische Maßnahmen alleine Benutzerfehler und deren negative Folgen niemals vollständig verhindern können.

Die Erkenntnis, dass es unverzichtbar ist, die Benutzer für Informationssicherheit zu sensibilisieren und ein sicherheitsgerechtes Verhalten durch Trainings und Vermittlung des erforderlichen Wissens zu unterstützen, ist weithin anerkannt. Die Entwicklung und Umsetzung entsprechender Konzepte gilt zudem als integraler Bestandteil eines guten Informationssicherheitsmanagements und ist gelebte Praxis in vielen Unternehmen, die auf ein hohes Sicherheitsniveau Wert legen. Oft sind die Maßnahmen jedoch wenig zielgerichtet und wird auf eine Kontrolle ihrer Wirksamkeit verzichtet. Die Gefahr, dass - teilweise mit nicht unerheblichem Aufwand entwickelte Kampagnen - ohne bleibende Wirkungen verpuffen, ist damit groß.

Nicht zuletzt die nicht abreißende Welle an Phishing-Attacken und die erfolgreichen Ransomware-Attacken des Jahres 2017 zeigen, wie wichtig es ist, dass Benutzer die möglichen Risiken im Umgang mit IT kennen, wissen wie sie ihnen begegnen können und auch dementsprechend handeln. Diese Vorfälle können außerdem auch als Anlass dafür dienen, die gängigen Methoden für Awareness-Kampagnen zu hinterfragen.

Dieser CAST-Workshop stellt Verfahren jenseits üblicher Poster-Kampagnen, Web-Kurse und Comics auf Kaffeetassen vor, beispielsweise Gamification-Ansätze. Ferner werden Methoden zur Planung, Organisation und Durchführung von Kampagnen in einem multikulturellen Umfeld präsentiert und es wird der Frage nachgegangen, wie der Erfolg der Awareness-Maßnahmen gemessen werden kann, um künftige Kampagnen zielgerichteter zuschneiden zu können.

Dieser Workshop wird organisiert mit Unterstützung der "Fachgruppe Management von Informationssicherheit (SECMGT)" der Gesellschaft für Informatik e.V. (GI), siehe auch https://fg-secmgt.gi.de.