Bundesamt für Sicherheit in der Informationstechnik

ERFA-Kreis Awareness

Aufgrund der Entwicklung, dass inzwischen weder technische noch organisatorische Schutzmaßnahmen allein wirkungsvoll gegen Cyber-Bedrohungen schützen, rückt der Nutzer zunehmend in den Fokus. Er ist bei vielen Arten von Cyber-Angriffen noch häufig als das schwächste Glied in der Angriffskette zu sehen. Ohne ein auf allen Ebenen gelebtes Informationssicherheitsmanagement-System ist die Sicherheit sensibler Unternehmensdaten heute kaum noch zu gewährleisten. Die kontinuierliche Sensibilisierung von Mitarbeitern für die bestehenden Risiken ist daher unerlässlich.

Bei dieser Herausforderung setzt der Erfahrungskreis Awareness an: Experten unterschiedlicher Branchen tauschen sich regelmäßig zu ihren Erfahrungen, neuen Erkenntnissen und aktuellen Kampagnen im Bereich der Sensibilisierung vor Cyber-Bedrohungen aus. Der Erfahrungskreis findet regelmäßig an unterschiedlichen Orten statt und steht Teilnehmern der Allianz für Cyber-Sicherheit offen.

Awareness steht in Ihrem Unternehmen ganz oben auf der Agenda und Sie möchten sich gerne mit anderen über Ihre Erfahrungen austauschen? Wir freuen uns über Ihre Kontaktaufnahme! Im Anschluss werden Sie auch über die nächsten Termine des ERFA-Kreises informiert.

Teilnehmer des ERFA-Kreises Awareness

Aktuell umfasst der ERFA-Kreis Awareness mehr als 50 Teilnehmer. Die folgenden Institutionen stimmten einer Veröffentlichung der Institution und Namen zu:

  • BearingPoint, Caroline Neufert
  • Berliner Wasserbetriebe
  • Bundeswehr
  • Bundeskriminalamt
  • DATEV eG, Reinhard Muth
  • J. Schmalz GmbH, Herman Huber
  • ESG, Ralf Kaschow
  • Hecom, Michael Helisch
  • known_sense, Dietmar Pokoyski
  • ML Consulting, Gerd-Jürgen Peter
  • Optische Werke GmbH, Patrick Protze
  • Scope and focus, Ulrike Hauser und Stephan Rehfeld
  • Software AG, Heiko Weber
  • SWK Stadtwerke Kaiserslautern Versorgungs-AG, Dipl.-Geol. Stefan Schütz
  • Telekom Deutschland GmbH, Olaf Hahn
  • TreeSolution Consulting GmbH, Dr. Thomas Schlienger

Bisherige Arbeitsergebnisse des Kreises

Eine umfassende Definition des Begriffes Awareness

Unterstützung bei der Erstellung der Awareness-Umfrage 2015

Definition Sicherheitskultur

"Sicherheitskultur ist das Resultat von individuellen und gruppenspezifischen Werten, Normen und Wissensbeständen, welche das Verhalten im Umgang mit Informationssicherheit beeinflussen."
Zitat (Schlienger T. (2006). Informationssicherheitskulturin Theorie und Praxis: Analyse und Förderung sozio-kultureller Faktoren der Informationssicherheit in Organisationen. Fribourg, iimt University Press.)

Definition Security-Awareness (Kurzfassung)

Security-Awareness (kurz Awareness) ist das Bewusstsein, der Prozess und die Dokumentation mit dem Ziel, Informationssicherheit in unser tägliches Handeln zu überführen.
Vereinfacht gesagt ist aus Sicht der Unternehmen betriebliche Security-Awareness der Prozess einer methodischen, dauerhaften und nachhaltigen Bewusstseinsbildung bei allen Mitarbeitern zum Thema Sicherheit. Ziel ist es, die Cyber- und Informationssicherheit zu stärken und dadurch den Umgang mit Cyber-Risiken und Sicherheitsmaßnahmen zu optimieren.“
Zitat (Teilnehmer des Erfa-Kreises Awareness: known_sense Pokoyski, Dietmer und HECOM Security Awareness Helisch, Michael)

Definition Security-Awareness (Langfassung)

Security-Awareness (kurz Awareness) ist das Bewusstsein, der Prozess und die Dokumentation mit dem Ziel, Informationssicherheit in unser tägliches Handeln zu überführen.
Vereinfacht gesagt ist aus Sicht der Unternehmen betriebliche Security-Awareness der Prozess einer methodischen, dauerhaften und nachhaltigen Bewusstseinsbildung bei allen Mitarbeitern zum Thema Sicherheit. Ziel ist es, die Cyber- und Informationssicherheit zu stärken und dadurch den Umgang mit Cyber-Risiken und Sicherheitsmaßnahmen zu optimieren.

Aufgaben von Security-Awareness sind zum Beispiel:

  • Vermittlung der Ziele der Informationssicherheit.
  • Vermittlung von Security-Regelungen und Erklären der in Richtlinien (Policies) aufgeführten Inhalte.
  • Vermittlung der positiven Abstrahlung auf das Unternehmen bei Erreichung der Ziele und der negativen Folgen bei Non-Konformität bzw. Incidents.
  • Vermittlung der Wirksamkeit des eignen Verhaltens von Mitarbeitern, inklusive möglicher Konsequenzen bei Nicht-Beachtung von Security-Regelungen sowie der persönlichen Benefits, die durch sicherheitskonformes Handeln erzeugt werden.
  • Empowerment, d. h. Vermittlung (praktischer) Kompetenzen hinsichtlich der Umsetzung von Regelungen.
  • Positionierung von Informationssicherheit durch Kommunikation von Security-Themen, -Aufgaben, -Tools und -Protagonisten mit dem Ziel, Bekanntheit und Akzeptanz zu steigern bzw. in der Unternehmenskultur als Teil der Sicherheitskultur zu etablieren.
  • Steigerung des Know-hows der Führungskräfte, damit diese ihren Aufgaben als Security-Vorbild und -Multiplikator gerecht werden können.
  • Modellierung positiver Images nach Außen gegenüber Partnern, Kunden, Dienstleistern, Medien, öffentlicher Verwaltung und weiteren relevanten Zielgruppen der öffentlichen Wahrnehmung eines Unternehmens.
  • Aufdeckung von Widersprüchen in Security-Prozessen mit der Aufforderung zur Thematisierung und zum gemeinsamen Diskurs mit dem Ziel der Optimierung.“

Zitat (Teilnehmer des ERFA-Kreises Awareness: known_sense Pokoyski, Dietmer und HECOM Security Awareness Helisch, Michael)