ISMS-Einführung
Systematisches Vorgehen beim IT-Sicherheitsgesetz
GAP-Analyse
Im nächsten Schritt werden die wesentlichen Prozesse in den relevanten Bereichen analysiert und mittels GAP-Analyse wird ermittelt, wo das System den Kriterien des IT-SiG noch nicht entspricht und welche ganz konkreten Aufwände zu erwarten sind. Schließlich geht es an die Umsetzung der geforderten Standards, die oftmals auch geänderte Prozesse und Verhaltensweisen der Mitarbeiter einschließen.
Chancen der ISMS-Einführung nutzen
Angesichts dieser beachtlichen Herausforderungen sollten die Unternehmen das ISMS möglichst frühzeitig in Angriff nehmen und dabei bedenken: Die Einführung ist nicht nur lästige Pflicht, sie erhöht die IT-Sicherheit deutlich und macht die Firmen damit auch fit für die Digitalisierung, die neue Risiken und Angriffspunkte mit sich bringt.
- Belohnung erwünscht
Belohnen Sie Mitarbeiter, die sich an die Unternehmensvorgaben beziehungsweise Sicherheitsrichtlinien halten. Das wird diese wiederum anspornen, ihr Verhalten beizubehalten. Ein Beispiel für Gamification wäre in diesem Zusammenhang, dass Mitarbeiter digitale (oder physische) Plaketten, Pokale oder Auszeichnungen erhalten - etwa wenn Sie es schaffen, 100 E-Mails ohne Compliance-Verstoß zu verschicken. - Anreize schaffen
Wenn ein Angestellter in ihrem Unternehmen bereits eine beeindruckende Sammlung an digitalen Auszeichnungen erlangt hat, bieten Sie ihm die Möglichkeit, diese gegen "echte" Vorteile einzutauschen - zum Beispiel Geschenkgutscheine oder Sonderzulagen. - Offener Dialog
Durch den Einsatz von Gamification können Unternehmen einen neuen Umgang mit dem Thema Datenschutz fördern. Statt externe Spezialisten gähnend langweilige Vorträge über Compliance und Datenschutz halten zu lassen, könnte ein offener Dialog zwischen den Mitarbeitern entstehen, in dem diese sich - auf Basis ihrer Erfolge, Herausforderungen und Erfahrungen im Gamification-System - aus freien Stücken über Best Practices austauschen. - Bewusstseinsbildung
Cybersecurity-Trainings sind am effektivsten, wenn sie einmal pro Jahr abgehalten werden. Allerdings hält sich ein großer Teil der Unternehmen nicht an diesen Zyklus, in der Regel aus Zeit- und/oder Kostengründen. Durch den Einsatz von Gamification sind Mitarbeiter eher in der Lage, eigenes Fehlverhalten anzuerkennen, die Folgen ihres Handelns zu erkennen und ihr Verhalten auf lange Sicht zu ändern. - Engagement fördern
Sie sollten Ihre Angestellten dazu ermutigen, ihre Auszeichnungen am Arbeitsplatz zur Schau zu stellen. Außerdem sollten Sie ihren Führungskräften auftragen, gutes Verhalten dadurch zu belohnen, dass eine monatliche Bestenliste veröffentlicht wird (Mitbestimmung beachten!). Ranglisten und Auszeichnungen sorgen dafür, dass die Spielteilnehmer sofort ins Game hineingezogen werden. Davon abgesehen fördert ein solches Vorgehen die interne Kommunikation, wodurch wiederum das Engagement aller Mitarbeiter gestärkt wird. - Fachkräfte finden
Immer noch ringt die IT-Branche mit einem ausgeprägten Fachkräftemangel - insbesondere wenn es um das Thema IT-Sicherheit geht. Einige Organisationen - etwa die britische Cyber Security Challenge - haben es sich zur Aufgabe gemacht, dieses Problem mit jährlichen Wettbewerben zu lösen. Bei diesen Veranstaltungen werden die Teilnehmer mit simulierten Bedrohungssituationen konfrontiert, die sie dann auf Grundlage ihrer Fähigkeiten meistern müssen. Die Gewinner bekommen in der Regel lukrative Job-Angebote von großen IT-Unternehmen oder Regierungsinstitutionen, die die Challenge mit Sponsorgeldern unterstützen. - Kontrolle ist besser
Natürlich kann der Einsatz von Gamification nur dann Früchte tragen, wenn die Mitarbeiter das Gelernte auch auf Szenarien in der echten Welt anwenden. Um das sicherzustellen, sollten Unternehmen unbedingt die Effektivität ihrer Gamification-Bemühungen an der Entwicklung des realen Risikopotentials messen. Zu diesem Zweck sollten Sie regelmäßige, interne Prüfungen durchführen, um herauszufinden welche Mitarbeiter trotz aller Bemühungen immer noch ein Sicherheitsrisiko darstellen.
Bei Energieversorgen erhöhen Smart Meters, Smart Grids, aber auch Smart Homes die Bedeutung der IT-Sicherheit. So wurden etwa in Finnland mit einem Hackereingriff die Heizungen in mehreren Wohnblöcken ausgeschaltet.
Beispiele in der Lebensmittelbranche sind etwa Wifi-Zugänge oder Navigationsapps bei den großen Retailern oder das verstärkte Sammeln personenbezogener Kundendaten. Konkret bedeutet das: Wenn ein Unternehmen ein ISMS-System einführt, sollte es seine gesamte IT auch gleich auf die Digitalisierung vorbereiten.
EU-Datenschutz-Grundverordnung und EU-Direktive berücksichtigen
Und umgekehrt: Erneuert ein Unternehmen im Zuge der Digitalisierung seine IT und beseitigt die typischen Schwachstellen, sollte es das ISMS-System gleich miteinführen. Zudem sollten auch die neue EU-Datenschutz-Grundverordnung sowie die EU-Direktive zum Know-how-Schutz gleich mitberücksichtigt werden. Beide müssen ohnehin umgesetzt werden.
Wichtig ist es, dass der CIO, CISO oder der ISMS-Verantwortliche die Unterstützung des Vorstandes hat und die IT-Sicherheit im Unternehmen zur Chefsache erklärt wird. Denn nur dann wird eine ganzheitliche und systematische Umsetzung gelingen. Überhaupt keine gute Idee hingegen ist es, vor dem ISMS die Augen zu verschließen. Denn dann drohen den Unternehmen Bußgelder von bis zu 100.000 Euro. Deutlich schwerer aber kann ein Imageschaden wiegen, sollte das Versäumnis öffentlich bekannt werden oder es tatsächlich zu einem gravierenden Sicherheitsvorfall kommen.