CAMPUS:AKTUELL - Newsletter der Universität
3/2014
Security Awareness: Sensibel werden für Sicherheitsfragen
[12.03.2014] Die Verletzung von IT-Sicherheitsrichtlinien und unvorsichtiges Verhalten durch Mitarbeiter/innen kann für Unternehmen leicht zum Problem werden. Mit der Entwicklung eines individuellen Bewusstseins um die Wichtigkeit und Relevanz sicherheitsorientierten Verhaltens im eigenen Unternehmen haben sich Studierende des Masters "Kognitions- und Medienwissenschaften- Komedia" in Zusammenarbeit mit einem Weseler Unternehmen jetzt beschäftigt. Die vorgeschlagenen Maßnahmen und eine Evaluation haben die Kommilitonen im Februar vorgestellt.
Master "Kognitions- und Medienwissenschaften- Komedia" / Wintersemester 2013/14
Forschungsprojekt: „Entwicklung von Massnahmen zur Sensibilisierung der Mitarbeiter/innen im Rahmen von Know-how kritischen Projekten"
Problemstellung:
• Verletzung von Sicherheitsrichtlinien durch Mitarbeiter, Verstöße gegen die unterschriebene Geheimhaltungserklärung
• Technischen Lösungen werden zwar immer ausgefeilter (Virenschutz, Firewalls, Vergabe von Zugriffsrechten etc), greifen für sich alleine genommen aber zu kurz. Zusätzlich zu den technischen Lösungen ist das Sicherheitsbewusstsein der Mitarbeiter/innen von großer Wichtigkeit, die ggf. durch unvorsichtiges oder sorgloses Verhalten diese raffinierten technische Lösungen wirkungslos werden lassen.
• Unvorsichtiges Verhalten: Daten auf einem USB Stick mitnehmen, Freunden/Bekannten von Projekt-interna auserzählen, geheime Daten offen auf dem Schreibtisch liegen lassen etc..
Das Projekt mit den Studierenden im M.sc.KOMEDIA
Entwicklung von Massnahmen zur Sensibilisierung hinsichtlich der Security Awareness im Rahmen von Know-how kritischen Projekten bei der Fa. ISIS -IC.
Zielgruppen:
1) der eigenen festen Mitarbeiter/innen,
2) PraktikantInnen und Studierenden im Rahmen von Abschlussarbeiten, die im Unternehmen geschrieben/betreut werden
Was haben die Studierenden erarbeitet?
• Systematisierung von Know-how-kritischen Inhalten (Aspekten/Themen/Bereiche, Wer bei uns ist ein "Geheimnisträger" ? Woran erkenne ich ein "Geheimnis"?)
• Entwicklung von Massnahmen (z.B. Leitfaden) für die betreuende Person des/der Master-Studierenden zur Sensibilisierung
• Entwicklung von Massnahmen, zur Umsetzung der Verschwiegenheitserklärung in Verhalten (Verhaltenswirksamkeit), z.B. Entwicklung eines Verständnistests zur Verschwiegenheitserklärung ("Fahrschulbogen" Case-basiert/MCQ)
• Summative Evaluation (Wirksamkeitsmessung) der Massnahmen
Die Massnahmen die entwickelt wurden:
Massnahmen für feste Mitarbeiter/innen
• Leitfaden und Materialien für die MitarbeiterInnen der ISIS IC im Umgang mit know-how kritischen Projekten
• Sensibilisierungs-Tool für die festen MitarbeiterInnen zur jährlichen Auffrischung
• Überarbeitung der Geheimhaltungserklärung (GHE) und Erläuterung von Bespielen von möglichen Verstössen, damit man als Praktikant/in oder Mitarbeiter/in überhaupt versteht, was man da unterschreibt, wenn man die GHE
Beispiel aus dem Sensibilisierungs-Tool für Mitarbeiter/innen:
"Sie möchten Ihre Mittagspause auswärts verbringen und in einem Restaurant essen gehen. Sie haben an dem Tag sehr viel zu tun und beschließen daher, Ihre Arbeitsunterlagen mitzunehmen und sie während des Mittagessens durchzulesen. Während des Essens möchten Sie kurz die Waschräume aufsuchen. Worauf müssen Sie achten?
a) Sie müssen sich keine Gedanken machen, Sie können die Unterlagen unbesorgt liegen lassen.
b) Sie sind dazu verpflichtet, Ihre Unterlagen mitzunehmen bzw. immer bei sich zu tragen, da Unbefugte wie Kellner/innen oder Gäste einen Einblick in die Unterlagen erhalten könnten.
c) Sie sollen immer Acht auf Ihre Unterlagen oder Datenträger (USB Stick) geben und diese sicherheitshalber in Ihre Tasche packen, die sie jeder Zeit bei sich tragen, wenn Sie kurz den Tisch verlassen.
d) Sie bitten einfach kurz die nette Kellnerin, auf die Unterlagen aufzupassen."
Massnahmen für Praktikant/innen, Personen die ihre Abschlussarbeit im Unternehmen schreiben
Ein web-basiertes Informations- und Sensibilisierungs-Tool fuer PraktikantInnen,
Aufbau des Tools:
1. Erläuterung von vertraulichen Informationen und Geheimnissen im Unternehmen
- Überprüfung des Verständnisses durch Fragen, die beantwortet werden müssen
2. Video-Cases, in denen Praktikant Tobi dabei beobachtet wird
a) wie er auf die Frage seiner Eltern antwortet, an welchem Projekt er bei der Firma gerade arbeitet
b) wie er in einen Blog schreibt, was er in der Firma, in der er Praktikum macht, an diesem Tag erlebt hat
c) wie er von einer Freundin beim Kaffee gefragt wird, wie denn sein Praktikum läuft und er von seinen Erlebnissen bei dem Unternehmen erzählt
d) wie er während seiner Arbeitszeit zufälligerweise den Anruf eines Medienvertreters entgegennimmt, der nach einem noch geheimen Projekt der Firma fragt.
Nach jedem Video muss der/die Praktikant/in dann angeben, ob Tobi richtig oder falsch reagiert und geantwortet hat, und erhält danach ein Feedback bzw. Informationen was korrekt gewesen wäre und warum
3) abschliessender Wissenstest zur Geheimhaltungserklärung und den korrekten Verhaltensweisen