17. Mai 2016 - Mitarbeitersensibilisierung

Vier typische Fehler bei Datenschutzschulungen vermeiden

Die Unterweisung im Datenschutz ist nicht nur rechtlich vorgesehen, sondern auch absolut notwendig. Denn viele Angriffe versuchen, die Unkenntnis der Mitarbeiter auszunutzen. Leider steht es aber nicht sonderlich gut um die Schulung in Unternehmen.

Datenschutzschulung: Tipps, wie Sie Fehler vermeiden Zu wenig Zeit, zu geringes Budget: Nur 2 der klassischen Schwachstellen bei Datenschutzschulungen (Bild: Rawpixel Ltd / iStock / Thinkstock)

Datenschutz-Bewusstsein ist hoch, Datenpannen passieren trotzdem

Eigentlich sollten der Datenschutz und die Datensicherheit keine Schwierigkeiten haben, in das Bewusstsein von betrieblichen und privaten Nutzern vorzudringen. Immerhin sind die Medien voll von Berichten über Cyber-Attacken und Datenpannen.

Tatsächlich zeigen Umfragen wie der eco Sicherheitsreport 2016, dass das Bewusstsein wächst, allerdings auch die Risiken:

  • Von den 580 befragten Unternehmen empfinden 47 Prozent die Bedrohungslage als „stark wachsend“ und weitere 46 Prozent als „wachsend“.
  • Sieben Prozent gehen von einer gleichbleibenden Bedrohung aus.
  • Einen Rückgang hat kein einziges der befragten Unternehmen ausgemacht.

Offensichtlich gibt es weiterhin einen hohen Bedarf, sich die Datenrisiken bewusster zu machen, sonst wäre die Zahl der Datenpannen und erfolgreichen Hacker-Angriffe rückläufig und nicht steigend. So identifiziert der Sicherheitsreport

  • den Datenschutz,
  • die Sensibilisierung der Mitarbeiter und
  • die Verschlüsselung der Kommunikation

als die drei wichtigsten IT-Sicherheitsthemen im Jahr 2016.

Auch eine Studie von Palo Alto Networks ergibt ein ähnliches Bild:

  • Das Fehlverhalten von Mitarbeitern wird als größte Gefahr erachtet,
  • gefolgt von gezielten Attacken über das Internet, Phishing und APTs (Advanced Persistent Threats).

Unternehmen sollten deshalb ihre Datenschutzschulung unter die Lupe nehmen und die folgenden Punkte vermeiden.

Mängel bei Datenschutzschulungen vermeiden

Fehler 1: Kleine Unternehmen lassen die Schulung ausfallen

73 Prozent der Unternehmen im deutschen Mittelstand verzichten laut dem 5. DsiN-Sicherheitsmonitor Mittelstand auf IT-Schulungen ihrer Mitarbeiter. Doch gerade Social Engineering ist ein beliebtes Einfallstor für Cyberkriminelle, so dass die kleinen und mittleren Unternehmen eine gefährliche Flanke in ihrer Abwehr offen lassen. „Nur wer auch die Gefahren kennt, kann sich wappnen. Mittelständler sind gut beraten, hier Aufmerksamkeit zu investieren und Aufklärungsangebote zu nutzen“, so zum Beispiel Fabian Wehnert, BDI-Abteilungsleiter Mittelstand und Familienunternehmen.

Fehler 2: Mangel an Unterstützung und Skills

Wie die SANS-Studie „Securing the Human Security Awareness Report“ ergab, mangelt es den Personen, die die Schulung durchführen, oft an den wesentlichen Soft Skills wie Change Management, Lerntheorie und Verhaltensmodellierung. Oft sind die bewährten Konzepte und Techniken zur Änderung von Verhalten und Kultur nicht bekannt genug.

Hier sollten Datenschutzbeauftragte die Angebote nutzen, die es auf dem Markt gibt, darunter vorbereitete Schulungen, die sie individuell anpassen können, Leitfäden zur Didaktik und Awareness-Kampagnen, die für den betrieblichen Einsatz entwickelt und erprobt sind.

Fehler 3: Zu niedriges Budget für Schulungen

Über 50 Prozent der Schulungsbeauftragten im Bereich Datensicherheit hat ein Budget von 5.000 US-Dollar oder weniger zur Verfügung, so das SANS Institut. Viele Datenschutzbeauftragte würden sich freuen, wenn sie mit ihrem Schulungsbudget in die Richtung von 5.000 US-Dollar kämen.

Auch wenn die Zahlen der SANS-Studie durch die länderübergreifende Auswertung nicht einfach auf die Situation in Deutschland übertragbar sind, bleibt festzustellen: Verglichen mit dem möglichen Schaden, den Nutzerfehler im Datenschutz verursachen können, ist das Budget für Schulungen und Unterweisungen im Datenschutz meistens deutlich zu niedrig.

Weisen Sie als Datenschutzbeauftragter daher nicht nur auf die rechtliche Situation hin, die Schulungen und entsprechende Budgets fordert. Sprechen Sie auch die großen Schäden durch mögliche Datenpannen an. Ein Kosten-Nutzen-Vergleich fällt meist sehr positiv aus.

Fehler 4: Zeitmangel bei Schulungsbeauftragten

Die zuvor zitierte SANS-Studie zeigt auch die engen zeitlichen Grenzen für Schulungsbeauftragte auf: Über 65 Prozent der Befragten berichteten, sie würden weniger als ein Viertel ihrer Zeit auf Awareness der Mitarbeiter verwenden. 35 Prozent gaben an, aus der Führungsetage nicht die notwendige Unterstützung zu bekommen.

Bedenkt man, dass gleichzeitig das Fehlverhalten von Mitarbeitern als größte Gefahr erachtet wird, ist das Missverhältnis bei der verfügbaren Zeit für Schulungen im Bereich Datenschutz und Datensicherheit schnell ersichtlich. Die aktuelle Checkliste fasst die Punkte nochmals zusammen, die Unternehmen bei ihrer Schulung verbessern sollten.


Download: Fehler bei Datenschutzschulungen vermeiden


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker (Universität Bonn), Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen.

Anzeige

Mitarbeiterschulung im Datenschutz: Die Zeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln