26. Mai 2014 - Planung der Datenschutzunterweisung

Nutzen Sie die typischen Angriffsmuster für den Schulungsplan

Die Zahl der Datenrisiken und Online-Bedrohungen ist so hoch, dass Sie diese kaum alle in Ihrer Datenschutzunterweisung behandeln können. Bei der Priorisierung Ihrer Schulungsinhalte helfen Ihnen aktuelle Analysen zu den häufigsten Angriffstypen.

Robert Churchill/iStock/Thinkstock Viele Angriffsmuster und nur ein Schutz. Doch dieser Schutz kann nicht jeden Angriff abwehren (Bildquelle: Thinkstockphotos/Robert Churchill)

Eine Frage der Verhältnismäßigkeit

Betrachtet man die Sicherheits- und Datenrisiken, wie sie ENISA (Europäische Agentur für Netz-und Informationssicherheit) in den Threat Landscape Reports darstellt, sieht man eine Matrix, in der für nahezu alle Angriffsmethoden und IT-Technologien steigende Gefahren prognostiziert werden. Sich gegen alle Risiken gleichermaßen zu schützen, kann kaum ein Unternehmen. Das wird auch gar nicht verlangt.

Stattdessen sollten Unternehmen als Basis ihres Datensicherheitskonzeptes eine Risikoanalyse vornehmen und den tatsächlichen Schutzbedarf ermitteln. Dann werden sie eine Datensicherheit anstreben, die verhältnismäßig ist, wie es das Bundesdatenschutzgesetz (BDSG) vorsieht. Was für den technischen Datenschutz gilt, sollte aber auch bei der Datenschutzunterweisung berücksichtigt werden.

Priorisieren Sie die Schulungsthemen

Damit die technische Abwehr, die IT-Sicherheitssysteme, die relevanten Bedrohungen adressieren, empfiehlt sich die Nutzung von Threat Monitoring oder Threat Intelligence. Diese Lösungen dienen der Vorhersage von Bedrohungen in nahezu Echtzeit. Für die Planung Ihrer Datenschutzunterweisung müssen und können Sie natürlich nicht so weit gehen. Nur in Ausnahmefällen werden Sie ganz aktuelle Fälle von Datenpannen oder Hacker-Angriffen als Gegenstand einer Schulung verwenden. Für den Schulungsalltag brauchen Sie einen längerfristigen Plan. Hierbei helfen auch Sicherheitsanalysen, allerdings auf Quartals- oder gar Jahresebene.

92 Prozent aller Attacken basieren auf neun Angriffstypen

Wie der 2014 Data Breach Investigations Report von Verizon zeigt, lassen sich ganze 92 Prozent aller untersuchten IT-Attacken auf nur neun Angriffsmethoden zurückführen. Diese Erkenntnis bietet eine gute Grundlage, die Schulungsinhalte zu Angriffen passend zu deren Häufigkeit und Bedeutung zu organisieren. Dabei müssen Sie in der Regel noch nicht einmal alle neun Angriffstypen in der Datenschutzunterweisung behandeln, denn einige davon sind nur für bestimmte Branchen relevant.

Der Verizon-Bericht nennt als wesentliche Angriffsmuster Attacken auf Kassensysteme (POS), Online-Spionage, Attacken auf Web-Anwendungen, Täuschung von Mitarbeiterinnen und Mitarbeitern, Schadsoftware, Benutzerfehler / ungewollter Datenabfluss, Abfangen von Kreditkartendaten, Gerätediebstahl / Geräteverlust und DoS-Attacken (Blockade von Diensten). Wenn Ihr Unternehmen zum Beispiel kein POS-Systeme einsetzt und nicht mit Kreditkartendaten umgeht, fallen diese Angriffsmethoden schon einmal heraus.

Nutzen Sie den Branchen-Fokus

Wenn Sie nun überlegen, mit welchen Themen Sie beginnen sollten, also welche Angriffsmuster die höchste Priorität für Ihre Datenschutzunterweisung haben sollten, hilft Ihnen ein Blick auf die branchenabhängige Verteilung der Attacken. Bei Produktionsunternehmen zum Beispiel basieren 52 Prozent der Angriffe aus einer Kombination aus DoS-Attacken und Online-Spionage. Im Gesundheitswesen stehen 46 Prozent der Datenpannen mit Gerätediebstahl oder Geräteverlust in Verbindung. In der öffentlichen Verwaltung sind es insbesondere Benutzerfehler, Innentäter oder getäuschte Mitarbeiter, Schadsoftware sowie Geräteverlust / -diebstahl, die zu IT-Sicherheitsvorfällen führen.

Keine Frage: Eine solche Priorisierung erfasst nicht alle möglichen Datenrisiken, sondern lässt Lücken. Doch bei den beschränkten zeitlichen Möglichkeiten zur Datenschutzunterweisung führt die Orientierung an führenden Sicherheitsanalysen zu einer sinnvollen Schulungsplanung. Nutzen Sie für Ihre Planung der kommenden Datenschutzunterweisungen am besten die aktuelle Arbeitshilfe, die die wichtigsten Angriffsmethoden und deren Relevanz darstellt.

Oliver Schonschek
Oliver Schonschek ist
Diplom-Physiker, IT-Fachjournalist und IT-Analyst.


Download:


Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln