17. Februar 2010 - Datenschutz-Schulung

Von Rollenspielen und der Suche nach einem Phantom

Sicherheitsrichtlinien und technische Schutzmaßnahmen helfen der Datensicherheit wenig, wenn die Mitarbeiter die Richtlinien nicht beachten und die Schutzfunktionen nicht einsetzen. Intensivieren Sie deshalb Ihr Programm zur Mitarbeitersensibilisierung: Setzen Sie auf Hilfsmittel wie Rollenspiele, Poster und Mitarbeiterzeitungen für mehr Datenschutz.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Datenschutz-Schulung muss motivieren

Wer die Sicherheit personenbezogener Daten und anderer vertraulicher Informationen nachhaltig fördern will, muss sich etwas einfallen lassen.

Eine einfache Frontalschulung kann allenfalls informieren. Aber motivieren wird sie in der Regel leider nicht.

Ohne Motivation aber, ohne persönlich gefühlte Betroffenheit beim Thema Datenschutz werden auch in Zukunft viele der typischen Mitarbeiterfehler auftreten wie

  • das Notieren von Passwörtern auf Notizzetteln,
  • das Verlassen des Computers ohne weitere Schutzvorkehrungen (Bildschirmpasswort) oder
  • das unvorsichtige Öffnen von Mail-Anhängen.

Datenschutz in geheimer Mission

Nicht umsonst wird der eigene Mitarbeiter oft als das schwächste Glied in der IT-Sicherheit bezeichnet. Das ist umso gefährlicher, als in der letzten Zeit vermehrt gezielte Online-Angriffe auf einzelne Mitarbeiter stattfinden (Spear Phishing).

Unternehmen wie Microsoft greifen deshalb zu besonderen Awareness-Mitteln: Dort wurde eine Spezialfirma damit beauftragt, die Sensibilität der Mitarbeiter für IT- und Datenrisiken zu testen.

Die Aktion unter dem Namen „Jagt das Phantom“ basierte auf einer Reihe von simulierten Angriffen, darunter

  • das Ausnutzen von ungesicherten Computern während der Mittagspause,
  • der Versuch, sich einen unerlaubten Zutritt ins Gebäude zu erschleichen,
  • der scheinbare Anruf des Administrators mit der Frage nach dem Passwort und
  • der nächtliche Diebstahl ungesicherter Notebooks durch ein „Phantom“.

Stärken Sie das schwächste Glied

Sie müssen aber nicht gleich zu einer Spezialfirma greifen, die über mehrere Wochen eine Angriffsserie simuliert. Für die Mitarbeitersensibilisierung können Sie auch günstigere Mittel einsetzen, die ebenfalls einen deutlichen Effekt haben können, wie Datenschutz-Videos und eine Serie von Kurzschulungen zu ganz speziellen, aktuellen Themen, die die Mitarbeiter direkt betreffen und bei denen die Mitarbeiter aktiv involviert werden.

Spannend sind auch Rollenspiele im Datenschutz.

Rollenspiele können aktivieren

Dazu bitten Sie die Teilnehmer an Ihrer Datenschutz-Schulung, sich in Kleingruppen zu überlegen, wie sie es anstellen würden, wenn sie zum Beispiel an das Passwort eines anderen Nutzers kommen wollten.

Diese Versuche sollten dann die Kleingruppen abwechselnd als Rollenspiel vortragen, ein Teilnehmer ist dann der Computer-Nutzer, ein anderer der gespielte Angreifer. Im Anschluss geben Sie Tipps zur richtigen Abwehr.

In Absprache mit der IT-Leitung und der Systemadministration könnten Sie auch die Verwendung ungeprüfter USB-Sticks als Rollenspiel umsetzen lassen. Ein Mitarbeiter spielt einen Besucher, der seinen USB-Stick nur kurz einmal an einen Firmen-Rechner anschließen möchte. Bei Verwendung des ungefährlichen Test-Virus von EICAR (zu finden unter http://www.eicar.org/anti_virus_test_file.htm) kann auch gleich die Reaktion des Anti-Malware-Programms vorgeführt werden.

Wissenstest sorgt für Lerneffekt

Neben den Rollenspielen sorgen aktuelle Informationen über Datenrisiken und ein zugehöriger Wissenstest für den notwendigen Lerneffekt und die gewünschte Sensibilisierung.

Sie müssen die aktuellen Inhalte und den Wissenstest nicht selbst entwickeln, sondern können Werkzeuge wie den WEKA NewsMaker nutzen, um in kurzer Zeit eine eigene Mitarbeiterzeitung Datenschutz mit Wissensüberprüfung zur Hand zu haben.

Damit stärken Sie Ihr individuelles Awareness-Programm. Denn Sie können Layout und Inhalte des NewsMakers bei Bedarf ohne weiteres anpassen.

Produkttipp
WEKA NewsMAKER Mitarbeiter- und Mandantenzeitung Datenschutz
Mit dem Newsmaker zur eigenen Datenschutz-Zeitung für Mitarbeiter und Mandanten!
Testen Sie jetzt 14 Tage, wie leicht es ist, eine Datenschutz-Newszeitung herauszugeben!

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln