Anwenderausbildung im
Datensicherheitsbereich
Copyright (C) 02/1995 by Howard FuhsInhalt:
Erläuterung bestehender Datensicherheitsmaßnahmen
Erläuterung von Gefahren für die Datensicherheit
Gesetzesgrundlagen der Datensicherheit
Einleitung
Der Computer ist heute aus dem geschäftlichen Leben nicht mehr wegzudenken. Es werden täglich gewaltige Mengen an Daten von Computeranwendern verarbeitet, die keine oder nur eine kurze Einweisung auf ein Computersystem bekommen haben. Diese überwiegende Mehrzahl der Anwender weiß nur wie ein Programm richtig bedient wird und hat in aller Regel kein Wissen über die genaue Funktionsweise von der Hardware oder dem Betriebssystem. Solchen Anwendern gibt man nun das mitunter wichtigste Gut eines Unternehmens zur Weiterverarbeitung in die Hände. Nämlich die Datenbestände. Das es hier zu Pannen und Unfällen kommen muß ist geradezu vorprogrammiert.
Das primäre Problem bei Datenpannen ist in der Regel eine mangelhafte oder nicht vorhandene Ausbildung der Anwender im Bereich der Datensicherheit. In vielen Unternehmen wurden in den letzten Jahren mitunter erhebliche Anstrengungen unternommen um Datensicherheitsmaßnahmen einzuführen, es herrscht aber nach wie vor die Meinung es sei betreibswirtschaftlich nicht vertretbar Datensicherheitsschulungen für die Anwender durchzuführen. Dieses Argument ist auch kaum widerlegbar, denn es gibt keine zuverlässige Statistik welche die finanziellen Schäden erfasst die durch schlecht ausgebildete Anwender entstehen. Für das Jahr 1993 wurde in den USA eine Studie angefertigt, wonach die amerikanische Wirtschaft rund 4 Milliarden Dollar pro Jahr durch Datenverluste verliert, wobei ca. 80% der Datenverluste durch Nachlässigkeiten und Irrtümer von schlecht ausgebildeten Anwendern verursacht werden. Und man kann davon ausgehen, das die berühmte Dunkelziffer noch wesentlich höher liegt. Ohne konsequente Schulung der Anwender wird sich in diesem Bereich auch mittelfristig nichts ändern, denn Datenschutzsysteme sind oftmals nur so gut wie der Computeranwender, der die Datensicherheitsmaßnahmen durchführen soll. Ein Anwender, der zum Thema Datensicherheit und die dazu verwendeten Systeme nicht ausgebildet wurde, wird die Systeme nicht oder gar falsch einsetzen und die Resultate falsch interpretieren. Mit schlecht ausgebildeten Anwendern ist kein vernünftiger und wirksamer Datenschutz zu betreiben. Es sollte dem Anwender ebenfalls klar gemacht werden, daß es auch in seinem Interesse ist, wenn Daten optimal geschützt sind.
Wie sollte nun eine entsprechende Datensicherheitsausbildung für Anwender aussehen?
Es sollte auf keinen Fall eine Ausbildung zum Fachmann sein. Hier würde der Anwender mit unnötig viel Wissen belastet werden welches ihm bei der täglichen Arbeit nicht viel nützt und auch sehr schnell wieder vergessen geht. Niemand der in der Fahrschule seinen Führerschein macht muß wissen wie ein Motor funktioniert um ein Auto richtig führen zu können.
Sensibilisierung
Der erste Schritt in einer Datensicherheitsausbildung sollte eine Sensibilisierung des Anweders darstellen. Es muß dem Anwender klar gemacht werden, welches wichtige Gut er in Form von Datenbeständen bearbeitet. Zu dieser Sensibilisierung gehört vor allen Dingen das Vorführen von Datenunfällen. Es hat sich in der Vergangenheit gezeigt, das es nicht ausreichend ist einem Anwender in einem langweiligen Seminar zu erzählen was alles passieren kann. Datenunfälle müssen auf einem Testsystem vorgeführt werden. Kein normaler Anwender kann mit dem abstrakten Begriff eines Computervirus und dessen Funktionsweise unmittelbar etwas anfangen. Nachdem er aber die vernichtende Wirkungsweise eines Computervirus sozusagen live gesehen hat wird ihm eher verständlich warum Datensicherheitsmaßnahmen sein müssen. Eine solche Sensibilisierung trägt erheblich zur Akzeptanz von Datensicherheitsmaßnahmen in einem Unternehmen bei.
Erläuterung bestehender Datensicherheitsmaßnahmen
Diese Maßnahme kann zeitlich gesehen einhergehen mit der Sensibilisierung des Anwenders. Hier werden dem Anwender die in einem Unternehmen eingeführten Datensicherheitsmaßnahmen erklärt. Inhalt der Erklärung sollte sein:
- A) Wie sieht die Datensicherheitsstrategie für das Unternehmen aus?
- B) Um welche einzelnen Maßnahme handelt es sich dabei (Backup, Antiviren-Maßnahmen, usw.)?
- C) Was wird mit dieser Maßnahme bezweckt? Regelmäßige Sicherung der Datenbestände, Computervirenvorbeugung usw.
- D) Wie funktioniert die Maßnahme?
- E) Wie wird die Maßnahme korrekt angewandt und bedient?
- F) Auf welche besonderen Vorkommnisse ist zu achten? Fehlermeldungen, verdächtige oder ungewöhnliche Vorgänge usw.
- G) Wer ist im Falle von Problemen sofort zu benachrichtigen?
Die Erläuterung von eingeführten Datensicherheitsmaßnahmen sollte mit einem praktischen Training unterstützt werden. Der Anwender hat hier unter der Aufsicht eines Seminarleiters die Möglichkeit die Handhabung der Datensicherheitsmaßnahmen im Learning By Doing" Verfahren zu trainieren. Damit entfallen im späteren alltäglichen Einsatz Unsicherheiten des Anwenders gegenüber der für ihn neuen Software. Nach der Durchführung einer solchen Schulung war in der nachfolgenden Arbeitspraxis zu bemerken, das (a) die Anwender Datensicherheitsmaßnahmen aktzeptierten und von selbst (ohne Aufforderung) durchführten und (b) eine stark reduzierte Fehlerrate bei der Bedienung und Anwendung der Datensicherheitsmaßnahmen.
Erst wenn ein Anwender die hier geschilderten Ausbildungsmaßnahmen erfolgreich durchschritten hat sollte er vom Systemadministrator Zugriffsrechte auf einen Computer oder das Computernetzwerk erhalten.
Erläuterung von Gefahren für die Datensicherheit
Dem Anwender müssen ebenfalls bekannte und allgegenwärtige Gefahren für die Datensicherheit geschildert werden. Es sollte eine möglichst umfangreiche Schilderung erfolgen denn Datensicherheit erstreckt sich nicht nur auf Maßnahmen die unmittelbar an Computern durchgeführt werden, sondern in diesen Themenkomplex gehören ebenso die richtige Handhabung von Akten, die korrekte Vernichtung von Abfallpapier durch Aktenvernichter, Zutrittsrestriktionen für bestimmte Gebäudebereiche mit sensiblen Datenbeständen oder Computeranlagen, korrekte Lagerung von Datenbeständen und vor allen Dingen die Gefahr des Social Engineering".
- A) Welche Gefahr besteht?
- B) Wie kann die Gefahr erkannt werden?
- C) Was kann man gegen diese Gefahr unternehmen?
Gesetzesgrundlagen der Datensicherheit
Dieser Ausbildungsschritt ist besonders für Anwender gedacht, die in einem Unternehmen personenbezogene Daten verarbeiten (z.B. in der Personalabteilung). Diese Anwender sollten auf alle Fälle über die Gesetzesgrundlagen der Datensicherheit informiert sein.
Regelmäßige Information
Der Anwender sollte während seiner Tätigkeit im Unternehmen mehr oder weniger regelmäßig über Datensicherheitsbelange informiert werden. Dies kann in Form einer E-Mail Nachricht, einer Beilage in der firmeninternen Zeitschrift oder einem kurzen Rundschreiben oder Merkblatt geschehen. Je nach Bedarf kann eine solche Informationsmitteilung alle 3-4 Monate ohne viel Mühe herausgegeben werden. Bei der Einführung oder Durchführung von neuen Datensicherheitsmaßnahmen sollte der Anwender auf alle Fälle umfassend informiert werden. Eventuell sollten neue Schulungen durchgeführt werden welche die neue Verfahrensweise oder die neu eingesetzte Software allgemeinverständlich erklären.
Es ist ohne weiteres möglich, mit einem den Bedürfnissen im Unternehmen angepassten Ausbildungskonzepts die Datenverarbeitung wesentlich sicherer zu machen und vielen Gefahrenquellen vorzubeugen.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 02/1995 by Howard Fuhs