(nach ISO/IEC 27001:2022 und ISO/IEC 27002:2022)

Mitarbeitende spielen eine entscheidende Rolle für die Wirksamkeit der Informationssicherheit. Fehlendes Bewusstsein, unzureichende Kenntnisse oder mangelnde Schulung können dazu führen, dass Sicherheitsrichtlinien nicht eingehalten werden oder Bedrohungen nicht erkannt werden. Dieses Control stellt sicher, dass alle relevanten Personen über angemessenes Informationssicherheitsbewusstsein verfügen und entsprechend ihrer Rolle geschult und ausgebildet werden.

Zweck des Controls

A 6.3 soll gewährleisten, dass Mitarbeitende und relevante externe Personen die Bedeutung der Informationssicherheit verstehen und ihre Aufgaben sicherheitsbewusst ausführen können. Ziel ist es, menschlich bedingte Risiken zu reduzieren, die Einhaltung von Richtlinien zu fördern und die Fähigkeit der Organisation zu stärken, Bedrohungen frühzeitig zu erkennen und angemessen zu reagieren.

Anforderungen und Maßnahmen

1. Festlegung von Zielen für Informationssicherheitsbewusstsein

Organisationen müssen Ziele für Bewusstsein, Ausbildung und Schulung definieren, insbesondere:

• Verständnis der Informationssicherheitsgrundsätze
• Kenntnis relevanter Richtlinien und Verfahren
• Erkennung typischer Bedrohungen (z. B. Phishing, Social Engineering)
• sicherer Umgang mit Informationen und Systemen

Die Ziele müssen an der Rolle und dem Risiko orientiert sein.

2. Entwicklung eines Schulungs- und Awareness-Konzepts

Es muss ein strukturiertes Konzept für Bewusstsein und Schulung bestehen, das unter anderem umfasst:

• regelmäßige Awareness-Maßnahmen für alle Mitarbeitenden
• rollenspezifische Schulungen für besondere Funktionen
• Integration von Informationssicherheit in Onboarding-Prozesse
• Wiederholungs- und Auffrischungsschulungen

Das Konzept muss dokumentiert und regelmäßig überprüft werden.

3. Durchführung regelmäßiger Schulungsmaßnahmen

Schulungen müssen regelmäßig und zielgerichtet durchgeführt werden:

• Basisschulungen für alle Mitarbeitenden
• vertiefende Schulungen für sicherheitsrelevante Rollen
• Schulungen bei Änderungen von Richtlinien oder Bedrohungslagen
• Nutzung geeigneter Schulungsformate

Regelmäßigkeit ist entscheidend für nachhaltige Wirkung.

4. Rollenspezifische Ausbildung

Mitarbeitende mit besonderen Aufgaben benötigen vertiefte Ausbildung:

• ISMS- und Sicherheitsrollen
• IT-Administratoren und Entwickler
• Führungskräfte und Entscheider
• Mitarbeitende mit Zugriff auf besonders schützenswerte Informationen

Die Ausbildung muss den jeweiligen Verantwortlichkeiten entsprechen.

5. Sensibilisierung für aktuelle Bedrohungen

Das Bewusstsein muss an aktuelle Bedrohungen angepasst werden:

• Information über neue Angriffsmethoden
• Weitergabe relevanter Sicherheitshinweise
• Nutzung von Beispielen aus realen Vorfällen
• Sensibilisierung für Meldepflichten bei Auffälligkeiten

Dies erhöht die Reaktionsfähigkeit der Organisation.

6. Überprüfung der Wirksamkeit

Die Wirksamkeit von Schulungs- und Awareness-Maßnahmen muss überprüft werden:

• Feedback der Teilnehmenden
• Auswertung von Tests oder Lernkontrollen
• Analyse von Sicherheitsvorfällen mit menschlichem Faktor
• Anpassung der Inhalte bei Bedarf

So wird sichergestellt, dass Maßnahmen wirksam bleiben.

7. Dokumentation der Schulungsmaßnahmen

Alle Schulungs- und Awareness-Aktivitäten müssen dokumentiert werden:

• Inhalte, Zeitpunkte und Teilnehmende
• Nachweise über Teilnahme und Abschluss
• Aktualisierung von Schulungsunterlagen
• Archivierung gemäß interner Vorgaben

Diese Dokumentation ist wichtig für Audits und Nachweise.

8. Kontinuierliche Verbesserung des Bewusstseins

Informationssicherheitsbewusstsein muss kontinuierlich weiterentwickelt werden:

• Integration von Lessons Learned aus Vorfällen
• Anpassung an neue Risiken und Anforderungen
• Weiterentwicklung von Schulungsformaten
• Berücksichtigung im Management Review

So wird Informationssicherheit dauerhaft im Arbeitsalltag verankert.

Zusammenfassung

A 6.3 fordert, dass Organisationen das Informationssicherheitsbewusstsein ihrer Mitarbeitenden systematisch fördern und durch geeignete Ausbildung und Schulung unterstützen. Durch klare Zielsetzungen, strukturierte Schulungskonzepte, regelmäßige Awareness-Maßnahmen, rollenspezifische Ausbildung sowie Überprüfung der Wirksamkeit wird das Risiko menschlich bedingter Sicherheitsvorfälle deutlich reduziert. Das Control ist ein zentraler Baustein für eine nachhaltige Sicherheitskultur und die Wirksamkeit des Informationssicherheitsmanagementsystems.