Fachartikel, 30.04.2009
Perspektive Mittelstand
IT-Sicherheit
So stärken Sie das Datenschutz-Bewusstsein im Betrieb
Um einen maximalen Datenschutz in Unternehmen zu gewährleisten, reichen technische Schutzmaßnahmen allein nicht aus.  Denn ohne ein entsprechend starkes Datenschutz-Bewußtsein, bleiben viele Datenschutzrichtlinien graue Theorie.
Ihre Unterweisungen und Datenschutz-Schulungen für die Mitarbeiter und die verschiedenen Unternehmensbereiche sind bestimmt reich gefüllt an Informationen über gesetzliche Vorgaben und Normen, beinhalten Anleitungen zur Steigerung der Datensicherheit, Hinweise auf aktuelle Sicherheitslücken und Schwachstellen, die Risiken eines Fehlverhaltens und Empfehlungen zum richtigen Umgang mit personenbezogenen Daten. Und das ist gut so, denn Datenschutzwissen gilt es zu vermitteln. Doch das Wissen allein genügt nicht.

Gut informiert, aber schlecht umgesetzt?

Bei einer Online-Befragung „Bewusstseinswandel im Datenschutz“ von TNS Infratest im Auftrag von Microsoft und dem Deutschen Digital Institut im November 2008 fühlten sich mehr als die Hälfte der Befragten (57,1 Prozent) gut bis äußerst gut über Vorkehrungen zum Schutz ihrer Daten im Internet informiert.

Doch die Befragten waren sich weitgehend einig, dass Technik alleine nicht ausreichend schützt. Wissen und Kompetenz beim Umgang mit Informationstechnologie waren ihrer Meinung nach unabdingbar.

Wissen und Verhalten klaffen oft auseinander

Ohne eine Verhaltensänderung bei dem einzelnen Nutzer bleibt das Datenschutz-Wissen leider graue Theorie. So kann es durchaus sein, dass jemand alles über das Angeln weiß, aber es will einfach kein Fisch beißen. Die Überführung in die Praxis ist beim Angeln noch recht einfach, die richtige Ausrüstung vorausgesetzt. Doch wie kann in einer Schulung ein echter Praxisbezug im Datenschutz hergestellt werden, der zu einer Verhaltensänderung führen kann?

Datenschutz-Training ohne Risiko

Natürlich soll niemand dazu verleitet werden, seine Angel nach Daten auszuwerfen, also testweise selbst Datenfischer zu werden, um persönlich zu erleben, wie leicht es oftmals ist, Daten zu stehlen.

Vielmehr sollten die Anwender im Unternehmen realitätsnah mit den Datenrisiken in Kontakt kommen. Dabei dürfen aber keine echten Daten ins Spiel kommen, und es darf auch keine echte Gefahr für die Anwender oder das Netzwerk bestehen.

Versuchsweise einen Computervirus auf den USB-Speicherstift zu laden und diesen an die Mitarbeiter auszugeben, um die Reaktion zu testen, ist eben kein Weg, um das Datenschutz-Bewusstsein durch parktische Erfahrung zu steigern.

Abstrakte Risiken erlebbar machen

Aber Risiken, die man sich nicht konkret vorstellen kann, werden in der Regel unterschätzt. Sie sollten also einen gefahrlosen Weg suchen, die Datenrisiken erlebbar zu machen, ohne echte Risiken einzugehen.

Ein gutes Beispiel, wie so etwas möglich ist, liefert Microsoft in Zusammenarbeit mit der Ludwig-Maximilians-Universität München (LMU): den Internet Risk Behaviour Index (IRBI).
Dahinter verbirgt sich ein Online-Training zur IT-Sicherheit, bei dem Punkte für das richtige Verhalten gegeben und letztlich ein Wert für das Sicherheits- und Datenschutz-Bewusstsein ermittelt wird.

Kein Multiple-Choice-Test, sondern eine Simulation

Ähnlich wie ein angehender Pilot nicht direkt dem Risiko ausgesetzt wird, eine echte Maschine alleine zu fliegen, können Internetnutzer bei IRBI die Online-Gefahren selbst erleben, ohne dass ihr Computer verseucht oder ausspioniert wird.

Zu den dort simulierten Internetsituationen, die ein Datenrisiko in sich bergen, gehören zum Beispiel

  • die Einrichtung eines drahtlosen Internetzugangs (WLAN),
  • die Registrierung für einen Web-2.0-Dienst (wie Social Networks),
  • der Empfang einer E-Mail mit Dateianhang und
  • die scheinbare Nachricht der eigenen Bank.

Dabei werden Oberflächen, Dialoge und Bildschirmmasken genutzt, die möglichst realitätsnah aussehen.

Je nach Verhalten erhält der Nutzer Punkte sowie ein Feedback zu der gerade durchgeführten Aktion. So kann man sein Wissen besser einschätzen, das Verhalten kontrollieren und zusätzlich noch einiges über Internetsicherheit lernen.

QUERVERWEIS
Praxiswissen
Datenschutz kompakt
Sind Sie sich immer sicher, dass Sie Ihre Aufgaben im Datenschutz korrekt ausführen? Datenschutz kompakt bietet auch Einsteigern das Gefühl, im Datenschutz alles richtig zu machen. Praktische Handlungsanleitungen und konkrete Arbeitshilfen ermöglichen es, den Datenschutz sicher umzusetzen.
Weitere Informationen http://www.weka.de/datenschutz/9257454--~lp~1920~index_ban_rect.html
ZUM AUTOR
Über Oliver Schonschek
Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Oliver Schonschek studierte Physik an der Universität Bonn mit Abschluss zum Dipl.-Phys. Anschließend war er in verschiedenen Tätigkeitsfeldern aktiv, darunter in der IT, vor allem in der Qualitätssicherung, im Qualitätsmanagement und für Sicherheit und Datenschutz. Seit 2006 ist Herr Schonschek freiberuflicher Systemberater sowie Autor und Fachjournalist
Datenschutz PRAXIS c/o WEKA MEDIA GmbH & Co. KG
Römerstraße 4
86438 Kissing

+49-8233-230
WEITERE ARTIKEL VON DATENSCHUTZ PRAXIS C/O WEKA MEDIA GMBH & CO. KG
Über Perspektive Mittelstand

Die Perspektive Mittelstand ist eine unabhängige, branchenübergreifende Business-Plattform zur Förderung der Leistungs- und Wettbewerbsfähigkeit kleiner und mittelständischer Unternehmen und ihrer Mitarbeiter. Ziel der Initiative ist es, über hochwertige Informations-, Kommunikations- und Dienstangebote rund um den unternehmerischen und beruflichen Alltag die Wissensbildung, Kommunikation und Interaktion von und zwischen Existenzgründern, Unternehmern, Fach- und Führungskräften und sonstigen Erwerbstätigen zu unterstützen. Weitere Informationen zur Perspektive Mittelstand unter: www.perspektive-mittelstand.de