Informationssicherheit in der Öffentlichkeit – eine Stolperfalle

28.4.2023

Wann immer man als Beraterin für Informationssicherheit unterwegs ist, begegnen einem Situationen wie diese:

Situation 1:

In einem italienischen Restaurant, in Köln, sitzen neben mir am Tisch vier Frauen im mittleren Alter, die sich lebhaft unterhalten. Da ich allein unterwegs bin und im Restaurant mit Kopfhörern sitzen definitiv nicht mein Stil ist, schwappte der eine oder andere Wortfetzen zu mir herüber. Bei den medizinischen Ausführungen der Schwangerschaft versuche ich noch wegzuhören.

Dann wechselt das Thema zum aktuellen Arbeitgeber einer der vier Frauen und es wird deutlich lauter. Ignorieren oder gar weghören: keine Chance. Während ich genüsslich meinen Wein trinke und die Trüffelpasta genieße (sie war wirklich ausgezeichnet!), erfahre ich unfreiwillig alle Internas des Arbeitgebers, das Fehlverhalten des Chefs, der Kollegen, der möglichen strategische Ausrichtung und den Status zur Übernahme des Unternehmens durch einen amerikanischen Konzern. Natürlich alles immer unter der Nennung sämtlicher Namen der Beteiligten.

Wie kann es zu so einer Situation kommen? Die vier Frauen fühlen sich in ihrer Umgebung wohl und sicher. Sie genießen die Zeit zusammen und vertrauen sich untereinander. So sehr, dass sie sich auch vertrauliche, wenn nicht sogar geheime Dinge erzählen. In so einer Situation kann das eine zum anderen führen und am Ende ist sich keiner der Frauen mehr bewusst, dass sie sich in der Öffentlichkeit befinden. Die Gefährdung der Informationssicherheit und teilweise auch die Missachtung des Datenschutzes ist ihnen nicht bewusst.

Situation 2:

An einem Gate am Flughafen steht ein junger Mann, augenscheinlich ein Berater, und telefoniert. Unüberhörbar muss der Termin für den nächsten Morgen beim Kunden final abgestimmt und letzte Inhalte besprochen werden. Mit einer sehr freundlichen Frau an der anderen Seite der Leitung, die unglaublich auskunftsfreudig ist und sehr sympathisch klingt. Für einen größeren Personenkreis um ihn herum hörbar, da er den Lautsprecher an seinem Mobiltelefon aktiviert hat und sich dieses zum Sprechen vor den Mund hält. Er ist sich der Situation nicht bewusst und konzentriert sich nur auf seine Arbeit. Leider „übersieht er“ das er damit die Vertraulichkeit der Unternehmensdaten gefährdet.

Fazit

In Beiden Situationen gibt es im jeweiligen Arbeitsvertrag mit Sicherheit eine Geheimhaltungsvereinbarung. Im Falle des jungen Beraters sogar eine sehr detaillierte. Je nach Einstiegstermin im Unternehmen ist die Unterzeichnung schon etwas länger her oder noch recht frisch. So oder so, man kann von keinem Mitarbeiter erwarten, dass er sich diese Themen im Zuge der Unterzeichnung des Vertrags durchliest und direkt merkt. Hier wird das Hauptaugenmerk mehr auf Gehalt, Urlaubstage und Benefits liegen – zu diesem Zeitpunkt ein absolut verständlicher Fokus.

Was sollte man tun?

Es ist daher für jedes Unternehmen in jedem Fall empfehlenswert eine gesonderte Schulung zum Thema Informationssicherheit aufzubauen, die der neue Mitarbeiter im Zuge des Onboarding Prozesses absolvieren muss. Und diese kann, der heutigen Zeit entsprechend auch über ein Schulungstool oder via Teams durchgeführt werden. Eine Präsenzschulung wie wir sie klassisch kennen, ist hier nicht notwendig.

Darüber hinaus sollte einmal im Jahr eine Auffrischungsschulung – auch Awarness Schulung genannt – zum Thema Informationssicherheit durchgeführt werden. Und das nicht nur wenn man als Unternehmen eine ISO 27001 Zertifizierung oder ein TISAX® Label anstrebt bzw. bereits erhalten hat. Der Mensch vergisst Dinge, die er nicht regelmäßig wiederholt, daher ist regelmäßige Wiederholung sinnvoll und gut investierte Zeit.

Das Thema „Verhalten beim Arbeiten in der Öffentlichkeit bzw. Daheim“ sollte in jeder Schulung eine übergeordnete Rolle spielen. Und wer jetzt sagt, aber dafür haben wir doch den Zusatz zum Arbeitsvertrag, der sollte noch einmal an die unbeabsichtigte Nichtbeachtung der Geheimhaltungsvereinbarung denken. Es macht durchaus Sinn, Vorgaben und Regelungen, die im Zuge von Mobil Arbeiten und Homeoffice immer wichtiger werden, direkt über gezielte Schulungsinhalte zu vermitteln und nicht nur über einen Zusatz zum Arbeitsvertrag. Darüber hinaus kann an der Stelle noch einmal ein Augenmerk auf das Thema Geheimhaltung gelenkt werden. Kein Mitarbeiter macht so etwas in böser Absicht. Und dennoch kann so viel schief gehen.

So können wir helfen

Gerne unterstützen wir Sie und Ihr Unternehmen beim Aufsetzen eines Awarness Trainings bzw. einer Schulung zum Thema Informationssicherheit. Und sollten Sie darüber hinaus eine ISO 27001 Zertifizierung oder ein TISAX Label anstreben, werfen wir auch hier unsere Beratungskompetenz gerne in den Ring.

Melden Sie sich bei uns. Wir unterstützen Sie.

Unser Blog

Entdecken Sie weitere Artikel

Manche Ideen brauchen einen zweiten Kaffee - und einen offenen Blick.

Hätte mir vor 10 Jahren jemand erzählt, dass ich einmal Beraterin und Auditorin für Informationssicherheit bin, hätte ich wohl gelacht. Ich? In einer männerdominierten Branche? Mit Zertifizierungen, Compliance und Risikoanalysen? Klingt erstmal weit hergeholt – und genau deshalb sooo spannend.

Ich packe meinen Koffer … heute mal anders!

Hier herrscht „Chaos Babe“- Modus: Kisten packen, Kartons stapeln und gleichzeitig unsere aktuellen Kundenprojekte mit voller Konzentration abschließen – es ist einiges los bei uns, und allem gleichzeitig gerecht zu werden, ist gerade die Herausforderung! Aber die Vorfreude auf das, was kommt, macht alles leichter. 🎉

Die Ferrari's gehen wieder auf die Reise!

Kurz vor dem Jahresende haben wir noch einmal richtig viel zu tun – vieleu nserer Kunden haben ihr Ziel erreicht und dürfen stolz auf ihr (finales) TISAX-Label oder ihre ISO 27001-Zertifizierung blicken.
Mit unserer jahrelangen Erfahrung
begleiten wir Sie zu Ihrer Zertifizierung. Für Ihre ideale Informationssicherheit.
ImpressumCompliance
Informationssicherheit
TISAXISO27001NIS2
Gesetzliche Umsetzung
Umsetzung DatenschutzHinweisgeberschutz
Nachhaltigkeit
Über uns
Blog

HINWEIS: TISAX® ist eine eingetragene Marke der ENX Association