Ausgangssituation
Kleine (auch Kleinst-) bis mittlere Unternehmen erheben, verarbeiten und nutzen viele sensible Daten mit Hilfe von digitalen IT-Lösungen, unterschätzen jedoch häufig die Risiken und Bedrohungslage, durch immer raffinierter agierende Angreifer. Sorglosigkeit über Informationssicherheit sowie Unkenntnis oder Verletzung von betrieblichen Richtlinien oder nichtexistierende Informationssicherheitsrichtlinien sind Risiken für Unternehmen aller Art und Größe. Vielfältige Schwachstellen sind Sicherheitsmängel und können zudem zukünftig verzögerte Folgen für die KMU/KKU haben.
Zielstellung
Das „Awareness Labor KMU Informationssicherheit“ (ALARM) kreiert innerhalb von drei Jahren ein Gesamtszenario zur Sensibilisierung und Unterstützung der KMU/KKU für Informationssicherheit bis hin zu deren Selbsthilfe. Es entwickelt iterativ, agil und partizipatorisch ein innovatives Prozess-Szenario mit analogen und digitalen erlebnisorientierten Szenarien sowie „Vor-Ort-Angriffen“ und weiteren Überprüfungen, wie z. B. Awareness-Messungen und Tests. Es soll zu der dringend notwendigen Sensibilisierung von Führungskräften und Mitarbeitenden und zu einer gezielten Personalentwicklung in KMU/KKU führen, wie sie derzeit breitenwirksam noch nicht vorhanden ist. Dazu werden Informations- bzw. IT-Sicherheit einerseits im Zusammenhang mit den zunehmend digitalen Arbeitsprozessen konkret (be-)greifbar gemacht und andererseits werden die Menschen emotional berührt und aktiv in die Entwicklung von Maßnahmen einbezogen. Eine nachhaltige und unternehmensweite Informationssicherheitskultur soll damit aufgebaut werden.
Generelles Ablaufszenario des Vorhabens ALARM zur Entwicklung der integrativ verzahnten Sensibilisierungsmethoden und -maßnahmen orientiert an den in KMU/KKU notwendigen Kompetenzprofilen für betriebliche Alltagssituationen inklusive Praxistests, Konzept-Entwicklung, Reifegrad-Aussagen, Handlungshinweisen, mögliche Personen-und Unternehmenszertifizierungen, IT-Sicherheitsstrategie und Nachhaltigkeitsaspekte zum Aufbau einer unternehmensweiten Informationssicherheitskultur (eigene Darstellung).
© BMWi
Umsetzung
Es werden Defizitbereiche wichtiger Geschäftsprozesse systematisch und gemeinsam mit Pilot-KMU und -Handwerksbetrieben anhand konkreter Tätigkeiten erschlossen und Sicherheitsprofile sowie Kompetenzprofile abgeleitet. Um breitenwirksam auch Nachhaltigkeit zu erreichen, werden aktivierende Sensibilisierungsmaßnahmen, die z. T. gemeinschaftlich innerhalb von Teams absolviert werden, analog und digital entwickelt, praktisch vielfältig erprobt und evaluiert. Best-Practice-Anleitungen mit Erfolgsgeschichten der Unternehmen werden bundesweit über assoziierte Transferpartner bekannt gemacht, um weitere Unternehmen anzusprechen. Neuartige betriebliche Awareness-Messungen führen zu Reifegradaussagen für KMU/KKU. Qualitäts- und Ergebnissicherung kombiniert mit Risikomanagement und einer begleitenden Evaluation komplementieren die Wirkungsanalysen.
Mehrwert
In ganzheitlicher Vorgehensweise werden im Projekt unterschiedliche Ansätze für Sensibilisierung innovativ verzahnt. Zudem bietet ALARM als „Übungslabor“ Raum für eigenes Ausprobieren. Damit verbunden ist die Förderung der Risikobewertung der Mitarbeitenden und die Sicherheitsanalysen in KMU/KKU sowie die Unternehmen zu befähigen, selbständig kompetente IT-sicherheitsrelevante Entscheidungen zu treffen. Alle entwickelten Materialien werden am Projektende kostenlos allen Unternehmen per Download oder Online-Zugang zur Verfügung gestellt, so dass bundesweit eine Verbesserung der Awareness und die Erhöhung des IT-Sicherheitsniveaus in Deutschland erreicht werden kann.
Projektlaufzeit
01.10.2020 – 30.09.2023
| Projektnehmer: | Ansprechpartner: |
|---|---|
|
Technische Hochschule Wildau |
Frau Prof. Dr. Margit Scholl / Regina Schuktomow
|
|
Ansprechpersonen Presse- und Medienkommunikation:
Mike Lange / Mareike Rammelt |
