Warum wird im Projekt „KMU.Einfach Sicher.“ kein Risk Score eingesetzt?
Beginnen wir mit einer vereinfachten Beschreibung einer Risikoanalyse, bzw. eines Risk Scores.
Im Zentrum dieses Verfahrens stehen die Geschäftsführung, die IT-Abteilung, die vorhandene IT-Technik und die IT-Organisation.
Eine Bewertung der Risiken im Unternehmen wird durchgeführt, indem Mitarbeitende der Geschäftsführung, wie auch der IT, befragt werden.
Hierbei werden umfangreiche und tiefgreifende Fragen zur IT-Infrastruktur, der eingesetzten Hard- und Software, der Unternehmensorganisation und der bisher erfolgten Schutzmaßnahmen gestellt. Diese Fragen sind selten ohne tiefes Fachwissen beantwortbar, weshalb die Erhebung von IT-Spezialisten*innen begleitet wird. Ein besonderer Fokus liegt auf sicherheitsrelevanter Hard- und Software, aber auch auf der Implementation von technischen und/oder organisatorischen Maßnahmen zur Verbesserung der IT-Sicherheit. Aus diesem Grund wird so eine Risikobewertung im Regelfall mit externer Hilfe durchgeführt. Auf Basis der Antworten lässt sich ein sogenannter „Risk Score“, ein numerischer Wert, erstellen. Dieser beziffert die Wahrscheinlichkeit für die Unternehmens-IT Opfer einer Cyberattacke, von Umwelteinflüssen, interner Spionage oder von Infrastrukturausfällen zu werden.
Nun der Ansatz unseres Projekts, ein Modulfilter statt eines Risk Scores.
Im Zentrum des Verfahrens stehen alle Mitarbeitenden eines Unternehmens.
Unser Projekt konzentriert sich auf die Mitarbeitenden in Unternehmen, unabhängig von ihrem IT-Sicherheitswissen. Die Bedürfnisse und Anforderungen, die diese an eine Weiterbildung im Bereich der IT-Sicherheit haben, unterscheiden sich von Firma zu Firma, aber auch von Branche zu Branche.
Es überrascht also wenig, dass die gesamte Auswahl an Weiterbildungsthemen und -inhalten für eine zielgruppengerechte und -individuelle Unterstützung, nicht immer im vollen Umfang benötigt wird.
Um zielgerichtet Weiterbildungsinhalte auf der Weiterbildungsplattform zu identifizieren, die den meisten Mehrwert für die Mitarbeitenden haben, ist der Modulfilter entwickelt worden. Auf Basis von einigen Filterfragen, die auf das Vorwissen, das Verhalten oder auch die Sensibilität für IT-Sicherheit zielen, werden anhand der gegebenen Antworten die individuell relevanten Weiterbildungsmodule ausgewählt und empfohlen.
Dabei ist, im Vergleich zum klassischen Risk-Score, besonders wichtig, dass die Single- und Multiple-Choice Fragen so einfach und verständlich sind, dass diese auch ohne IT-Fachwissen beantwortet werden können.
Der Vergleich
Eine einfache Übersicht.
Risk Score (die IT-Expert*innen) | Modulfilter (die Mitarbeitenden) |
IT-Risiko-Expert*innen suchen ein Unternehmen auf, haben dort definierte und fachlich kompetente Ansprechpartner*innen denen sie Fragen stellen. Dies ist ein aufwändiger Vorgang, der viel Zeit in Anspruch nimmt. | Auf der Weiterbildungsplattform werden den Mitarbeitenden einfache und leicht verständliche Fragen gestellt, die sich auf den Arbeitskontext in KMUs beziehen. Diese sollten in kurzer Zeit beantwortet werden können. |
Die IT-Risiko-Expert*innen erhalten fachspezifische Antworten. Die Fragen und Antworten sind nach Unternehmensbereichen sortiert. So kann für jeden Bereich das Risiko einer Bedrohung eingeschätzt werden, vielfach visualisiert mit Methoden der Statistik. | Mit den Antworten der Mitarbeitenden werden individuelle Modulpakete für die Mitarbeitenden identifiziert, um eine möglichst hohe Relevanz der einzelnen Maßnahmen zu bieten. |
Das Unternehmen erhält normalerweise eine ausführliche Risikomatrix über sämtliche Unternehmensbereiche. | Den Mitarbeitenden wird eine Weiterbildung angeboten, sobald der Weiterbildungsbedarf identifiziert wird. |
Aufgrund dieser Einschätzung kann die Unternehmensleitung und über entsprechende Maßnahmen entscheiden. | Diese Fragen und Antworten geben nur Auskunft über die Mitarbeitenden, nicht über das ganze Unternehmen. Es liegt in der Entscheidung der Mitarbeitenden, ob und inwieweit sie sich weiterbilden wollen, aber auch in der, der Geschäftsführung, ob es während der Arbeitszeit durchgeführt werden darf. |
Die Aufmerksamkeit und das benötigte Basiswissen zur IT-Sicherheit machen Mitarbeitende zu einem wichtigen Schutz (einer menschlichen Firewall) gegen Angriffe auf die Unternehmens-IT, hier setzt das Projekt an.
Unser Modulfilter wird in Kürze auf der Weiterbildungsplattform von KMU. Einfach Sicher. erscheinen.
Melden Sie sich einfach an, aktivieren Sie in Ihrem Profil das Kästchen bei „persönliche Informationen“, damit bleiben Sie, über E-Mails von uns, immer auf dem Laufenden.
Bernd Jeuschede
Mitarbeiter im Arbeitsbereich
Informations- und Medientechnologien (IMT)