Zu Beginn wurde eine konkrete Awareness-Strategie als Grundlage für die Zusammenarbeit erstellt. Diese begleitet die Massnahmen über den gesamten Zeitraum und sorgt für eine effiziente und zielorientierte Vorgehensweise. Die Strategie leistet zudem einen grundlegenden Beitrag zum Entstehen der Sicherheitskultur.

Mit dem Security Awareness Radar® wurde zu Beginn der Zusammenarbeit der aktuelle Stand der Informationssicherheitskultur in der gesamten Gruppe der Mainzer Stadtwerke gemessen. Daraus resultierte die gezielte Schulung der Mitarbeitenden. Mit den E- Learnings aus allen Themenbereichen sollen die wichtigsten Bereiche geschult werden. Um die konkreten Benutzerrichtlinien vom Unternehmen optimal in das Schulungsmaterial mit einzubinden, wurden zusätzliche E-Learnings entwickelt, speziell für die Anforderungen der Mainzer Stadtwerke.

Da die Mainzer Stadtwerke zur kritischen Infrastruktur gehören, haben sie eine gesetzliche Verpflichtung, Anforderungen in den Bereichen Corporate Governance, dem Datenschutz- und IT-Sicherheitsgesetz, sowie strafrechtlichen Aspekten zu erfüllen. Des Weiteren bestehen die normativen Anforderung DIN ISO/IEC 27001 sowie DIN ISO/IEC 27002, welche bei der Planung und Umsetzung miteinbezogen werden müssen.

Die entworfene Awareness-Strategie enthält eine ausführliche Anleitung, welche als Ausgangslage für die Konzeption, Entwicklung und Umsetzung wirksamer und zielgerichteter Awareness-Programme bis hin zur Evaluierung der Programme herangezogen werden kann. Sie nimmt Bezug auf die gesetzlichen und regulatorischen Anforderungen und stellt eine Grundlage, um diese zu erfüllen.

Um eine Sicherheitskultur aufzubauen und zu leben, sollen alle Mitarbeitenden die Verantwortung für die Sicherheit in Ihrem Arbeitsumfeld wahrnehmen und im Umgang mit Daten und Informationen entsprechend angemessen handeln.

Die Zusammenarbeit zwischen den Mainzer Stadtwerken und TreeSolution beinhaltete folgende Themen:

• Analyse der Ausgangslage des Unternehmens und Durchführung einer Bestandsanalyse für die weiterführende Konzipierung strategischer Massnahmen.
• Erstellung einer Awareness-Strategie zur Stärkung der Security Awareness in Kultur und Verhalten.
• Durchführung einer genauen und detaillierten Messung mit dem Security Awareness Radar®.
• Auswertung der Ergebnisse der Messung nach Betrachtung des Bewusstseins, Verhaltens und der Kultur des Unternehmens.
• Einführung der ersten E-Learnings, um das Bewusstsein der Mitarbeitenden zielgerichtet auszubauen.
• Zusätzliche Entwicklung individueller E-Learnings für eine direkte Schulung der Benutzerrichtlinien im Unternehmen.
• Jedes Jahr können somit zielgerichtet Schulungen in den sicherheitsrelevanten Bereichen durchgeführt werden.

Die ganzheitliche Betrachtung der Thematik floss bei der Unterstützung der Erstellung des ISMS und des Sicherheitskonzeptes mit ein. So ergab sich ein umfangreiches Dokument, auf welchem die Schulungen aufgebaut werden konnten. Es dient als Grundlage für eine Kultur der Sicherheit und zur Förderung der «Human Firewall».

Die Resultate des Security Awareness Radar® lieferten ein detailliertes Bild der Informationssicherheit und dem Sicherheitsbewusstsein bei den Mitarbeitenden. Es zeigte sich, welche Themen und Zielgruppen prioritär geschult werden müssen, um das Sicherheitsbewusstsein im Unternehmen zu steigern und die Informationssicherheit in der Unternehmenskultur zu verankern. Dieses Wissen wurde in der Informationssicherheitsstrategie und dem Schulungsmaterial eingebunden.

Durch die Bereitstellung des Schulungsmaterials durch TreeSolution wurden die knappen zeitlichen Ressourcen seitens der Mainzer Stadtwerke minimal beansprucht.

Für die Schulung von Mitarbeitenden, welche keinen PC- Zugang haben, galt es alternative Lösungen zu finden. Selbst diese Herausforderung wurde bewältigt, um diese Mitarbeitenden optimal zu schulen und auch in die Befragung der Messung miteinzubeziehen.

Das umfangreiche Schulungsmaterial bestehend aus über 15 Themen ermöglichte eine tiefgreifende Schulung der Mitarbeitenden. Durch zusätzliche individuell erstellte, spezifisch für die Mainzer Stadtwerke, konnten die Mitarbeitenden noch zielgerichteter in die Thematik eingeführt werden und die Risiken somit weiter sinken.

Die Trainings und Massnahmen wurden von den Mitarbeitenden gut aufgenommen und konnten im Arbeitsalltag umgesetzt und angewendet werden. Dazu die Aussage eines Mitarbeitenden bei der Messungsumfrage:

«Regelmäßige Schulungen/Unterweisungen analog der Arbeitssicherheits- und Brandschutzunterweisung zum Thema Sicherheit halte ich für notwendig, um die Aktualität zu wahren und um alle Beteiligten umfassend zu informieren.»
Mitarbeitender der Mainzer Stadtwerke

Die Mitarbeitenden müssen jährlich Auffrischungskurse absolvieren, wobei regelmässig neue Themen dazu kommen. Auch neue Mitarbeitende werden zu Beginn der Anstellung umfänglich geschult.

Die auf dem Konzept basierten Schulungsmassnahmen können zudem als Nachweis bei einer ISO-Zertifizierung sowie bei jährlichen Re-Zertifizierungen verwendet werden.

Alle geplanten und bisher durchgeführten Massnahmen fördern eine sicherheitsbewusste Unternehmenskultur und tragen so zur «Human Firewall» bei. Durch eine ganzheitliche und kontinuierliche Schulung über einen längeren Zeitraum wird das Wissen über Informationssicherheit stetig erweitert und in die Sicherheitskultur gestärkt.

Das Schulungsmaterial wird regelmässig auf ihre Aktualität hin angepasst und mit neuen ergänzenden Schulungen erweitert.

In Ausblick sind ebenfalls die Lieferanten in Schulungen einzubinden und eine erneute Befragung mit dem Security Awareness Radar® durchzuführen.