Gesamtheitlicher Ansatz der Informationssicherheit Mainzer Stadtwerke mit Verkehrsgesellschaften

Gesamtheitlicher Ansatz der Informationssicherheit Mainzer Stadtwerke mit Verkehrsgesellschaften

Success Story

Für die Mainzer Stadtwerke mit den Verkehrsgesellschaften ist die Optimierung der Informationssicherheit sehr wichtig. Dabei spielt auch die Messung konkreter Massnahmen eine grosse Rolle. Sicherheit ist jedoch ein fortlaufender Prozess, der kontinuierliche Aufmerksamkeit erfordert. Dabei ist die Zertifizierung nach ISO 27001 ein wichtiger Aspekt, welche durch die Vorgehensweisen von TreeSolution erlangt werden kann.

Zahlen und Fakten

Geschulte Personen

1500

Sprachen

Deutsch

Regionen

Stadt Mainz in Deutschland

Dauer

fortlaufend seit 2017

Dienstleistungen

Awareness Strategie, Security Awareness Radar®, E-Learnings, individuell entwickelte Schulungen

Awareness Themen

Clear Desk, Melden von Vorfällen, Umgang mit Passwörtern, Umgang mit E- Mails, Arbeiten unterwegs und zuhause, Kennzeichnung und Klassifizierung von Informationen, mobile Geräte und Datenspeicher, Verhalten im Internet, Schadprogramme, Social Engineering, soziale Medien, Tragen des Firmenausweises und Umgang mit Besuchern, Umgang mit PCs und Notebooks, ...

Security Awareness Befragung

Zu Beginn der Kampagne und wiederholend in bestimmten Zeiträumen

Einzelheiten

Wie sieht die Zusammenarbeit mit TreeSolution aus?

In einem ersten Schritt wurde eine konkrete Awareness- Strategie als Grundlage für die Zusammenarbeit erstellt. Diese begleitet die Massnahmen über den gesamten Zeitraum und sorgt für eine effiziente und zielorientierte Vorgehensweise.

Mit dem Security Awareness Radar® wurde der aktuelle Stand der Informationssicherheitskultur im Unternehmen gemessen.

Daraus resultierte die gezielte Schulung der Mitarbeitenden. Mit dem gesamten Schulungsmaterial von TreeSolution sollen die wichtigsten Bereiche geschult werden. Um die konkreten Benutzerrichtlinien vom Unternehmen optimal in das Schulungsmaterial mit einzubinden, wurden zusätzliche E-Learnings entwickelt, speziell für die Anforderungen der Mainzer Stadtwerke.

Die Ziele der Kampagne

Da die Mainzer Stadtwerke zur kritischen Infrastruktur gehören, liegt das grundlegende Ziel in der Zertifizierung zur ISO 27001. Gleichzeitig muss für die dauerhafte Zertifizierung jährlich ein neuer Nachweis über die Wirksamkeit des Informationssicherheitsmanagement- systems erbracht werden. Darüber hinaus sollen alle Mitarbeitenden die Verantwortung für die Sicherheit in Ihrem Arbeitsumfeld wahrnehmen und im Umgang mit Daten und Informationen entsprechend angemessen handeln.

Die Zertifizierung allein könnte mit Standard-Schulungen problemlos erreicht werden. Um jedoch das optimale Ergebnis für das Unternehmen zu erzielen, wurde entschieden, zusätzliche, individuelle Kampagnen zu erstellen. Die bearbeiteten Themen sind sicherheitsrelevant und konnten die Mitarbeitenden noch zielgerichteter in die Thematik einführen und die Risiken weiter senken. Somit konnten die Aktivitäten nachhaltig wirksam gemacht werden.

Mit Hilfe von TreeSolution konnten so die jährlichen Nachweise für die Zertifizierung einfach erbracht werden, welches ebenfalls zu einer deutlichen Verbesserung der Sicherheitskultur führte.

Inhalte der Zusammenarbeit

Die Zusammenarbeit zwischen den Stadtwerken und TreeSolution beinhaltete folgende Themen:

  • Analyse der Grundsituation des Unternehmens und Durchführung einer Bestandsanalyse für die weiterführende Konzipierung strategischer Massnahmen
  • Erstellung einer Awareness Strategie zur Stärkung der Security Awareness in Kultur und Verhalten
  • Durchführung einer genauen und detaillierten Messung mit dem Security Awareness Radar®
  • Auswertung der Messergebnisse nach der Betrachtung des Bewusstseins, Verhaltens und der Kultur des Unternehmens
  • Daraufhin wurde direkt mit der Einführung der ersten E-Learnings begonnen, um das Bewusstsein der Mitarbeiter zielgerichtet auszubauen.
  • Zusätzliche Entwicklung individueller E-Learnings für eine direkte Schulung der Benutzerrichtlinien im Unternehmen
  • Jedes Jahr können somit zielgerichtet Schulungen in den sicherheitsrelevanten Bereichen durchgeführt werden.
  • Weiterhin wird mit Hilfe des Security Awareness Radar® der aktuelle Stand gemessen und die Strategie zielgerichtet angepasst

Resultate und Nutzen für die Mainzer Stadtwerke

Die Zusammenarbeit zwischen den Stadtwerken und TreeSolution ist ausschlaggebend für die jährliche Zertifizierung nach ISO 27001. Dabei werden die knappen zeitlichen Ressourcen seitens der Stadtwerke so wenig als möglich beansprucht. Ebenfalls galt es alternative Lösungen für die Schulung von Mitarbeitern der Verkehrsgesellschaften zu finden, welche keinen PC- Zugang haben. Selbst diese Herausforderungen konnten bewältigt werden, um diese Mitarbeitenden optimal zu schulen und auch in die Befragung der Messung mit einbeziehen zu können.

Die Resultate des Security Awareness Radar® lieferten ein detailliertes Bild der Informationssicherheit und dem Sicherheitsbewusstsein bei den Mitarbeitenden. Zudem wurde ersichtlich, welche Themen und Zielgruppen prioritär geschult werden müssen, um das Sicherheitsbewusstsein im Unternehmen zu steigern und die Informationssicherheit in der Unternehmenskultur zu verankern. Dieses Wissen wurde im Informationssicherheitskonzept, den News und Blogbeiträgen sowie weiterem Schulungsmaterial eingebunden.

Bei den Mitarbeitenden sorgte die Initiative ebenfalls für effiziente Umsetzung der gelernten Massnahmen und sie wurde gut aufgenommen. Dazu die Aussage eines Mitarbeiters bei der Messungsumfrage:

«Regelmäßige Schulungen/Unterweisungen analog der Arbeitssicherheits- und Brandschutzunterweisung zum Thema Sicherheit halte ich für notwendig, um die Aktualität zu wahren und um alle Beteiligten umfassend zu informieren.»

Mitarbeiter der Mainzer Stadtwerke

Alle geplanten und bisher durchgeführten Massnahmen fördern eine sicherheitsbewusste Unternehmenskultur und tragen so zur «Human Firewall» bei. Durch eine ganzheitliche und kontinuierliche Lernreise über einen längeren Zeitraum wird das Wissen über Informationssicherheit stetig erweitert und die Sicherheitskultur etabliert.

Die nächsten Schritte

Um das Sicherheitspotenzial der Stadtwerke weiter auszunutzen, werden kontinuierlich Messungen zur Optimierung einzelner Bereiche durchgeführt. Dazu kann eine Aussage getroffen werden, wie nachhaltig die aktuelle Kampagne bei den Mitarbeitenden angekommen ist und in welchen Bereichen weitere Massnahmen und Schulungen erforderlich sind.

Dabei geht es nicht nur darum, Schulungen durchzuführen, sondern auch die bestehenden Kampagnen mit begleitendem Material durch unseren «Awareness Club» einfach zu erweitern.

In Ausblick ist ebenfalls die Lieferanten in Schulungen einzubinden und die Mitarbeitenden für den Umgang mit Microsoft Teams und Office 365 zu sensibilisieren.

Möchten Sie kostenlos unser Whitepaper erhalten?
Bitte füllen Sie das untenstehende Formular aus:

Vielen Dank! Wir haben Ihre Anfrage erhalten!
Laden Sie die Datei herunter
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.

Bitte kontaktieren Sie uns direkt unter info@treesolution.com.