Gesamtheitlicher Ansatz der Informationssicherheit Mainzer Stadtwerke mit Verkehrsgesellschaften

Gesamtheitlicher Ansatz der Informationssicherheit Mainzer Stadtwerke mit Verkehrsgesellschaften

Success Story

Die Mainzer Stadtwerke (MSW) sind der Dienstleister für die Strom-, Wasser- und Gasversorgung der Stadt Mainz. Der Bereich Verkehrsgesellschaften ist zudem für den öffentlichen Personenverkehr in der Stadt zuständig. Die Dienstleistungen sind im Bereich der Grundversorgung und daher ein wichtiger Bestandteil einer Stadt oder Gemeinde. Seit mehreren Jahren beziehen die Mainzer Stadtwerke die Dienstleistungen von TreeSolution und schulen mit verschiedenen E-Learnings ihre Mitarbeitenden.

Geschulte Personen

1500

Sprachen

Deutsch

Regionen

Stadt Mainz in Deutschland

Dauer

fortlaufend seit 2017

Dienstleistungen

Awareness-Strategie, Befragung mit dem Security Awareness Radar®, E-Learnings, individuell entwickelte Schulungen

Security Awareness-Strategie

Zu Beginn der Zusammenarbeit. Die Strategie dient als Ausgangslage für die Konzeption, Entwicklung und Umsetzung wirksamer und zielgerichteter Awareness-Programme bis hin zur Evaluierung der Programme.

Security-Awareness-Befragung

Zu Beginn der Zusammenarbeit.

Themen der Awareness- Schulungen

Verwendung des gesamten Themenportfolios von TreeSolution. Erstellung spezifischer Kurse im Bereich Projektbeschaffung, Leistungsverantwortung und verschiedenen Compliance-Themen.

Schritt für Schritt zu einer Sicherheitskultur

Zu Beginn wurde eine konkrete Awareness-Strategie als Grundlage für die Zusammenarbeit erstellt. Diese begleitet die Massnahmen über den gesamten Zeitraum und sorgt für eine effiziente und zielorientierte Vorgehensweise. Die Strategie leistet zudem einen grundlegenden Beitrag zum Entstehen der Sicherheitskultur.

Mit dem Security Awareness Radar® wurde zu Beginn der Zusammenarbeit der aktuelle Stand der Informationssicherheitskultur in der gesamten Gruppe der Mainzer Stadtwerke gemessen. Daraus resultierte die gezielte Schulung der Mitarbeitenden. Mit den E- Learnings aus allen Themenbereichen sollen die wichtigsten Bereiche geschult werden. Um die konkreten Benutzerrichtlinien vom Unternehmen optimal in das Schulungsmaterial mit einzubinden, wurden zusätzliche E-Learnings entwickelt, speziell für die Anforderungen der Mainzer Stadtwerke.

Die Ziele der Umsetzungsmassnahmen

Da die Mainzer Stadtwerke zur kritischen Infrastruktur gehören, haben sie eine gesetzliche Verpflichtung, Anforderungen in den Bereichen Corporate Governance, dem Datenschutz- und IT-Sicherheitsgesetz, sowie strafrechtlichen Aspekten zu erfüllen. Des Weiteren bestehen die normativen Anforderung DIN ISO/IEC 27001 sowie DIN ISO/IEC 27002, welche bei der Planung und Umsetzung miteinbezogen werden müssen.

Die entworfene Awareness-Strategie enthält eine ausführliche Anleitung, welche als Ausgangslage für die Konzeption, Entwicklung und Umsetzung wirksamer und zielgerichteter Awareness-Programme bis hin zur Evaluierung der Programme herangezogen werden kann. Sie nimmt Bezug auf die gesetzlichen und regulatorischen Anforderungen und stellt eine Grundlage, um diese zu erfüllen.

Um eine Sicherheitskultur aufzubauen und zu leben, sollen alle Mitarbeitenden die Verantwortung für die Sicherheit in Ihrem Arbeitsumfeld wahrnehmen und im Umgang mit Daten und Informationen entsprechend angemessen handeln.

Inhalte der Zusammenarbeit

Die Zusammenarbeit zwischen den Mainzer Stadtwerken und TreeSolution beinhaltete folgende Themen:

  • Analyse der Ausgangslage des Unternehmens und Durchführung einer Bestandsanalyse für die weiterführende Konzipierung strategischer Massnahmen.
  • Erstellung einer Awareness-Strategie zur Stärkung der Security Awareness in Kultur und Verhalten.
  • Durchführung einer genauen und detaillierten Messung mit dem Security Awareness Radar®.
  • Auswertung der Ergebnisse der Messung nach Betrachtung des Bewusstseins, Verhaltens und der Kultur des Unternehmens.
  • Einführung der ersten E-Learnings, um das Bewusstsein der Mitarbeitenden zielgerichtet auszubauen.
  • Zusätzliche Entwicklung individueller E-Learnings für eine direkte Schulung der Benutzerrichtlinien im Unternehmen.
  • Jedes Jahr können somit zielgerichtet Schulungen in den sicherheitsrelevanten Bereichen durchgeführt werden.

Resultate und Nutzen für die Mainzer Stadtwerke

Die ganzheitliche Betrachtung der Thematik floss bei der Unterstützung der Erstellung des ISMS und des Sicherheitskonzeptes mit ein. So ergab sich ein umfangreiches Dokument, auf welchem die Schulungen aufgebaut werden konnten. Es dient als Grundlage für eine Kultur der Sicherheit und zur Förderung der «Human Firewall».

Die Resultate des Security Awareness Radar® lieferten ein detailliertes Bild der Informationssicherheit und dem Sicherheitsbewusstsein bei den Mitarbeitenden. Es zeigte sich, welche Themen und Zielgruppen prioritär geschult werden müssen, um das Sicherheitsbewusstsein im Unternehmen zu steigern und die Informationssicherheit in der Unternehmenskultur zu verankern. Dieses Wissen wurde in der Informationssicherheitsstrategie und dem Schulungsmaterial eingebunden.

Durch die Bereitstellung des Schulungsmaterials durch TreeSolution wurden die knappen zeitlichen Ressourcen seitens der Mainzer Stadtwerke minimal beansprucht.

Für die Schulung von Mitarbeitenden, welche keinen PC- Zugang haben, galt es alternative Lösungen zu finden. Selbst diese Herausforderung wurde bewältigt, um diese Mitarbeitenden optimal zu schulen und auch in die Befragung der Messung miteinzubeziehen.

Das umfangreiche Schulungsmaterial bestehend aus über 15 Themen ermöglichte eine tiefgreifende Schulung der Mitarbeitenden. Durch zusätzliche individuell erstellte, spezifisch für die Mainzer Stadtwerke, konnten die Mitarbeitenden noch zielgerichteter in die Thematik eingeführt werden und die Risiken somit weiter sinken.

Die Trainings und Massnahmen wurden von den Mitarbeitenden gut aufgenommen und konnten im Arbeitsalltag umgesetzt und angewendet werden. Dazu die Aussage eines Mitarbeitenden bei der Messungsumfrage:

«Regelmäßige Schulungen/Unterweisungen analog der Arbeitssicherheits- und Brandschutzunterweisung zum Thema Sicherheit halte ich für notwendig, um die Aktualität zu wahren und um alle Beteiligten umfassend zu informieren.»
Mitarbeitender der Mainzer Stadtwerke

Die Mitarbeitenden müssen jährlich Auffrischungskurse absolvieren, wobei regelmässig neue Themen dazu kommen. Auch neue Mitarbeitende werden zu Beginn der Anstellung umfänglich geschult.

Die auf dem Konzept basierten Schulungsmassnahmen können zudem als Nachweis bei einer ISO-Zertifizierung sowie bei jährlichen Re-Zertifizierungen verwendet werden.

Alle geplanten und bisher durchgeführten Massnahmen fördern eine sicherheitsbewusste Unternehmenskultur und tragen so zur «Human Firewall» bei. Durch eine ganzheitliche und kontinuierliche Schulung über einen längeren Zeitraum wird das Wissen über Informationssicherheit stetig erweitert und in die Sicherheitskultur gestärkt.

Die nächsten Schritte

Das Schulungsmaterial wird regelmässig auf ihre Aktualität hin angepasst und mit neuen ergänzenden Schulungen erweitert.

In Ausblick sind ebenfalls die Lieferanten in Schulungen einzubinden und eine erneute Befragung mit dem Security Awareness Radar® durchzuführen.

Möchten Sie kostenlos unser Dokument erhalten?
Bitte füllen Sie das untenstehende Formular aus:

Vielen Dank! Wir haben Ihre Anfrage erhalten!
Laden Sie die Datei herunter
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.

Bitte kontaktieren Sie uns direkt unter info@treesolution.com.

Would you like to receive our document for free? Please fill out the form below:

Thank you very much! We have received your request!
Download file
Oops! Something went wrong when submitting the form.
Please contact us directly at  info@treesolution.com.