Informationssicherheits-Sensibilisierungs- und Schulungsrichtlinie

Die Informationssicherheits-Sensibilisierungs- und Schulungsrichtlinie (P08) etabliert einen formalen, organisationsweiten Sensibilisierungs- und Schulungsrahmen, um sicherzustellen, dass sämtliches Personal, Auftragnehmer und Drittdienstleister ihre Informationssicherheitsverantwortlichkeiten verstehen. Sie schreibt umfassende Schulungen vor, die die Compliance mit ISO/IEC 27001:2022 und weiteren führenden globalen Rahmenwerken unterstützen. Das Dokument beschreibt ein risikobasiertes Sensibilisierungs- und Schulungsprogramm, das verlangt, dass Security-Awareness-Schulungen kontinuierlich durch Onboarding, regelmäßige Auffrischungsschulungen und ereignisgesteuerte Schulungsmaßnahmen adressiert werden, angepasst an sich entwickelnde Bedrohungen und regulatorische Anforderungen. Diese Richtlinie definiert einen klaren Geltungsbereich und legt fest, dass alle Benutzer mit Zugriff auf Informationssysteme der Organisation oder Einrichtungen der Organisation – ob interne Benutzer, Zeitarbeitskräfte, Auftragnehmer oder Drittanbieter – teilnehmen müssen. Die Anforderungen umfassen Erstschulungen zur Sicherheits-Sensibilisierung, rollenspezifische Module für Funktionen wie Entwickler oder hochprivilegierte Benutzer sowie Sensibilisierungskampagnen. Bereitstellungsmechanismen umfassen E-Learning, virtuelle trainergeführte Schulungssitzungen, persönliche Briefings, Simulationen und Multimedia-Assets, mit jährlichen Auffrischungsschulungen oder zusätzlicher Schulung, die durch Sicherheitsvorfälle oder wesentliche rechtliche/technologische Änderungen ausgelöst wird. Detaillierte Governance-Anforderungen stellen sicher, dass alle Benutzer durch zugängliche, inklusive Bildungsinhalte zu wesentlichen Themen wie Phishing-Resistenz, Passworthygiene und regulatorische Verpflichtungen angeleitet werden. Die Funktionen Personalwesen und Chief Information Security Officer (CISO) sind zentral für die Pflege von Schulungsnachweisen, die Sicherstellung, dass neue Mitarbeitende und Personen mit Rollenänderungen Fälligkeitstermine einhalten, sowie die Nachverfolgung des Abschlusses über ein Lernmanagementsystem. Nichteinhaltung führt zu progressiven Disziplinarmaßnahmen – von automatisierten Erinnerungen bis hin zu Entzug von Zugriffsrechten und Eskalation. Regelmäßige Phishing-Simulationen und Sensibilisierungskampagnen sind vorgeschrieben; ihre Ergebnisse steuern die Verfeinerung der Inhalte und die Eskalation gezielter Nachschulungen, wenn Risiken wiederholt festgestellt werden. Ausnahmebehandlung wird über einen dokumentierten, risikobasierten Genehmigungsprozess definiert, und die Richtlinie legt starken Schwerpunkt auf regelmäßige Richtlinienänderungen, Inhaltsaktualisierungen und Auditbereitschaft, um die fortlaufende Ausrichtung an ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA und COBIT 2019 sicherzustellen. Damit bildet die Richtlinie eine messbare, sich weiterentwickelnde Verteidigung gegen menschenbezogene Schwachstellen, die für die Aufrechterhaltung der organisatorischen Resilienz wesentlich sind.