Cybersecurity: IT-Awareness

CEMA-Autor: Tim Völpel, IT-Security Spezialist CEMA

Der menschliche Faktor

IT-Sicherheitstrainings werden häufig vernachlässigt, dabei sind sie teils sogar sinnvoller als manch teure Technik. Denn um die immer raffinierteren Schutzsysteme zu umgehen, setzen Cyberkriminelle vermehrt auf die größte Schwachstelle: den Menschen.

„Unser Netzwerk ist gut abgesichert“ – so ist vielerorts zu hören. Doch viele IT-Verantwortliche haben nur die technischen Sicherheitssysteme wie Firewall, Virenschutz oder Intrusion Detection im Blick. Doch diese greifen nicht gegen die Gefahr im Innern des Unternehmens. Denn Studien zufolge stellen Mitarbeiter das größte Sicherheitsrisiko dar. Nicht aus Boshaftigkeit, sondern weil sie unbedacht sensible Informationen über Social Media oder am Telefon preisgeben, unsichere WLANs nutzen sowie gutgläubig auf schadhafte Links oder Anhänge klicken.

Unterm Strich ist jeder nicht auf solche Situationen vorbereitete Mitarbeiter ein potenzieller Mittäter. Dennoch: Viele Organisationen haben es bislang nicht geschafft, das Sicherheitsrisiko durch Anwender in den Griff zu bekommen. Sensibilisierung und Schulung fristen ein Schattendasein. So verzichten laut „Deutschland sicher im Netz“ knapp drei Viertel aller kleinen und mittelständischen Firmen auf Awareness-Trainings ihrer Mitarbeiter. Oder Unternehmen führen diese nur sporadisch durch, wie eine Umfrage des Bundesamts für Informationssicherheit (BSI) ergab. Sie verletzen damit nicht nur die Rechtspflicht zur Risikovorsorge. Sie verschenken auch leichtfertig einen zentralen Schutzschild.

Sicherheit beginnt im Kopf

Ein Powerpoint-Vortrag, der abstrakt erklärt, was die Mitarbeiter falsch machen, oder einmalige Info-Veranstaltungen sind allerdings reine Zeitvergeudung. Der Aufbau einer Sicherheitskultur erfordert nachhaltige Überzeugungsarbeit. Denn Sicherheit bedeutet fast immer einen Zusatzaufwand für die Anwender. Als Einstieg bewährt haben sich Workshops oder eine Kick-off-Veranstaltung mit Live-Hacking. Wer sieht, wie einfach Passwörter geknackt und das eigene Smartphone oder Tablet über ein offenes WLAN ausspioniert werden kann, zweifelt nicht an der Notwendigkeit der Awareness-Maßnahmen. Klar kommunizierte Ziele durch die Geschäftsführung unterstreichen deren Wichtigkeit. Das Vorstellen der Ansprechpartner für die Umsetzung, an die sich die Mitarbeiter mit Fragen und Feedback wenden können, signalisiert: Jeder einzelne ist gefordert.

Awareness testen und trainieren

Die Sicherheitskampagne startet mit Tests. Sie geben Aufschluss darüber, wie es um die Awareness bestellt ist, und wo die größten Schwachstellen bestehen. Hierzu werden Köder ausgelegt: zum Beispiel präparierte USB-Sticks in der Kaffeeküche, WLAN-Honeypots, simulierte Telefonangriffe oder vermeintlich verseuchte Websites und E-Mail-Anhänge. Ein wirksamer Nebeneffekt: Fällt ein Mitarbeiter auf den Köder herein und klickt beispielsweise auf einen schadhaften Link, erhöht das in den meisten Fällen die Bereitschaft, das eigene Verhalten zu ändern und im Tagesgeschäft künftig sicherheitsbewusster zu handeln.

Statt Maßnahmen nach dem Gießkannenprinzip festzulegen, empfiehlt es sich, gemeinsam mit den einzelnen Fachbereichen oder Nutzergruppen Trainings zu überlegen und Ziele zu vereinbaren, die auf ihre Rolle und ihren Wissensbedarf zugeschnitten sind. Die Wahl des Themas – zum Beispiel Phishing, WLAN-Nutzung, Datenschutz, Passwortsicherheit oder Social Engineering – erfolgt anhand der Testergebnisse. Bei der Priorisierung fließen die Wahrscheinlichkeit des Eintretens und die Höhe des potenziellen Schadens ein.

Aufmerksamkeit hoch halten

Ein erfolgreiches Training ist abwechslungsreich und einfach in den Arbeitsalltag integrierbar. Es ist ein Mix aus passiver Wissensvermittlung und Mitmachaktionen. Im Idealfall umfasst es kurze Videoclips, virtuelle (Gewinn-)Spiele, Tipps & Tricks und Online-Tests, die nicht länger als fünf Minuten Zeit in Anspruch nehmen und über ein Intranet-Portal bereitgestellt werden. Ergänzt durch Merkzettel, Poster oder Give-aways sowie Blogs mit aktuellen Verhaltensrichtlinien und Informationen gibt die Kampagne immer wieder neue Anreize, sich mit der IT-Sicherheit zu beschäftigen. Wer nur begrenzte Ressourcen hat, kann überlegen, ob virales Marketing eine Alternative ist. Es muss auch gar nicht immer der große Wurf sein. Lieber klein anfangen und durch wiederholte Aktionen im Gespräch bleiben, als einmal ein großes Brimborium veranstalten.

Regelmäßig Köder auslegen

Sensibilisieren und Informieren reichen allein jedoch nicht aus. Die Mitarbeiter sollten einmal im Monat, mindestens aber quartalsweise getestet werden. Zum einen, um herauszufinden: Wie sind die Maßnahmen angekommen? An welchen Stellschrauben muss noch gedreht werden? Zum anderen gilt es, die Aufmerksamkeit hoch zu halten. Die Testergebnisse, das heißt wie viele Mitarbeiter richtig reagiert haben, werden anonymisiert veröffentlicht. Das motiviert und weckt manchmal sogar den Sportsgeist, dem vermeintlichen Angreifer beim nächsten Mal wieder ein Schnippchen zu schlagen. Darüber hinaus zeigt die Erfahrung, dass die Mitarbeiter mehr über IT-Sicherheit sprechen und sich untereinander austauschen.

Funktionierende Sicherheitskultur etablieren

Beim Testen geht es nicht darum, die Nutzer für unabsichtliche Fehler an den Pranger zu stellen. Der erhobene Zeigefinger ist ebenso fehl Platz. Phishing oder Social Engineering haben nichts mit Dummheit zu tun. Die Botschaft lautet: Es ist kein Beinbruch, einen verseuchten Link anzuklicken. Aber es wäre schlimm, den Sicherheitsvorfall zu verschweigen, anstatt ihn sofort der IT-Abteilung zu melden. Wichtig ist daher eine Kultur der Offenheit. Es gilt, die Nutzer zu ermuntern, Anregungen zu geben oder im Gespräch mit der IT zu klären, wie in ihrem Fall sicheres Verhalten aussieht. Die Mitarbeiter sollten als Partner in Fragen der Informationssicherheit und nicht als störendes Sicherheitsrisiko betrachtet werden.

Der erfolgreiche Aufbau einer IT-Sicherheitskultur steht und fällt mit der Geschäftsführung. Ohne deren sichtbares Engagement wirkt sie unglaubwürdig. Gefragt ist ein Stakeholder, der das Projekt finanziert, strategisch begleitet und Rückendeckung gibt, beispielsweise mit dem Betriebsrat die Maßnahmen abspricht. Idealerweise leben die Führungskräfte aktiv vor, was sie von den Mitarbeitern erwarten: einen gewissenhaften Umgang mit Firmendaten und -IT entsprechend der Sicherheitsrichtlinien.

Steter Tropfen höhlt den Stein

Ein zentraler Grundsatz lautet: nach der Kampagne ist vor der Kampagne. Sensibilisierung ist ein kontinuierlicher Prozess, damit das sicherheitsbewusste Verhalten in Fleisch und Blut übergeht und Teil der Unternehmenskultur wird. Da Menschen von Natur aus nach dem Trägheitsprinzip handeln, ist es wichtig, in regelmäßigen Abständen neue Impulse zu geben, etwa im Firmennewsletter auf aktuelle Gefahren aufmerksam zu machen, und immer wieder stichprobenhaft die Awareness zu testen. Die Sicherheitstipps werden umso besser angenommen, wenn gezeigt wird, dass sie auch beim Gebrauch des heimischen PC oder privaten Smartphones nützen.

Menschen lassen sich nicht programmieren wie IT-Security-Systeme. Aber das sollte kein Grund sein, auf Awareness-Trainings zu verzichten. Denn damit können Unternehmen mit vergleichsweise geringen Investitionen einen deutlichen Sicherheitsgewinn erreichen.

Fachbeitrag Funkschau, Ausgabe Juli 2017

 

Kontaktieren Sie jetzt Ihren CEMA Spezialisten

Klicken Sie hier, um E-Mails von CEMA zu erhalten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.