Suchen

Security Awareness der Mitarbeiter fordern und fördern, Teil 1 Der Mensch als zusätzlicher Sicherheitsfaktor

Autor / Redakteur: Dirk Schadt, (ISC)²-zertifizierter CISSP / Stephan Augsten

Spam und Social Engineering zielen auf die Leichtgläubigkeit und Hilfsbereitschaft von Menschen ab – und sind damit leider nur allzu oft erfolgreich. Immer wieder geben Mitarbeiter wertvolle Informationen über sich und ihr Unternehmen preis. Es gilt, aus der Schwachstelle Mensch einen zusätzlichen Sicherheitsfaktor zu machen.

Firmen zum Thema

Mitarbeiter denken im Idealfall mit und helfen aktiv dabei, Sicherheitsrisiken einzudämmen.
Mitarbeiter denken im Idealfall mit und helfen aktiv dabei, Sicherheitsrisiken einzudämmen.
(Bild: Adam Borkowski - Fotolia.com)

Sicherheitsvorfälle in Verbindung mit Spam und Social Engineering zeigen, wie gut sich Informationen mithilfe der Technik schützen lassen – leider nur allzu begrenzt. Heute kann sich ein Mitarbeiter nicht mehr einfach darauf berufen, die IT-Abteilung tue schon alles, um Schaden durch die Nutzung der IT abzuwenden. Antivirus, Firewalls und Policies sind, wenn man reale Vorfälle auswertet, doch nur ein stumpfes Schwert.

Besonders deutlich wird das im Kampf gegen Wirtschaftsspionage. Umso mehr verwundert, dass nicht mehr Sicherheitsvorfälle passieren oder bekannt werden. In den Unternehmen, in denen die Sicherheitstechniken und -vorgaben besonders lax sind, arbeiten immer besonders aufmerksame und bewusste Mitarbeiter.

In welcher Kultur mehr oder weniger Vorfälle oder Verluste zu verzeichnen sind, ist schwierig zu sagen. Zu wenig wird protokolliert und ausgewertet. Als Experte lässt sich hier eine hohe Dunkelziffer vermuten.

Unternehmen sind daher gut beraten, wenn sie Security Awareness bzw. Sicherheitssensibilisierung als strukturellen Teil der Unternehmensstrategie einsetzen und den IT-Sicherheitsbeauftragten entsprechend ausstatten. Die wirkungsvollsten Security-Awareness-Programme konnten den CEO als Schirmherren gewinnen.

Security Awareness – eine Definition

Nach einer Definition von Ernst&Young besteht Sicherheitssensibilisierung aus „Maßnahmen, damit Mitarbeiter in einer Situation erkennen, dass ein Sicherheitsrisiko vorliegt und aktiv entsprechend im Interesse der Organisation handeln“. Demnach reicht es nicht aus, einfach nur Poster mit einer Botschaft aufzuhängen.

Poster sind nur eines von vielen Mitteln, um die Aufmerksamkeit auf ein Thema zu lenken. Dazu müssen Mitarbeiter geschult werden, was zu tun ist, um dem jeweiligen Problem zu entgegnen und das Gelernte auch in routiniertes Verhalten zu überführen. Ein starkes Motto wie „Fordern & Fördern“ führt schnell dazu, dass zu jeder Handlungsempfehlung die wirklich benötigten Hilfsmittel bereitgestellt werden.

Erst wenn alle Ausreden beseitigt sind, dass irgendetwas nicht gemacht werden kann, weil es nicht bekannt war oder keine Zeit dafür blieb, dann kann auch das angestrebte Ziel erreicht werden. Nicht ganz so stark, aber mit dem Arbeitsauftrag gut vermittelbar – also wofür der Mitarbeiter sein Gehalt verdient- ist der Appell an die Eigenverantwortung.

Security Awareness – das Programm

Der Aufbau eines Monitoring- und Managementsystems für IT-Security gehört zu den offensichtlichen Aufgaben eines CISOs, der Betrieb eines Awareness-Programms ist dagegen aber essentiell. So wichtig technische Systeme auch sind, so unvollkommen sind sie auch.

Schwächen der Technik lassen sich durch den Sachverstand und die Aufmerksamkeit der Kollegen ausgleichen. Aber wie kann ein Security Awareness-Programm nachhaltig funktionieren? Es soll Kollegen ja nicht von der Arbeit abhalten oder gar deren Arbeitsplatzbeschreibung verändern. Es soll sich aber auch nicht im Sande verlaufen.

Den Anfang macht eine Analyse. Wenn ein Security-Awareness-Programm wirken soll, muss es zunächst einmal die Felder abdecken, an denen die Mitwirkung von Mitarbeitern, Kollegen und Partnern nötig erscheint. All diese Felder können mit gezielten Kampagnen adressiert werden.

Je breiter die Zielgruppe ist, umso mehr müssen übliche Marketing-Formen eingesetzt werden, die eine Breitenwirkung erzielen. Dazu zählen Poster, Banner, Mitteilungen in Fahrstuhldisplays oder Bildschirmschonern zählen. Wird jedoch der Kreis der zu Motivierenden spezifischer, dann sind andere Methoden wirkungsvoller.

Eine spezielle MS-Office Schulung der Presseabteilung und der Vorstandssekretärinnen wäre ein Mittel, um Data Loss Prevention zu unterstützen. Für einen uneinsichtigen Marketingchef bietet sich ein Sechs-Augen-Gespräch mit CISO und CEO an, wenn er z.B. ein Risiko mit ungeeigneten Verfahren zu mindern versucht, um Produkte noch bequemer für Kunden zu machen, es damit aber leider auch für Cyber-Kriminelle einfacher macht.

Die Bausteine

Jeder Themenbereich muss so adressiert werden, dass Kollegen das Thema ernst nehmen, die Handlungsoptionen kennen, die Grenzen der eingesetzten Technik verstehen und im Zweifel richtig reagieren. Zu jedem Thema sollten folgende Fragen beantwortet und passende Bausteine entwickelt werden:

  • Definiton des Themas mit Zielgruppe, Zweck, Ziel.
  • Welche Form der Ansprache trifft die Zielgruppe am besten?
  • Welche Hilfsmittel werden benötigt um das Ziel zu erreichen?
  • Wie kann der Erfolge der Kampagne gemessen werden?
  • Welche Ergebnisse sollen veröffentlicht werden und wo?
  • Welche begleitenden Marketing-Maßnahmen können eingesetzt werden?

Der Bereich Passwörter ist ein dankbares Beispiel, da Mitarbeiter dazu tendieren, leichte Passwörter zu entwickeln und mehrfach einzusetzen. Für Wörterbuch- und Brute-Force-Attacken stellen diese Passwörter in der Regel keine Herausforderung dar. Das erzeugt eine fatalistische Haltung: „Ich kann ja sowieso nichts dagegen tun.“ Und genau dort muss angesetzt werden. Im folgenden Beitrag dieses Zweiteilers spielen wir an diesem Beispiel eine entsprechende Awareness-Kampagne durch.

Über den Autor

Dirk Schadt ist seit 2004 (ISC)²-zertifizierter CISSP und gründete Anfang 2007 die Unternehmensberatung SPOT Consulting.

(ID:42825428)