Security Awareness der Mitarbeiter fordern und fördern, Teil 1

Der Mensch als zusätzlicher Sicherheitsfaktor

| Autor / Redakteur: Dirk Schadt, (ISC)²-zertifizierter CISSP / Stephan Augsten

Security Awareness – das Programm

Der Aufbau eines Monitoring- und Managementsystems für IT-Security gehört zu den offensichtlichen Aufgaben eines CISOs, der Betrieb eines Awareness-Programms ist dagegen aber essentiell. So wichtig technische Systeme auch sind, so unvollkommen sind sie auch.

Schwächen der Technik lassen sich durch den Sachverstand und die Aufmerksamkeit der Kollegen ausgleichen. Aber wie kann ein Security Awareness-Programm nachhaltig funktionieren? Es soll Kollegen ja nicht von der Arbeit abhalten oder gar deren Arbeitsplatzbeschreibung verändern. Es soll sich aber auch nicht im Sande verlaufen.

Den Anfang macht eine Analyse. Wenn ein Security-Awareness-Programm wirken soll, muss es zunächst einmal die Felder abdecken, an denen die Mitwirkung von Mitarbeitern, Kollegen und Partnern nötig erscheint. All diese Felder können mit gezielten Kampagnen adressiert werden.

Je breiter die Zielgruppe ist, umso mehr müssen übliche Marketing-Formen eingesetzt werden, die eine Breitenwirkung erzielen. Dazu zählen Poster, Banner, Mitteilungen in Fahrstuhldisplays oder Bildschirmschonern zählen. Wird jedoch der Kreis der zu Motivierenden spezifischer, dann sind andere Methoden wirkungsvoller.

Eine spezielle MS-Office Schulung der Presseabteilung und der Vorstandssekretärinnen wäre ein Mittel, um Data Loss Prevention zu unterstützen. Für einen uneinsichtigen Marketingchef bietet sich ein Sechs-Augen-Gespräch mit CISO und CEO an, wenn er z.B. ein Risiko mit ungeeigneten Verfahren zu mindern versucht, um Produkte noch bequemer für Kunden zu machen, es damit aber leider auch für Cyber-Kriminelle einfacher macht.

Die Bausteine

Jeder Themenbereich muss so adressiert werden, dass Kollegen das Thema ernst nehmen, die Handlungsoptionen kennen, die Grenzen der eingesetzten Technik verstehen und im Zweifel richtig reagieren. Zu jedem Thema sollten folgende Fragen beantwortet und passende Bausteine entwickelt werden:

  • Definiton des Themas mit Zielgruppe, Zweck, Ziel.
  • Welche Form der Ansprache trifft die Zielgruppe am besten?
  • Welche Hilfsmittel werden benötigt um das Ziel zu erreichen?
  • Wie kann der Erfolge der Kampagne gemessen werden?
  • Welche Ergebnisse sollen veröffentlicht werden und wo?
  • Welche begleitenden Marketing-Maßnahmen können eingesetzt werden?

Der Bereich Passwörter ist ein dankbares Beispiel, da Mitarbeiter dazu tendieren, leichte Passwörter zu entwickeln und mehrfach einzusetzen. Für Wörterbuch- und Brute-Force-Attacken stellen diese Passwörter in der Regel keine Herausforderung dar. Das erzeugt eine fatalistische Haltung: „Ich kann ja sowieso nichts dagegen tun.“ Und genau dort muss angesetzt werden. Im folgenden Beitrag dieses Zweiteilers spielen wir an diesem Beispiel eine entsprechende Awareness-Kampagne durch.

Über den Autor

Dirk Schadt ist seit 2004 (ISC)²-zertifizierter CISSP und gründete Anfang 2007 die Unternehmensberatung SPOT Consulting.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42825428 / Security Management)