Ein Leitfaden von KnowBe4 Die 10 Phasen der Security Awareness

Autor: Melanie Staudacher

In zehn Schritten zum sicheren Unternehmen? Ganz so einfach ist es leider nicht. Mit dem 10-Phasen-Modell möchte KnowBe4 den Partnern und Endkunden zumindest einen groben Fahrplan an die Hand geben, wie sie ihr Sicherheitsbewusstsein erhöhen können.

Firmen zum Thema

Laut KnowBe4 fallen im Schnitt 37,9 Prozent der ungeschulten Mitarbeiter bei einem Phishing-Test durch und würden im Ernstfall somit einem Hacker die Tür zum Unternehmensnetzwerk auf halten.
Laut KnowBe4 fallen im Schnitt 37,9 Prozent der ungeschulten Mitarbeiter bei einem Phishing-Test durch und würden im Ernstfall somit einem Hacker die Tür zum Unternehmensnetzwerk auf halten.
(Bild: James Thew - stock.adobe.com)

Es ist kurz vor 17 Uhr. Beate hat langsam keine Lust mehr. In ihrem E-Mail-Postfach häufen sich die Bewerbungsanschreiben für eine neu ausgeschriebene Stelle. Sie arbeitet in der Personalabteilung eines mittelständischen Papierherstellers und möchte die Bewerbungen zwar gründlich prüfen, aber auch endlich Feierabend machen. Sie öffnet eine Nachricht. Im Anhang findet sie ein weiteren Lebenslauf, klickt ihn an, liest. So geht es noch eine halbe Stunde weiter, bis sie den Computer herunterfährt und nach Hause geht. Was Beate nicht weiß: Die letzte E-Mail war ein Phishing-Angriff. Und über Nacht verschafft sich daraufhin ein Cyberkrimineller Zugang zu Unternehmensdaten.

Das 10-Phasen-Modell

Doch diese E-Mail war bestimmt nicht der erste Angriff auf die Papierfabrik. Laut G Data, einem Anbieter für Security Awareness Trainings, begegnen einem Unternehmen täglich durchschnittlich 350 verschiedene Phishing-Mails, die sich als Bewerbungsschreiben oder Rechnungen tarnen. Dabei ist Security Awareness kein neuer Trend. Bereits 1992 hat die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) Guidelines für die Sicherheit von Informationssystemen veröffentlicht.

Auch der Anbieter KnowBe4 kann auf eine lange Erfahrung bei der Bereitstellung von Schulungsmaterialien für das Sicherheitsbewusstsein in Unternehmen zurückblicken. Seit zehn Jahren stellt KnowBe4 Kunden und Partnern eine Lernplattform bereit. Die Geschwindigkeit des Lernfortschritts ist dabei je nach Größe der Organisation, Firmensitz und Branche unterschiedlich. Dennoch konnte der Anbieter sich ähnelnde Muster feststellen und hat die Security Awareness in zehn Phasen unterteilt. Das Modell soll Unternehmen mögliche Schritte zeigen, wie sie sich in Richtung einer hohen Security Awareness entwickeln können.

Die 10 Phasen der Security Awareness nach KnowBe4
Die 10 Phasen der Security Awareness nach KnowBe4
(Bild: KnowBe4)

1. Phase: Erhöhtes Bewusstsein bei Informationssicherheits- und IT-Experten

Auch wenn sie Experten sind, können IT-Fachleute von Phishing betroffen sein. Deswegen sollten vor allem sie ein hohes Maß an Sicherheitsbewusstsein haben und die Notwendigkeit in der Vermittlung der Security Awareness erkennen.

2. Phase: Bereitstellung von Awareness-Inhalten

Zu den ersten Maßnahmen in der Wissensvermittlung gehören laut KnowBe4 vor allem Präsentationen. Zwar sind die Ergebnisse dieser altmodischen Art der Vermittlung wenig zielführend. Sie wird von dem Hersteller dennoch als erster wichtiger Schritt eingestuft, um zumindest ein paar Grundlagen zu schaffen.

3. Phase: Plattform-Automatisierung

Jelle Wieringa, Security Awareness Advocate bei KnowBe4
Jelle Wieringa, Security Awareness Advocate bei KnowBe4
(Bild: KnowBe4)

Statt Präsentation wird nun ein Learning Management System (LMS) eingeführt. Die Automatisierung der Prozesse zur Bereitstellung von Schulungen sowie personalisierter Inhalte ist der zweite Schritt und markiert die dritte Phase, in der sich das Unternehmen nun befindet. „Indem das wiederholende Testen der Mitarbeiter automatisiert erfolgt, haben die IT-Verantwortlichen mehr Zeit für die Entwicklung anderer Bereiche, zum Beispiel Threat Hunting“, ergänzt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

4. Phase: Kontinuierliches Testen

Mitarbeiter sollten nach den Schulungen regelmäßig über die Plattform getestet werden, um sicherzustellen, dass das erworbene Wissen tatsächlich erhalten geblieben ist.

5. Phase: Unterstützung durch Technologie

In dieser Phase werden die Schulungen durch Technologie ergänzt. KnowBe4 bietet hierfür den Phish-Alarm-Button an. Dieser wird in den E-Mail-Clients der Endbenutzer bereitgestellt, damit diese alle Phishing-E-Mails per Knopfdruck an das Incident Response Team oder das SOC melden können. „Technologie zur Unterstützung der Mitarbeiter dient in diesem Fall als Werkzeug, nur wer es richtig bedienen kann, kann es auch nutzen. Auch hierfür ist eine Schulung notwendig und die Mitarbeiter müssen ihre Erfahrung im Umgang damit machen, um es richtig einsetzen zu können. Am Ende aber muss immer der Mensch selbst entscheiden, die Technologie nimmt ihm das nicht ab“, sagt Wieringa.

6. Phase: Sicherheits-Orchestrierung

In der nächsten Phase werden die gemeldeten E-Mails in einen Sicherheits-Workstream integriert, der deren Risikoniveau bewertet. Im Falle einer Bedrohung greift die Software automatisiert in den Posteingang aller Benutzer ein, um bösartige Nachrichten unschädlich zu machen, bevor weiterer Schaden entsteht.

7. Phase: Management des Benutzerverhaltens

Mit detaillierten Risiko-Metriken sowohl über einzelne Benutzer als auch über Benutzergruppen können Unternehmen nun maßgeschneiderte Kampagnen erstellen, die auf dem beobachteten Risikoverhalten basieren. Darüber hinaus wird in dieser Phase auf falsches Passwortverhalten hingewiesen und individuelle Trainingsmodule werden an identifizierte Hochrisiko-Mitarbeiter versendet.

8. Phase: Adaptive Lernerfahrung

Die nächste Phase besteht darin, dass der Endbenutzer Zugriff auf eine individuelle Benutzeroberfläche erhält, auf der er seinen Risiko-Score sehen, Auszeichnungen erhalten und an weiteren Schulungen teilnehmen kann. In dieser Phase ermöglichen fortschrittliche Metriken auch ML- und KI-gesteuerte Kampagnen, bei denen jeder Benutzer ein hochgradig individualisiertes Security Awareness Training erhält.

9. Phase: Aktive Beteiligung der Mitarbeiter an der Gesamtsicherheitslage

Hier wird sich der Benutzer seiner Rolle in der Verteidigung des Unternehmens bewusst und entscheidet sich aktiv für zusätzliche Schulungen, um seinen Risiko-Score zu reduzieren. Mittlerweile hat der Anwender die Erkenntnis, dass er selbst zum Endpunkt geworden ist.

10. Phase: Der Mitarbeiter als menschliche Firewall

Jeder Mitarbeiter ist sich der Risiken im Zusammenhang mit der Cyber-Sicherheit ausreichend bewusst und trifft jeden Tag intelligente Sicherheitsentscheidungen, die auf einem klaren Verständnis dieser Risiken basieren.

Awareness ist individuell

„Eine Einschätzung, in welcher Phase sich ein Unternehmen gerade befindet, ist auch für Fachleute nicht immer leicht zu treffen“, beginnt Wieringa auf die Frage hin, in welcher Phase der Security Awareness sich die Papierfabrik befindet, in der Beate arbeitet. „Es mag so aussehen, als ob bestimmte Aspekte einer Phase vorhanden sind, aber es bleibt meist offen, wie gut diese implementierten Prozesse funktionieren. Ein Beispiel zur Veranschaulichung. Ein Unternehmen setzt automatisierte Phishing-Kampagnen ein, die auf eine bestimmte Abteilung abgestimmt sind. Aber für die anderen Abteilungen sind noch gar keine Kampagnen entwickelt worden. Die Mitarbeiter der verschiedenen Abteilungen tauschen sich allerdings untereinander aus. Reicht es also nur eine bestimmte Abteilung zu schulen, um eine neue Phase zu erreichen? Nein, es ist im Gegenteil wichtig alle Abteilungen zu schulen, um als Unternehmen eine neue Phase zu erreichen.“

Wenn Führungskräfte oder IT-Verantwortliche wissen möchten, in welcher Phase sie sich konkret befinden, empfiehlt Wieringa Tools wie Business-Impact-Analysen, Cybersecurity-Reifegrad-Modellierungs-Frameworks oder Compliance Assessments. „Es ist weniger wichtig zu wissen, wo man steht, als vielmehr, wo man hin will. Die Verantwortlichen sollten lieber über eine Roadmap nachdenken und die gesamte Organisation in diese Roadmap mit einbeziehen. Das 10 Phasen Modell ist ein Werkzeug, das Unternehmen in diesem Prozess verwenden können, um der Geschäftsführung aufzuzeigen, was Security Awareness leisten kann und soll.“

Das finale Ziel der Schulungen ist Wieringa zufolge die menschliche Firewall. Jeder Mitarbeiter sollte sich im Klaren darüber sein, warum seine Rolle für die Security wichtig ist und wie er sich verhalten oder bei der täglichen Arbeit agieren sollte. „Die meisten Organisationen kommen aus einer Position, in der Cyber-Sicherheit oft als ein IT-Problem angesehen wird. Daher denken die Geschäftsführer, dass die IT-Verantwortlichen das Problem lösen sollten. Das ist ein Irrtum. Cyber-Sicherheit ist etwas, das die gesamte Organisation betrifft. Jeder Mitarbeiter, in der gesamten Organisation, muss aktiv dazu beitragen.“

Irgendwann wird Beates Fehler auffallen. Noch nicht am nächsten Montagmorgen und vielleicht auch noch nicht an dem Montag darauf. Hat die Papierfabrik Glück, bemerkt jemand den Angriff so schnell wie möglich und leitet entsprechende Gegenmaßnahmen ein. Eine langfristige Maßnahme sollten unternehmensübergreifende Security-Awareness-Schulungen sein. Bis dahin kann der Hacker sich nun ungestört im Firmennetzwerk bewegen.

(ID:47240553)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH