Paradigmenwechsel bei SecAware

Kein Kuschelkurs mehr bei Security Awareness

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Damit Mitarbeiter lernen, dass leichtsinniges Verhalten mit persönlichen Daten oder Unternehmensdaten schwerwiegende Folgen haben kann, muss man unter Umständen den üblichen „Kuschelkurs“ verlassen.
Damit Mitarbeiter lernen, dass leichtsinniges Verhalten mit persönlichen Daten oder Unternehmensdaten schwerwiegende Folgen haben kann, muss man unter Umständen den üblichen „Kuschelkurs“ verlassen. (© dianabartl - stock.adobe.com)

Security Awareness (SecAware) hat sich auf die Fahnen geschrieben, den User hinsichtlich Cyberbedrohungen zur „Last Line Of Defense“ (LLOD) zu machen. Eine anspruchsvolle Aufgabe, denn zahlreiche Bedrohungen klopfen an die Gateway-Systeme der Unternehmen aber auch Privatpersonen und mancher Attacke gelingt es die Schutzmauern zu überwinden.

Überwinden Cyberkriminelle die technischen Verteidigungsmaßnahmen des Firmennetzwerks, kommt der Anwender ins Spiel, der mit seinem erworbenen (Fach-)Wissen die Verteidigung übernehmen soll. Einerlei, ob es sich dabei um eine Phishing-E-Mail handelt, eine CEO-Fraud-Attacke, den gefälschten Anruf eines Services-Technikers oder ggf. sogar einen Innentäter – all dies soll der Benutzer abwehren. Selbstverständlich ohne dabei die Vorgaben der DSGVO zu verletzen oder eines anderen Regelwerks.

Realitätsfremd?

Bei genauer Betrachtung, ist dies eine Aktivität die ein solides Security-Grundwissen, ständiges Training und Empathie für Security voraussetzt. Also nichts, was man in ausreichender Quantität bei normalen Mitarbeitern erwarten kann. Denn man hat ja auch einen Asset-Manager eingestellt, einen Finanzbuchhalter, eine kaufmännische Angestellte oder einen Werkstattleiter und nicht einen Security-Guru. Nicht ohne Grund führt dies mitunter zur Behauptung „Security Awareness ist Zeitverschwendung“.

Security Awareness ist Zeitverschwendung!

Lohnt sich Sicherheits-Training?

Security Awareness ist Zeitverschwendung!

23.12.16 - Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness (#SecAware) als lobenswerte und nützliche Maßnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld-Verschwendung ist. lesen

Bei der Frage, ob es nicht Wunschdenken ist, mit Security-Awareness-Maßnahmen eine Optimierung der Sicherheit zu erreichen, kann man durchaus mit „JA“ antworten.

Bevor nun der Aufschrei durch die Reihen der SecAware-Anhänger geht – Ja, es ist Realitätsfremd, aber nicht unmöglich!

Mit der richtigen Präsentation und den geeigneten Methoden kann man Mitarbeiter durchaus befähigen, in gewissen Umfang sich für IT Sicherheit zu engagieren. Aber, dies bedingt vorab einen Paradigmenwechsel, denn ohne diesen bleibt SecAware wirklich Zeitverschwendung!

Paradigmenwechsel

Der Knackpunkt ist, ob es gelingt den Mitarbeiter für SecAware zu begeistern und eine Änderung in der Einstellung des Mitarbeiters zu den Unternehmenswerten und den fachlichen Zusammenhängen zu erreichen.

Betrachtet man die Situation, interpretiert man Umfrage-Ergebnisse und Statistiken, zeigt sich das vielerorts ein um sich greifendes Problem, welches als „Security-Fatigue" (Sicherheits-Müdigkeit), bezeichnet wird. Mitarbeiter interessieren sich wenig oder gar nicht für IT-Sicherheit und sind es leid, Wissenstests zu absolvieren oder dutzende von Security-Vorschriften zu befolgen und Regeln umzusetzen.

Wobei der Anwender durchaus seine ablehnende Haltung zu begründen versteht.

  • Alle 4 Wochen das Passwort wechseln, weshalb denn?
  • Ich habe keine wichtigen Daten!
  • Ich bin kein Security-Mensch und habe dafür auch keine Zeit!
  • Macht doch eh alles die IT Sicherheit und der IT-Service!
  • Was geht mich das alles an, ich mache nur meinen Job!
  • Ich surfe auf keinen Porno-Seiten, außerdem sind die ohnehin gesperrt.
  • Um was alles soll ich mich denn noch alles kümmern?

Die versteckte und offene Botschaft dabei ist, dass sich der User nicht für das Thema zuständig fühlt und sich auch nicht darum kümmern mag. Dass diese Haltung zu Risiken für das Unternehmen führt ist klar, denn ohne Cyberaktivitäten geht es nicht und die LLOD ist damit quasi nicht existent und basiert im Erfolgsfall auf Glück oder Zufall.

Verständnis wecken für IT-Sicherheit

Mehr Erfolg mit Security Awareness

Verständnis wecken für IT-Sicherheit

15.06.18 - Das Hauptziel von Security Awareness (SecAware) ist es, die Computer-Nutzer für die zahlreichen Cyber-Bedrohungen zu sensibilisieren. Da nicht jeder Angriff sich durch die Kombination aus Sicherheits-Hard- und Software abfangen lässt, muss der IT-Nutzer als „Last Line of Defense“ agieren und „durchgerutschte“ Angriffe abwehren. Diese gute Idee funktioniert aber oft nicht! lesen

Der Wert von Daten

Die Entwicklung von neuer Hardware, Applikationen und neuen Services geschieht mit hoher Geschwindigkeit. Vor 40 Jahren noch war es ein Highlight, wenn jährlich eine neue Festplattengeneration für Rechenzentren vorgestellt wurde oder neue Magnetbandlaufwerke, die gegenüber der aktuellen Generation eine dreifache Geschwindigkeit hatten.

Heute vollzieht sich dieser Zyklus um ein Vielfaches schneller. Die Menge der erfassten Daten nimmt stetig zu ebenso wie die sich daraus ergebenden Querverbindungen und machbaren Analysen. Big Data, so viele Experten, sind das neue Gold des Internets. Dies wird umso mehr verständlich, wenn man sich fragt, wer bezahlt eigentlich für all die Services. Die Antwort darauf ist simpel, der Kunde. Denn bei WWW-Services, die gratis angeboten werden, ist der Kunde das Produkt bzw. seine Daten.

Offensichtlich wird dies, wenn man exemplarisch die Malware-Szene betrachtet. Der frühere Modus Operandi, der auf Ausbreitung (Imagegewinn für den Programmierer) und Datenvernichtung (Destruktive Ausprägung) optimiert war ist längst passé. Heute geht es auch im Malware-Umfeld um Daten und die sich daraus ergebende Monetarisierung. Ein Beispiel dafür ist Ransomware, die den Zugriff auf Anwender- und Unternehmens-Daten unterbindet und nur gegen eine finanzielle Transaktion wieder möglich macht (wenn man Glück hat). Oder auch ein Remote-Access-Trojaner (RAT), der den administrativen Zugang zu penetrierten Systemen und deren Datenbestände ermöglicht. Die Absicht ist dabei, Zugang zu den Daten der Unternehmen zu erhalten und auch die Kontrolle. Was beispielsweise eine falsche Information in Presse-Veröffentlichungen, Geschäftsberichten oder Wirtschaftsnachrichten anzurichten vermag, kann sich jeder selbst ausmalen.

Diese schleichende Neu-Orientierung in deren Mittelpunkt die Daten stehen, haben Angreifer und Security-Experten bereits im Visier. Der Anwender hat diesen erforderlichen Paradigmenwechsel jedoch noch nicht erkannt und auch noch nicht umgesetzt. Für den durchschnittlichen Anwender bedeutet „Big Data“ nur, dass er mehr Zeit für einen Kopiervorgang oder eine Datensicherung benötigt und sich ggf. über eine Vertraulichkeitsklassifizierung seiner Daten (Text, Grafiken, Geschäftsdaten etc.) Gedanken machen muss (Standard, wie vorgeschlagen – das passt schon!). Das Daten den Wert von Gold haben können, hat er noch nicht verinnerlicht – ebenso wenig, wie die Abhängigkeit seines Handelns von der Verfügbarkeit der Daten.

Die Daten und der Anwender

Generation Y und affine IT-Nutzer, verwenden die Services ohne zu überlegen, was man mit den Daten, die sie freiwillig via Facebook, WhatsApp oder Instagram veröffentlichen machen könnten. Obwohl die Beispiele dazu bekannt sind:

  • Wohnungseinbruch nach Ankündigung des anstehenden Urlaubs
  • Ausspionierte Handy-Nummer für Anmeldung an Gewinnspiele etc. oder als Basis für eine SMS mit nachgelagerter Malware
  • Reputationsschaden durch gestohlene Texte oder private Bilder nach erfolgreichem Hacking (Password war der Name des Freundes, über dem im Social-Media Umfeld berichtet wird)
  • Über Tracking-Daten von Laufcomputern wird die Lage von Militärbasen ersichtlich, wenn das Personal über das Gelänge joggt (Strava)

Das gleiche Verhalten findet man aber auch im beruflichen Umfeld, denn auch hier wird der Umgang mit Daten mitunter sehr sorglos betrieben.

Einerlei, ob am Telefon gegenüber „netten Anrufern“ Firmeninterna ausgeplaudert werden, Business-Charts mit aktuellen Daten weitergegeben werden, um einen Chart-Typ zu erklären, man Erfahrungen mit einem Produkt an einen anderen Produktanbieter gibt oder man einfach als Anschauungsmuster Newsletter, für den internen Gebrauch an Außenstehende gibt. Dies ist tägliche Praxis, ohne dass dahinter nun der kriminelle Innentäter steht. Dies sind Handlungen, die aus Hilfsbereitschaft entstehen, aus Unwissenheit über Situationen und dem fehlenden Bezug zum Wert der Daten durch den Einzelnen.

Daten haben einen Wert, sind aber durch ihre Immaterialität nicht so präsent, wie beispielsweise der Inhalt einer Registrierkasse. Die Herausforderung ist es nun, bevor die SecAware-Maßnahmen wirklich greifen, dem Anwender den Wert der Daten dazu vor Augen zu führen. Auch wenn sich der Weg von Sachwerten, hin zu einer Ökonomie der Informationen (Infonomics) geht, ist es immer noch schwierig die zu vermitteln.

Infonomics: Ihre Daten sind wertvoll!

Ziel ist es, den Anwender aufzuzeigen, das seine „wertlosen“ Daten, für andere sehr wohl einen Wert haben (können) und das ohne diese „wertlosen“ Daten unter Umständen ganze Prozessketten gefährdet sind und letzten Endes auch der wirtschaftliche Erfolg des Unternehmens und damit auch das Einkommen der Mitarbeiter und firmenspezifische Zusatzleistungen.

Leider gibt es hier keinen Königsweg um diesen Paradigmenwechsel beim Anwender aufwandsarm zu unterstützen. Fakt ist aber, dass es a) schnell gehen sollte und b) die Basis ist, für eine funktionierende LLOD. Was kann das Unternehmen hier machen, um dieses Umdenken in Ganz zu setzen? Beispielsweise, zunächst einmal den Kuschelkurs der üblichen SecAware-Maßnahmen verlassen und über Alternativen nachdenken, die aufrütteln und einen bleibenden Eindruck hinterlassen.

Denkbar sind beispielsweise Schock-Strategien, die darauf bauen, dass der eingetretene Schaden auch Auswirkungen für den Mitarbeiter selbst hat. Nachfolgend fünf Beispiele die dies beabsichtigen.

1. Persönlicher Bezug

Beauftragen Sie ein Fachunternehmen, welches allgemein verfügbare Daten für Mitarbeiter in Social Media Umfeld sammelt und anhand der gefundenen (Geschäfts-)Daten einen Gefährdungsfaktor ermittelt. Diese Daten sollten dann an die Mitarbeiter gehen.

Nachfolgend sollte dann während einer Schulung aufgezeigt werden, welche Daten und welches Verhalten den Risikofaktor beeinflusst, was gefunden wurde und wie man derartige fehlgeleiteten Informationen vermeiden kann.

2. Datenzugriff

Schalten Sie, wenn machbar, für 2h zentrale Datenserver ab und informieren Sie die Mitarbeiter, dass aufgrund eines Identitätsdiebstahls der Datenserver kompromittiert wurde. Zeigen Sie einen umständlichen Workaround auf, der die Mitarbeiter Zeit und Aufwand kostet, um die Daten zu erhalten.

Beenden Sie nach 2 Stunden das Szenario und klären Sie die Mitarbeiter auf. Auch hier sollte nachfolgend eine Schulungsmaßnahme erfolgen, die das Problem aufzeigt.

3. Datenverlust

Informieren Sie ihre Mitarbeiter, dass möglicherweise (Untersuchungen laufen noch), personenbezogene Mitarbeiter-Daten entwendet wurden (verweisen Sie auf gleichartige Fälle im Social Media-Umfeld).

Weisen Sie darauf hin, dass ggf. persönliche Aktivitäten erforderlich sind, sollte sich der Verdacht bestätigen (drücken Sie sich verschwommen und unklar aus).

Beenden Sie nach 1h den Vorfall und informieren Sie das dies eine Übung war, um den Wert der Daten eines jeden einzelnen darzustellen.

4. Finanzieller Verlust

Gestehen Sie, dass die Security-Abteilung bei Analyse der Logs entdeckt hat, das der Verdacht auf einen CEO-Fraud besteht. Über die finanziellen Schäden kann man aktuell noch keine Aussage treffen. Weisen Sie explizit darauf hin, dass die finanzielle Basis des Unternehmens stabil ist.

Beenden Sie nach 1h die Aktion mit den entsprechenden Nachfolgeaktivitäten.

5. Spionage

Informieren Sie die Belegschaft, dass aufgrund einer vorliegenden Strafanzeige aktuell sämtliche Aktivitäten an Projekt XYZ eingestellt werden und es den Mitarbeiter nicht mehr gestattet ist, die dazugehörigen Dokumente zu bearbeiten.

Man vermutet eine vorausgegangene Spionageaktivität, denn sämtliche internen Daten stehen einem Mitbewerber aus Fernost zur Verfügung!

Wie sich die Situation entwickelt, ist aktuell offen.

Informieren Sie von verschiedene Positionen aus (Kommunikation, Geschäftsleitung) an die Mitarbeiter über 1h lang – bleiben Sie immer etwas unklar und geben Sie dann Entwarnung (Übung!).

Starker Tobak?

Ja, zweifelsohne! Sie manipulieren die Mitarbeiter und stellen den Bezug von Vorfällen, die sich um Datenmissbrauch drehen, in einem direkten Bezug zum Mitarbeiter (Verteilen der Verantwortung).

Dadurch erfährt der Mitarbeiter, dass diese Vorfälle auch auf Ihn persönlich Auswirkungen haben können und nicht nur „auf das Unternehmen“. Im Idealfall erkennt er auch, dass alle im gleichen Boot sitzen und jeder Fehler an einer x-beliebigen Position, für alle einen spürbaren Effekt haben kann.

Wobei es ich von selbst versteht, dass man derartige Aktionen immer mit den relevanten Stellen, wie Betriebsrat, Datenschutz und Unternehmenskommunikation gemeinsam abwickeln sollte. Denn je besser eine Schock-Strategie geplant ist, desto plakativer und nachhaltiger die Wirkung.

Ebenso sollte auch im Nachgang eine umfangreiche Aufklärung stattfinden, die von Papier-Informationen, über die Company-Webseite, bis hin zur Mitarbeitermeeting geht. Denn ein schnelles Umdenken ist erforderlich, damit Mitarbeiter den Wert von Informationen auf Ihre Arbeit erkennen und den Nutzen als LLOD verstehen und auch wahrnehmen.

Die Basis für SecAware ist Aufklärung und Verständnis. Man möchte ein positives Erlebnis schaffen, welches die Wachsamkeit der Mitarbeiter anspricht und fördert. Voraussetzung ist aber, dass die Mitarbeiter endlich erkennen, dass Daten einen Wert haben – für Sie und das Unternehmen. In der heutigen Zeit kann sich niemand auf dem bequemen „Macht doch eh alles die IT Sicherheit und der IT-Service!“ ausruhen. Jeder ist gefragt, seinen Beitrag zu leisten.

Diesen Wechsel in der Einstellung kann man mit einem Kanonenschlag schneller erreichen, als mit Aktivitäten über einen langen Zeitraum (Kuschelkurs).

Denken Sie nur mal an die Situation, bei der man als Kind vor einer Gefahr gewarnt wird – man kann dies als Elternteil immer wieder tun, oder (unter kontrollierten Bedingungen) die Situation eskalieren lassen. Viele Kinder haben so gelernt, dass Wasser heiß wird, wenn man den roten Regler dreht und es nicht jeder (fremde) Hund mag, gestreichelt zu werden!

Diese Schock-Strategie kann man ebenso betrachten, wie die medizinischen Abbildungen auf Zigarettenschachteln – allerdings gilt auch hier, dass eine zu häufige Anwendung abstumpft und Ihren Wert verliert.

Von daher ist eine Schock-Strategie, für eine bessere Etablierung der LLOD genau zu planen! Denn falsch aufgezogen, kann der Schuss auch nach hinten losgehen und bereits erreichtes zunichtemachen.

Fazit

Eine Schock-Strategie, die Anwender zum Umdenken bewegen soll, ist nicht aus dem Handgelenk umsetzbar! Jedoch kann eine solche, bei entsprechender Vorbereitung, ohne Nebenwirkungen ablaufen und den maximalen (Schock-)Effekt auf den Anwender konzentrieren. Man könnte auch auf die bewerten Elemente einer normalen Security-Awareness-Kampagne setzen, sollte aber auch abwägen, ob die etablierten Gimmicks und Strategien noch wirksam sind oder sich längst überlebt haben und nur ein gelangweiltes Gähnen verursachen! Probieren Sie es aus, wecken Sie Ihre Anwender auf, zeigen Sie den Wert von Daten und arbeiten Sie daran, auch mit ausgefallenen Ideen, Ihre LLOD zu optimieren! Denn nur wer bereit ist, sich selbst als CISO oder Security-Officer der Veränderung zu stellen und ausgetretene Wege zu verlassen, kann dies auch von seinen Kollegen einfordern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45721431 / Mitarbeiter-Management)