Best Practices bei der Sicherheitssensibilisierung Security Awareness dank Erfahrung anderer
Anbieter zum Thema
In der IT gibt es viele bewährte Konzepte und Lösungen, der Experte spricht von Best Practices. Diese lassen sich oft für das eigene Umfeld anpassen und übernehmen, was Zeit und Kosten spart. Doch welchen Nutzen hat dieses Vorgehen im Falle von Security-Awareness-Kampagnen?

Die Frage, ob Best Practices bei der Sicherheitssensibilisierung helfen, lässt sich durchaus mit einem „Ja“ beantworten. ABER: Man kann nur wenig eins zu eins übernehmen. Selbst Unternehmen im gleichen Marktsegment arbeiten oft unterschiedlich.
Das wirkt sich auf die Firmenkultur ebenso aus wie auf die Mitarbeiter und deren Umgang mit der IT. Bestes Beispiel dafür ist die private Nutzung von Web und E-Mail. Bei vielen Firmen ist diese verboten, bei einigen mit Auflagen erlaubt und bei anderen gestattet oder in einem undefinierten Graubereich geduldet.
Wendet man vor diesem Hintergrund Security-Awareness-Elemente unangepasst aus einem Baukasten an, so bringt das wenig Erfolg. Ebenso wenig ist es sinnvoll, Teilmengen davon einzuführen – wie zum Beispiel eine „Link-Click-Regel“, die den Zugriff auf gefährliche Webseiten reduzieren soll, wenn die eigentliche Web-Nutzung noch gar nicht geregelt ist.
Wann ist Security Awareness sinnvoll?
Entscheidend für den Erfolg von Security-Awareness-Maßnahmen ist die Bedarfsermittlung. Sicherheitsschulungen ergeben nur dort Sinn, wo auch Handlungsbedarf existiert. Ein Handlungsbedarf wiederum ist dort gegeben, wo ein erhöhtes Risiko existiert, welches technisch nicht befriedigend abgedeckt werden kann! Genau an dieser Stelle soll ja der Mensch (aka Mitarbeiter) mit seinem Wissen und Engagement die Sicherheitslücke schließen.
Eine Aktion zur Aufklärung über mögliche Spam-Angriffe ist beispielsweise sicherlich nützlich, aber nicht unbedingt erforderlich, wenn der genutzte technische Spam-Filter mehr als 99 Prozent aller unerwünschten E-Mails eigenständig eliminiert. Denn hier ist kein erhöhtes Sicherheitsrisiko gegeben!
Anders sieht die Sache hingegen bei einem Social-Engineering-Angriff per Telefon aus.. Hier hat der Mitarbeiter keine technische Lösung im Hintergrund, die ihn schützt, sondern nur seine Menschenkenntnis und berufliche Erfahrungswerte.
Eine Schulungsmaßnahme oder ein Experten-Artikel, in dem gängige Engineering-Techniken und deren Absichten aufgezeigt sowie beispielhafte „Anrufprotokolle“ gezeigt werden, bieten einen informellen Mehrwert. Wird dieser dann noch durch eine Checkliste ergänzt, die dabei hilft, echte von falschen Anrufen zu unterscheiden, hat SecAware seine Schuldigkeit getan.
Die richtige Wissensvermittlung
Security-Awareness-Maßnahmen werden oft in Kombination mit eLearning-Tools im Baukasten angeboten. Prinzipiell ein guter Ansatz, der aber in der Praxis oft dahingehend verkümmert, dass ein CBT-Modul (Computer Based Training) dem Probanden Informationen vorgibt, diese wiederholt und dann abfragt. Es ist nachvollziehbar, dass die Motivation von Lernenden, sich dieser „Wissensvermittlung“ zu stellen, nicht sehr hoch ist.
Von mehr als 2500 Jahren prägte Heraklit das Sprichwort: „Lehren heißt, ein Feuer entfachen, und nicht, einen leeren Eimer füllen.“ Auch wenn er damals sicherlich nicht an Security Awareness dachte, so gilt doch auch dieses Sprichwort auch für dieses Umfeld. Informationen müssen ansprechen und Neugier wecken, denn ohne das Feuer der Begeisterung geht es nicht.
Eine Rückbesinnung auf die eigene Schul- und Studienzeit mag das belegen. Lehrer und Themen, die einen damals begeisterten oder faszinierten, an die erinnert man sich auch nach vielen Jahren noch – aber langweilige oder ungeliebte Informationen werden automatisch unter „/dev/null“ abgelegt.
Mögliche Ansatzpunkte identifizieren
Was ist gut, was ist schlecht? Was eignet sich für das eigene Unternehmen und was ist Ressourcen-Verschwendung? Fragen, die sich jeder CISO oder Awareness-Beauftrage einmal stellt und auf die er eine Antwort finden muss. Keine leichte Aufgabe, denn selbst die Cluster-Intelligenz „Internet“ liefert bei einer Suche zum Stichwort „Security Awareness“ mehr als 77 Millionen Treffer!
Auch eine Eingrenzung mit „Seiten auf Deutsch“ liefert immer noch rund 115.000 Treffer. Wer die ersten Trefferseiten betrachtet, findet neben älteren Einträgen auch Referenzen auf die bekannten Namen der Szene sowie Einzelhinweise auf Vorträge, Artikel und Fachbücher. Auch eine Suche nach Präsentationen bei SlideShare liefert eine Vielzahl an Treffern. Anbieter gibt es also, Material ebenfalls – doch wo fängt man an?
Einen guten Ratschlag gibt es an dieser Stelle von Martin Luther, der meinte, man solle dem „Volk aufs Maul schauen. Weshalb fragt man nicht einfach zunächst einmal die Mitarbeiter, in welcher Hinsicht sie sich „unwohl“ fühlen. Denn diese sind an der Thematik dran und wissen, wo es Reibungspunkte gibt!
- Hat man „Bauchschmerzen“ bei der Nutzung von Social Networks?
- Kommen immer wieder Computerviren und andere Malware per Muster-Datenträger (CD, USB …) im Unternehmen an?
- Häufen sich unerwünschte Telefonanrufe mit einem unbestimmten Informationsbedarf?
- Gibt es Unklarheiten bei Anforderungen des Datenschutzes?
- Darf ich vertrauliche Dokumente bei Reisen auf meinem Notebook verschlüsseln?
Eine Befragung der Mitarbeiter zu ihren Security-Problemen, kombiniert mit einer Empfehlung der Security-Abteilung bringt meistens einen guten Überblick, wo Handlungsbedarf besteht. Ist dieser technisch zu lösen, sollte er nach einer Risikoanalyse der Geschäftsleitung zur Entscheidung vorgelegt werden. Ist es jedoch ein Problem, welches sich technisch nicht mit vertretbaren Aufwand lösen lässt, ist es eventuell ein Thema für die Sicherheitsschulung.
Sicherheit erfolgreich vermitteln
Überraschend wird es für viele sein, das es oft gar nicht die große Security-Awareness-Kampagne sein muss, die alles zu einhundert Prozent abdeckt – oft bringen schon punktuelle Aktionen einen Sicherheitsgewinn. Eine Maßnahme, die mehr Sicherheit bei Social Networks bringt, nutzt der Firma bzw. dem Mitarbeiter und gibt ihm auch mehr Sicherheit auf privater Ebene.
Die Auswirkungen auf das private Umfeld sollte man nicht unterschätzen. Denn was dem Mitarbeiter im privaten IT Umfeld nützt, kommt mittelfristig auch dem Unternehmen zu Gute. Schließlich verschwimmen die Grenzen zwischen dem Zuhause und der Firma immer mehr – und je sicherer der Mitarbeiter als Privatperson ist, desto besser für den Arbeitgeber.
Eine einzelne Security-Maßnahme hat den Vorteil, überschaubarer zu sein und weder das Budget noch den Mitarbeiter zu sehr zu belasten (Keine Zeit, begrenzte Kapazität für Neues etc.). Ist eine Maßnahme erfolgreich abgeschlossen, beginnt man mit der nächsten. So ist Security Awareness stetig für den Mitarbeiter präsent, ohne aufdringlich oder zu belehrend zu wirken.
Security Awareness ist also dann erfolgreich, wenn man:
- die Mitarbeiter (und die Security-Abteilung) zu bekannten Problemen befragt,
- eigenständig Bereiche identifiziert, in denen Sicherheitsdefizite bzw. Probleme bestehen,
- sich von Best Practices anderer inspirieren lässt, sie aber nicht blind übernimmt,
- punktuelle Aktionen startet, die ein „Heraklit-Feuer“ entfachen,
- nach Abschluss und Analyse einer Aktion die nächste startet und aus den Erfahrungen lernt.
Wer will, der kann sich zumindest als Starthilfe von entsprechenden Beratungsfirmen helfen lassen. Security-Insider und der Autor wünschen Ihnen viel Erfolg!
(ID:35994240)