Corona-Nebenwirkungen bei der Security Awareness - Teil 1 Security Awareness für Mitarbeiter in der Pandemie

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Nicht wenige Vorgesetzte und Entscheider halten Security Awareness für Geld- und Zeitverschwendung. Mitunter zurecht, denn ROSI muss man gerade bei Security Awareness sehr differenziert betrachten. Doch in Zeiten einer Pandemie wird dies alles noch schwieriger. Vielleicht wäre es daher angebracht, Security Awareness zwei Gänge herunterzuschalten! Gute Gründe dafür gibt es einige.

Firma zum Thema

Security Awareness ist wichtig, durch die Pandemie ergeben sich aber zwei Probleme, auch die Unternehmen mit Bedacht eingehen müssen.
Security Awareness ist wichtig, durch die Pandemie ergeben sich aber zwei Probleme, auch die Unternehmen mit Bedacht eingehen müssen.
(© putilov_denis - stock.adobe.com)

Die Corona-Pandemie ist ein Thema, welches uns alle bewegt. Bedingt durch fehlende Erfahrungswerte werden Fehler mit negativen Auswirkungen gemacht. Denn die Menschen sind genervt von den widersprüchlichen Informationen, haben den Überblick verloren, was eigentlich aktuell gilt und sind mental unwillig, hier weiter zu unterstützen.

Die Krux dabei ist, dass diese Situation nicht nur für Corona gilt, sondern z.B. auch für Security Awareness! Denn viele Verantwortliche vergessen einfach, dass in Zeiten wie diesen die Menschen keinen unbeschwerten Gedanken Kopf haben sich um Security Awareness zu kümmern und Ihre Interessen gelten ganz anderen Themen. Beispielsweise Personen dessen Angehörige erkrankt sind, die auf einen Testbericht für sich selbst warten oder gar die letzten Dinge für einen Verstorbenen regeln müssen, denen ist Security Awareness und IT-Sicherheit absolut egal!

Management-View

Clevere Manager erkennen dies und passen die Ist-Situation bzw. die momentanen Aktivitäten an die gegenwärtigen Herausforderungen an und fahren das Thema auf Sparflamme. Denn „Volle Kraft voraus“ bringt nur Verluste und keinen wesentlichen Fortschritt – nur eine Ressourcen-Verschwendung, Unverständnis, wenig Kooperation und ein schlechtes Image.

Erkennt man dies, kann man besser agieren und auch die verfügbaren Ressourcen und Strategien anpassen. Wie dies aussehen kann, soll nachfolgend mit Hilfe der Grafik besser verdeutlicht werden.

Auf dem Zeitstrahl haben wir die drei Begriffe: Gestern, Heute und Morgen

Security Awareness während einer Pandemie erfordert Fingerspitzengefühl und manchen radikalen Denkansatz.
Security Awareness während einer Pandemie erfordert Fingerspitzengefühl und manchen radikalen Denkansatz.
(Bild: Dombach)

Wir selbst agieren im Heute und hoffen, dass Morgen sich die medizinische Lage verbessern wird und wir flächendeckend zu einem geregelten, normalen Leben zurückkommen können, welches nicht von Ängsten und Sorgen beherrscht wird.

Gestern

Wenn Sie keine Zeitmaschine haben, wird ihnen der Zugriff auf das „Gestern“ verschlossen bleiben. Um es simpel zu sagen „Weine nicht um vergossene Milch“ – denn die Milch ist weg und Ihre Entscheidungen, die sie im Vorfeld getroffen haben, müssen sich nun bewähren.

Sicherlich können Sie an kleinen Schräubchen drehen und das Feintuning für Settings optimieren, aber nachhaltiger Einfluss auf Aktivitäten bei Personen, im Umfeld von Produkten etc. bleiben ihnen ohne einen größeren Aufwand in der Regel verwehrt. Gestern ist gelaufen – hoffen Sie also, dass sie gut gearbeitet haben!

Heute

Heute sollte Ihr Handeln ausgerichtet sein, an die durch Corona wirksamen Einschränkungen. Kern ist dabei, die Mitarbeiter wenig zu belasten. Vermeiden Sie Security-Awareness-Tests, Umfragen, Trainings etc., sondern beschränken sie sich darauf, dass technische und organisatorische(umfangreich) Umfeld zu optimieren.

Selbstverständlich wird dies auch die Zu- und Mitarbeit der Kolleginnen und Kollegen erfordern, doch die Anzahl der Beteiligten ist begrenzt. Jedoch wäre ein diskreter und einfühlsamer Check am Anfang, der Aktivitäten bzgl. der „Corona-Nebenwirkungen“ auf die Mitarbeiter nicht falsch!

Generell gilt, dass man das Thema Security Awareness auf Sparflamme kochen sollte. Eine optische und technische Signalwirkung ist aber durchaus sinnvoll. Also beispielsweise:

  • Auflage von Flyern und Aushängen von Werbe-Plakaten
  • Offerieren von etablierten Services wie z.B. ein erweiterter Spam-Check von E-Mails
  • Pflege der Intranet-Webseiten zum Thema

Jedoch sollten diese Schwerpunkte passiv offeriert werden – so kann der Anwender selbst entscheiden, ob er sie benötigt- es ergibt sich kein MUSS.

Normalerweise ist im täglichen Umfeld wenig Zeit, die getroffenen Entscheidungen zu hinterfragen oder zu optimieren. Daher ist das Heute der ideale Zeitpunkt dafür. Eine Überprüfung der IST-Situation kann, in der entsprechenden Tiefe erfolgen und mit den gewünschten Schwerpunkten:

  • Sind die vermittelten Themenfelder noch aktuell bzw. entsprechend sie dem Bedarf?
  • Ist die gewählte Strategie (Fake-E-Mail) als Training im Spam-Umfeld noch angemessen?
  • Ist die Frequenz von Trainings und anderen Interaktionen korrekt oder zu gering/häufig?
  • Gibt es Problemfelder, auf die man umgehend reagieren MUSS?
  • Für das Heute hat der Security-Verantwortlichen, genug Arbeit, um Security Awareness in der momentanen Situation zu verifizieren, und die Strategie für das Morgen besser anzupassen.

Morgen

Morgen ist der schwierigste Punkt im Zeitstrahl, denn wir kennen nicht den exakten Eintrittspunkt und auch nicht die Auswirkungen, sondern können nur spekulieren und mit Variablen und Wahrscheinlichkeiten arbeiten.

Focus für den Punkt „Morgen“ sollte eine informelle Betrachtung darstellen. Um es auf den Punkt zu bringen: Wie nützlich sind die getroffenen Maßnahmen?

Betrachtet man die Angelegenheit realistisch wird man viele Experten finden, die das Thema um das Themas selbst bearbeiten und auch „aufblähen“. Leider vergessen Sie dabei, das Security Awareness nur eine Teildisziplin unter vielen ist und Ressourcen, die in dieses Thema ohne einen Mehrwert investiert werden, an anderer Stelle sinnvoller wären.

Zwei Aspekte sind es, die für diesen Punkt des Zeitstrahls gelten:

  • 1. Welchen Nutzen hat der Mitarbeiter?
  • 2. Welchen Nutzen hat das Business bzw. das Unternehmen von den Maßnahmen?

Zu befürchten ist, dass es nicht bei einer Pandemie bleiben wird. Die sichtbaren bzw. arbeitstechnischen Einschränkungen für die Anwender können sich unterschiedlich darstellen. Dies kann auch eine weltweite Security-Attacke, eine globale Notfallsituation oder ein wirtschaftlicher Vorfall sein. Beide Punkte a) und b) kumulieren im Umfeld Home-Office, denn dies wird heute (und auch Morgen?) die bevorzugte Distanz im täglichen Umgang mit einer Pandemie werden (Isolation schützt?).

Ausschlaggebend ist die Art der HomeOffice-Nutzung – bzw. wie erfolgt der Zugriff auf die Unternehmensressourcen?

  • Zugriff mit dem Privat-PC?
  • Zugriff mit dem Firmen-PC?
  • Zugriff auf ein VPN mit dem Firmen-PC?

Sobald der Firmen-PC ins Spiel kommt, sinkt die Bedrohungsrate auf das Firmen-Level, welches hoffentlich gegen eine Vielzahl der etablierten Bedrohungen hilft.

Ist es aber ein Privat PC, gelten all die Bedrohungen, die man via Security Awareness im dienstlichen Umfeld versucht zu eliminieren PLUS derer, die für den Privat PC gelten. Hier dürfte es sich vor allem um Spam (Sextortion), Ransomware, Hackeraktivtitäten, Datendiebstahl oder Ressourcenmissbrauch durch dritte handeln. Punkte, die im dienstlichen Umfeld durch Know-how und Technik gut bekämpft und mit entsprechende bzgl. des Bedrohungslevels reduziert werden.

Im privaten Umfeld muss sich der User um diese Bedrohungen selbst kümmern bzw. relevante Produkte zum Schutz betreiben. Was dem Security-Awareness-Admin dabei die größten Sorgen bereiten dürfte ist die Vermischung von dienstlichen und privaten Belangen sein, bei denen private Attacken über den Anwender den Weg ins Unternehmen finden.

Denkbar hierbei sind z.B. Sextortion – Erpressung durch sexuelle Inhalte mit dem Ziel kein Geld zu erpressen, sondern Industriespionage. Auch die unbedachte Weitergabe von Download-Links (mit Backdoor-Tools als Nutzlast) ist denkbar oder auch klassischer Ressourcenverbrauch via Datamining. Falls hier im Vorfeld die Einbeziehung privater Umgebungen in den Schutz einbezogen wurden – Glückwunsch. Wenn nicht sollte schleunigst nachgebessert werden.

Denn Cyberangriffe enden nicht an der Domaingrenze oder bei einer IP-Adresse, sondern sind global zu betrachten. Dies ist vielleicht der wichtigste Punkt, denn man dem Anwender vermitteln muss, denn der Security-Awareness-Nutzen ist viel geringer, wenn kein aktiver Transport der Empfehlungen in den privaten Bereich erfolgt.

Vor allem der IT-Umgang im Familienumfeld (Shared Komponenten [Drucker, Storage], Risikobereitschaft [Copyright Download-Material] und das gelebte Security-Lavel [Security-Tools]) kann hier zu Problemen führen. Allerdings dies unter den gegebenen Umständen ist keine leichte Aufgabe – denn Sicherheitsprobleme in der IT oder eine Ansteckung im Rahmen einer Pandemie haben ja immer die anderen!

Ideal wäre es daher, wenn beispielsweise das Unternehmen entsprechende Tool für Security Awareness – oder besser noch ein E-Mail-Sicherheitstool etc. dem Mitarbeiter zur Verfügung stellen können. Allerdings ist dies nur dann möglich, wenn dafür ein Budget bereitgestellt wird, welches neben den Lizenzkosten auch die Funktion einer Hotline übernimmt. Denn manche Software braucht Experten, um die beste Schutzwirkung zu entfalten. Und es sollte nicht der Telefonanrufer von „Microsoft“ sein der in gebrochenem Deutsch bei der Lösung von bis dato unbekannten PC-Problemen helfen will und doch nur einen Trojaner oder ein RAT installieren will!

Zeitstrahl

Die Aufgaben bzgl. Security Awareness sind üblicherweise gegliedert und klar unterteilbar. Durch die Pandemie ergeben sich aber zwei signifikante Änderungen!

Zum einen sollte man auf die Belange der Kolleginnen/Kollegen Rücksicht nehmen und auf ihre individuelle Belastung durch die Pandemie (Pandemie-Koller etc.). Ein wenig Sparflamme schadet nicht.

Zum zweiten kann man die Zeit nutzen, dass Konzept und die Umsetzung auf vielen Ebenen zu hinterfragen und zu optimieren – denn Einsparpotential, OHNE Verlust von Qualität lässt sich i.d.R. immer generieren.

Wer es versteht, menschlich zu bleiben und seinen Elan auf Technik und Konzepte fokussiert, wird gestärkt aus der Pandemie hervorgehen und seinen Arbeitgeber bzgl. Security Awareness auf einem besseren Niveau vertreten.

Viel Erfolg bei der Reise auf dem Zeitstrahl!

(ID:47597922)

Über den Autor