Lohnt sich Sicherheits-Training?

Security Awareness ist Zeitverschwendung!

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Die Akzeptanz und Unterstützung von Security Awareness bzw. IT Sicherheit durch Mitarbeiter ist keine universelle Voraussetzung. Man muss auch damit rechnen, dass sich Mitarbeiter nicht für dieses Thema interessieren.
Die Akzeptanz und Unterstützung von Security Awareness bzw. IT Sicherheit durch Mitarbeiter ist keine universelle Voraussetzung. Man muss auch damit rechnen, dass sich Mitarbeiter nicht für dieses Thema interessieren. (Bild: geralt-Pixabay / CC0)

Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness (#SecAware) als lobenswerte und nützliche Maßnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld-Verschwendung ist.

Auch der amerikanische Security-Guru Bruce Schneier, schätzt SecAware-Maßnahmen in der Regel als wirkungslos ein. In seinem Artikel im Magazin DARKReading empfiehlt er stattdessen die Budgets in sichere Software-Entwicklung und bessere Security-Schnittstellen zu investieren.

Bruce Schneider führt aus, wie schwer es ist, den Menschen zu Veränderungen im eigenen Verhalten zu bewegen und illustriert dies an Beispielen aus dem Gesundheitsbereich. Ungeachtet dieser Tatsache, sind aber viele Unternehmen bzw. Branchen auch verpflichtet, Mitarbeiter in der sicheren und korrekten Nutzung der IT zu schulen. Die Frage ist nur, wie viel Investition in Ausbildung ist sinnvoll und wie sollte diese gestaltet sein?

Aber nehmen wir doch einmal die Rolle des Advocatus Diaboli ein und argumentierten so, als wäre Security Awareness Training wirklich pure Zeitverschwendung und damit überflüssig!

ROSI ist nicht messbar!

ROSI (Return On Security Investment), ist die Überlegung, dass durch ein Security Investment die Wahrscheinlichkeit des Eintritts eines Schadensereignisses (spürbar) reduziert werden kann. Vereinfacht gesagt, kalkuliert man mit einer Formel eine Security-Investition, die erzielte Risiko-Reduzierung durch die Investition und die Eintrittswahrscheinlichkeit der Bedrohung. Am Ende erhält man einen Wert, der den Nutzen der Security-Investition wiedergibt. Die Berechnung des ROSI kann dabei relativ simpel sein, oder viele Faktoren berücksichtigen und so eine Vielzahl von Seiten in einer Tabellenkalkulation füllen.

Die Formel sei dabei nicht Gegenstand der Betrachtung, sondern die Tatsache, dass die Eintrittswahrscheinlichkeit einer Bedrohung und die Wirksamkeit der Maßnahme geschätzt werden!

Bei einem Spam-Filter, dessen Hersteller 99,9 Prozent Erkennungsquote garantiert hat man einen belastbaren Wert. Aber die „Effektivität“ der Erkennung z.B. von Spam- und Phishing-E-Mails durch Anwender nach einer erfolgten Schulung zu beurteilen ist recht spekulativ.

Sicherlich sind Anwender nach einer Schulungsmaßnahme sensibilisiert und über einen gewissen Zeitraum argwöhnischer als sonst – aber wie lange hält dieser Effekt an? Wie lange achtet der Mitarbeiter im täglichen Arbeitsalltag wirklich auf ungewöhnliche E-Mails? Erinnert er sich nach sechs Monaten noch an die 40 Minuten, die er zu diesem Thema geschult wurde?

Die Eintrittswahrscheinlichkeit, dass Spam- und Phishing-E-Mails an den Anwender geschickt werden ist unbestreitbar sehr hoch – aber die Beurteilung der Wirksamkeit einer Schulungsmaßnahme zur Risikoreduzierung ist spekulativ!

Dazu kommt, dass diese Schulungsmaßnahme nicht isoliert betrachtet werden kann. Berichtet beispielsweise die Presse oder das Fernsehen von gehäuften E-Mail-Attacken trägt dies auch zur Sensibilisierung der Anwender bei und hat nichts mit der eigentlichen SecAware-Maßnahme zu tun. Erhalten Anwender aus dem Bekanntenkreis Warnungen zugespielt, forciert dies auch die Sensibilisierung für E-Mail-Angriffe, wobei dies keinerlei Bezug zu der Schulungsmaßnahme hat. Daher ist ein ROSI nicht wirklich messbar und das Budget wäre an anderer Stelle besser investiert.

IT Sicherheit braucht ein Training, nicht nur Awareness!

Haben Sie schon Ihre Cloud-Awareness-Infoveranstaltung und ihr „Datenbank-Awareness-Meeting besucht? Nein, aber die Schulungskurse für „Nutzen einer relationalen DB“ und „Temporäre Arbeitsumgebungen in virtuellen Clouds“!

Nirgendwo sonst in der IT gibt es „Awareness-Veranstaltungen“ – es gibt nur Trainings, in denen Mitarbeiter befähigt werden, mit Tools und komplexen Applikationen zielgerichtet umzugehen. Nur bei IT-Sicherheit, einer Kernkompetenz für den heutigen Geschäftserfolg, begnügt man sich mit Awareness!

Weshalb? Vielleicht deshalb, weil die Cyber-Bedrohungen derart vielfältig und dynamisch sind, und ein Training von vornherein nur auf Schwerpunkte beschränkt sein kann.

Klassisches Beispiel der Dateiaustausch. Anwender wissen, dass an Gateway-Systemen digital übermittelte Dateien (via: http, smtp, ftp …) auf Gefährlichkeit überprüft werden. Üblicherweise durch einen Malware-Scanner und/oder ein Sandbox-System oder auch ein Reputationssystem. Dateien, die der Mitarbeiter per CD, USB-Speicherstick, Speicherkarte etc. mit ins Unternehmen bringt sind davon ausgeschlossen. Ebenso wie oft auch verschlüsselte WWW-Downloads, die nicht geprüft werden (Infrastruktur fehlt, Kompetenzen nicht vorhanden, rechtliche Bedenken etc.).

Also informiert man Mitarbeiter in der Security-Awareness-Schulung über dieses Risiko und verbietet die Nutzung und/oder verlässt sich auf den jeweiligen Endpoint-Schutz, der den Anwender bzw. das Unternehmen schützen soll. Der Awareness ist Genüge getan und die Bedrohung ist in 10 Minuten abgehandelt!

Doch wie realistisch ist diese Aufklärung? Verbote werden missachtet (oder sehr locker interpretiert) und Endpoint-Schutzverfahren basieren in der Regel auf einem Security-Tool, anstatt auf mehreren.

Allein die Aufklärung über das Cyber-Risiko von nicht oder nur rudimentär geprüften Datei-Transfers bietet Trainings-Material für ganze Tage. Informationsbedarf besteht z.B. zu Fragen, wie:

  • Wie sieht die aktuelle Bedrohungslage aus? Welche Dateiformate nutzen Cyberkriminelle?
  • Welche Risiken ergeben sich für das Unternehmen und den Mitarbeiter?
  • Welche additiven Schutzmaßnahmen muss der Mitarbeiter im Fall eines mitgebrachten Datenträgers ergreifen?
  • Welche Dateiarten sind ungefährlich? Gibt es überhaupt ungefährliche Dateien?
  • Was tun, wenn eine Datei benötigt wird, aber die Nutzung unsicher ist?

Werden diese Fragen ausführlich behandelt und die Konsequenzen einer Missachtung dargestellt ist die Bedrohung für den Anwender verständlicher, als ein nur rudimentär begründetes Verbot oder die thematische Abhandlung in einer 10 Minuten Einheit. Doch bei einer traditionellen SecAware-Schulung ist dafür in der Regel kein adäquater Zeitblock verfügbar.

IT Security ist nicht das Kerngeschäft eines Unternehmens

Unternehmen fertigen Waren, verkaufen Dienstleistungen, lösen Probleme und agieren für Ihre Kunden. Dazu stellt ein Unternehmen Fachleute ein für Forschungs-, Fertigungs-, Finanz- und Produktionsthemen! Aber diese Leute sollen in Ihrem Spezialgebiet agieren und Gewinne erzielen bzw. zum Unternehmenserfolg beitrage und sich nicht mit IT Sicherheit herumschlagen. Weshalb also wertvolle Arbeitszeit eines Ingenieurs für Automatisierungstechnik dafür verplempern, um als „Last Line“ in der IT Security zu fungieren?

Unternehmen müssen Ihre Aktionäre zufriedenstellen, Wirtschaftspläne erfüllen und innovative Lösungen präsentieren. Wenn Mitarbeiter dazu genötigt sind, sich um IT Security zu kümmern, könnte bei der Unternehmensleitung der Eindruck entstehen, dass vielleicht der CISO oder CIO etwas falsch macht.

Werden dennoch Fachleute von ihrer eigentlichen Arbeit abgezogen, um Security-Awareness-Schulungen zu besuchen, ist dies unter Umständen wirklich Zeitverschwendung, denn:

  • Die Zeit für den Besuch von solchen Maßnahmen fehlt bei der eigentlichen Tätigkeit
  • Der vermittelte Inhalt ist, wenn er nicht auf Teilnehmergruppen angepasst wurde, breit gestreut und passt nicht für Teile der Zielgruppe (Gießkannenprinzip: Jeder Mitarbeiter erhält ungeachtet seiner Tätigkeiten die gleichen Informationen).
  • Die Informationen haben nur eine geringe Haltbarkeitszeit, weil Spezialisten genug damit zu tun haben, in Ihrem Fachgebiet zu wirken und dort erforderliche Informationen zu erlernen und umzusetzen
  • Die Notwendigkeit („Zwang“), sich im Rahmen von Security Awareness mit fremden Themen wie Security zu beschäftigen führt oft zu einer generellen Ablehnung durch die betroffenen. Frei nach dem Motto: „Das ist nicht meine Aufgabe, dafür bin ich nicht zuständig“.

Die Akzeptanz und Unterstützung von Security Awareness bzw. IT Sicherheit durch Mitarbeiter ist keine universelle Voraussetzung. Man muss auch damit rechnen, dass sich Mitarbeiter nicht für dieses Thema interessieren und daher auch nur einen geringen Mehrwert zur Abwehr von Security-Bedrohungen leisten. IT Sicherheit soll durch eine Security-Abteilung erbracht werden, nicht durch alle Mitarbeiter.

Die Macht der Werbung

Werbung ist allgegenwärtig! Sei es auf Plakatwänden, auf dem neuesten T-Shirt, auf Bildschirmen in der U-Bahn, im TV oder im Radiospot – für alles wird geworben. Also bewirbt man auch Security Awareness. Billige Kugelschreiber, Notizzettel und markige Sprüche auf DIN A0 Plakaten fungieren als Werbeträger. Sehr beliebt auch Dinge, wie Kaffeetassen, Zollstäbe oder andere Gegenstände des täglichen Gebrauchs.

Doch seien wir realistisch – billige Kugelschreiber werden entsorgt, weil sie nicht taugen oder sich die leergeschriebene Mine nicht ersetzen lässt, Notizzettel landen irgendwann im Mülleimer und das Werbeplakat vergilbt und wird entsorgt. Damit erlischt auch die Werbebotschaft und wird vergessen, wie viele andere gute Vorsätze.

Die Frage, ob der finanzielle Aufwand für das Design, die Produktion, die Lagerung und Verteilung der Werbeartikel einen Mehrwert bewirkt, wird auftauchen! Denn anders als bei Werbung für die neue Getränkesorte gibt es bei Security keinen Verkaufszahlen die eine Werbemaßnahme messbar machen. Weshalb soll man also dann werben? Wäre es nicht stattdessen sinnvoller, in ein besseres Backup-System oder einen Antivirenscanner für Storage-Systeme zu investieren? Denn Investitionen in Security-Hardware ist messbar und kann via KPIs auch plakativ vermittelt werden.

Werbung auf Kaffeetassen und Mousepads wird nur unwesentlich dazu beitragen, dass sich Mitarbeiter für IT Sicherheit interessieren. Ein Aufforderung „Klicken Sie hier für den Gratis-Download der neuesten Smartphone-Anwendung“ ist allemal interessanter als die Security-Warnung „Klicken Sie nicht auf jeden Link!“ der auf Sicherheits-Kalender aufgedruckt ist. Daher ist Werbung als flankierende Maßnahme zur Steigerung der Mitarbeiter-Awareness und als permanente Erinnerung an die Wichtigkeit von IT Security wenig zweckdienlich.

Security Awareness als WOMBAT-Projekt

Wombats sind australische Beutelsäuger und die kreative Abkürzung für „Waste Of Money Brain And Time“ (Verschwendung von Geld, Verstand und Zeit).

Security Awareness kann leicht als WOMBAT-Projekt enden, dass keinerlei Mehrwert für den Auftraggeber bietet, sondern nur die Taschen einzelner Dienstleiter füllt und Geld für gute Investitionen verknappt. Bruce Schneier, wie eingangs erwähnt, hat hier einige Ideen, wie man Security-Gelder besser investieren könnte. Beispielsweise in die Entwicklung von Systemen die eine Nutzung von schwachen Passwörtern nicht gestatten, oder in die Ausbildung von Entwicklern. Denn wenn diese nicht nur effektiven Programmcode schreiben, sondern auch sicheren unterstützt dies die IT Sicherheit auf breiter Basis!

Heutzutage stellt sich ohnehin die Frage, ob der normale Privat-Anwender, Firmen-Mitarbeiter oder Beamte noch in der Lage ist, auch nur ansatzweise den Cyber-Risiken zu verstehen! Sicherlich kann man Mitarbeiter dazu befähigen, aber IT Sicherheit ist nicht das Kerngeschäft einer Möbelfertigung oder eines Krankenhauses.

Würde man Security bei den Mitarbeitern den Stellenwert einräumen, den sie erfordert, führt dies zum Erliegen des eigentlichen Kerngeschäftes. Daraus folgt, das man SecAware als Transportmedium für IT Sicherheit, da es ich um pure Zeitverschwendung handelt, entfallen lassen kann!

Plädoyer

Security Awareness ist Zeitverschwendung… dies wäre die unvermeidliche Schlussfolgerung, zu der ein Advocatus Diaboli gelangt!

Doch wie reagiert man auf Spam-E-Mails, Ransomware, Hacker, Cyber-Diebe, Wirtschaftsspionage und all die anderen Cyber-Threads, die heutzutage lauern? Mangels eines besseren Konzepts, wohl damit, die bestehenden Sicherheitskonzepte zu erweitern und ein zuverlässiges Schutzfeld um den Anwender aufzubauen, welches Ihn und auch die Unternehmens-IT schützt.

Wohl wissend, dass es bei IT Sicherheit keinen 100 prozentigen Schutz gibt – aber andere Alternativen sind nicht wirklich besser. Den Anwender als „Last Line Of Defense“ zu etablieren ist ein verlockender Gedanke. Aber in der Realität gleicht dieses Vorhaben einem betagten Rentner, der mit einem Vorderlader-Gewehr gegen zeitgemäß ausgerüstete Soldaten in die Schlacht ziehen soll.

Investieren Sie in wirksame technische und organisatorische Lösungen, um ihre IT zu schützen und verabschieden Sie sich von Security Awareness!

Über den Autor

Anders als der Advocatus Diaboli sieht der Autor durchaus die Vorteile einer lebendigen, intensiven und zeitgemäßen SecAware-Maßnahme. Aber er sieht auch, dass die Vorteile tagtäglich schrumpfen und dass man darauf reagieren muss.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44431168 / Mitarbeiter-Management)