:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Tipps und Maßnahmen zur Sensibilisierung für IT-Sicherheit Security Awareness mit Humor und Personenbezug
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Security-Awareness-Maßnahmen waren vor einigen Jahren noch der große Renner. Heute dümpeln sie unbeachtet, neben anderen Initiativen, im Leerlauf vor sich hin. Weshalb? Wirtschaftsspione, Datendiebe und Hacker sind genauso wenig lammfromm geworden, wie die IT fehlerfrei.
Nach wie vor gibt es Cyber-Kriminelle und nach wie vor ist die IT nicht allmächtig. Doch aktuell fehlt es an Budget und auch an der Motivation, in Security Awareness zu investieren. Der Mehrwert entsprechender Maßnahmen lässt sich schwer darstellen.
Es ist das übliche Dilemma der IT Sicherheit: Passiert nichts, wird man gefragt, weshalb man Ressourcen verschwendet. Passiert doch etwas und das Unternehmen findet sich mit einer Schlagzeile in der Tageszeitung wieder, waren die bisherigen Maßnahmen wohl nicht sehr effektiv.
Mitunter ist es auch wirklich so, dass die Aktivitäten zur Sensibilisieren der Mitarbeiter wertlos sind. Die Awareness-Schulung, die vor fünf Jahren aufgelegt wurde, besitzt immer noch die gleiche Struktur und auf den Vortragsfolien wurden zwischenzeitlich nur das Datum und der Name des Referenten geändert.
Dass sich die Qualität einer solchen Schulung im Unternehmen herumspricht liegt nahe. Wenn Mitarbeiter dann nach Auswegen suchen, um an einer solchen Pflicht-Veranstaltung nicht teilnehmen zu müssen, ist es höchste Zeit, die Maßnahmen zu überarbeiten.
Zielgruppen-Orientierung
Der Bedarf an Sicherheitsinformationen orientiert sich, von einer kleinen gemeinsamen Basis abgesehen, immer am Arbeitsumfeld. Der reisende Vertriebsmitarbeiter, der mit dem Notebook unterwegs ist, hat einen anderen Focus, als der Entwickler im Büro. Während der Vertriebsmitarbeiter zum Thema Datenschutz, Notebook-Verschlüsselung, Datentransfer und Dokumenten-Vertraulichkeit informiert werden sollte interessieren den ASP-Entwickler andere Themen.
Wie überprüft man ob eine Download-Webseite frei von Schadsoftware ist, welche Dateiformate darf und kann man über die Gateway-Security-Systeme aus dem Internet beziehen und in welchem Umfang darf man die betriebliche E-Mail-Adresse in Entwickler-Foren (etc.) nutzen? Derart spezifische Themen lassen sich mit einer „Sensibilisierungs-Gießkanne“ nicht effektiv beantworten.
Je individueller die Ausrichtung der Informationen ist, umso wirksamer sind die Maßnahmen. Eigentlich seltsam - denn bei der Weiterbildung schickt man ja Mitarbeiter auch auf Seminare, die sich an Ihrem Bedarf orientieren. Nur bei Security Awareness denkt man, eine Veranstaltung passt für alle!
Wichtige Punkte für die Sensibilisierung
Wer im World Wide Web nach Security Awareness sucht, der wird ohne Probleme fündig. Auf vielen Seiten werden Kampagnen von der Konzeption zur Umsetzung bis hin zur gemessenen Wirksamkeit beschrieben. Dabei findet man wiederkehrende Kernkomponenten, die eine solche Kampagne begleiten:
- Griffiger Slogan für die Security-Awareness-Kampagne (Branding).
- Ein visuelles Erkennungszeichen wie Symbole, Farben oder Motive.
- Die Einbindung des Managements inc. dem „Brief an alle Mitarbeiter“.
- Die Intranet-Seiten mit weiterführenden Informationen.
- Unterstützende Elemente wie Poster, Give-Aways, Flyer oder Videos.
- Computer Based Traniges zum Selbststudium am PC.
- Präsentationen mit (externen) Experten.
- Die abschließende Bewertung über den Erfolg der Aktionen.
Basierend auf diesen Kernkomponenten lässt sich eine mehrstufige Kampagne nach folgendem Schema verhältnismäßig zügig umsetzen:
- 1. Aufmerksamkeit erregen
- 2. Wissen transferieren und
- 3. Etablieren/Verstärken
Security-Awareness-Berater verfügen über Material und auch Erfahrungswerte, wie sich die Komponenten zweckmäßig einsetzen lassen. Die Frage ist jedoch, wie wirksam eine solche Kampagne wirklich ist.
Gelingt es, die Mitarbeiter mit Standard-Elementen für Security Awareness zu interessieren? Sind die vermittelten Informationen an das Geschäftsrisiko des Unternehmens angepasst? Oder ist es doch die bewährte Gießkanne, bei der von Spam über Computerviren bis bin zum Identitätsdiebstahl bei Social Media alles betrachtet wird?
Investiert man in eine Kampagne, die auf dem Papier gut aussieht, aber in der Praxis keinen Hund hinter dem Ofen hervorlockt, hat man seine Chance vertan. Daher sollte man vorab die Frage klären, ob es wirklich eine ressourcenintensive Security-Awareness-Kampagne sein soll, oder ob z.B. virales Marketing nicht auch dazu geeignet ist, die Mitarbeiter zu sensibilisieren.
Identifikation schafft Sicherheitsbewusstsein
Eine Merksatz der IT Sicherheit besagt, man muss „die Betroffen zu Beteiligten machen“. Denn nur, wenn die Mitarbeiter bereit sind, mit der Security-Abteilung auf das gleiche Ziel hinzuarbeiten, lässt sich etwas erreichen. Wenn dabei die Initiative vom Mitarbeiter selbst ausgeht – umso besser!
Üblicherweise ist der Mitarbeiter auf sein Arbeitsgebiet fokussiert. Vom Arbeitgeber wird erwartet, dass der PC rund läuft, die Malware-Abwehr funktioniert, die Gehaltsüberweisung pünktlich erfolgt und die Büroräume periodisch gereinigt werden.
Damit der Mitarbeiter sich aktiv um einzelne Belange kümmert, muss es ihn betreffen oder interessieren. Kein Mitarbeiter wird eine Eselsbrücke zur Passwort-Erstellung an Arbeitskollegen weitergeben, aber einen Link zu einem witzigen wie aussagekräftigen Youtube-Video schon (auch die Bundeswehr macht sich Gedanken über die Passwort-Sicherheit).
Die Botschaft ist die gleiche, nutze gute Passwörter – aber die visuelle Darstellung ist attraktiver. Gerade Videos, kurze Sequenzen, die ein Thema in den Mittelpunkt stellen, sind gut geeignet, um Security Awareness zu transportieren.
Wobei: Video ist nicht gleich Video! Der hauseigene Sicherheitsbeauftragte, der per Video über die Gefahren von Smartphones referiert ist in der Regel weniger attraktiv und unterhaltsam, als wenn die Warnung von einem anerkannten Antivirus-Experten stammt.
Teilen und nicht trennen
Heute vermischen sich private und berufliche Belange zusehends. Der berufliche Kontakt zu einem Kunden kann auch ein privates Gegenstück haben, weil beide die gleichen Hobbys pflegen. Auch aktuelle Trends – wie BYOD oder die verstärkte Nutzung von Social Media – führen zu einer engeren Verzahnung von privaten und beruflichen Aspekten.
Security Awareness kann sich auch über die „Privatschiene“ als nützlich für das Unternehmen erweisen. Informationen, die dem Mitarbeiter bei der Gefahrenabwehr (Spam, Phishing) im privaten E-Mail-Umfeld unterstützen, bringen auch im beruflichen Umfeld einen Mehrwert. Denn das privat erlernte wird auch im beruflichen Alltag genutzt.
Da es im privaten Umfeld keinen IT-Dienstleister wie am Arbeitsplatz gibt, muss sich der Mitarbeiter dort selbst um die IT-Sicherheit kümmern. Erfährt er hier eine Unterstützung von seinem Arbeitgeber, ist dies eine Win-Win-Situation für beide Seiten. Sicherlich würde es zu weit führen, Support für private Anwendungen anzubieten – aber Unterstützung in ausgewählten Themenbereichen, die beruflich und privat genutzt werden, ist durchaus sinnvoll.
Stichwort Soziale Netzwerke: Praktische Handlungsempfehlungen, Informationen zu rechtlichen Fallstricken, Tipps für den Schutz der Privatsphäre, bekannte Spam-Attacken in sozialen Netzwerken – all das schützt den Mitarbeiter sowohl privat als auch in der Zeit, in der er für das Unternehmen arbeitet.
Eine Empfehlung zu aktuellen Informationen, wie die Broschüre Soziale Netzwerke und ihre Auswirkungen auf die Unternehmenssicherheit des Bayerischen Landesamts für Verfassungsschutz und der Hochschule Augsburg helfen weiter. Im Prinzip ist Security Awareness einfach – gib den Mitarbeitern ansprechende und nützliche Informationen die sie in Ihre Arbeit unterstützen! Wenn es gut ist, setzt der virale Effekt von allein ein!
Gängige Security-Awareness-Killer
Es gibt gute Ideen, aber auch schlechte Ansätze zur Schaffung eines Sicherheitsbewusstseins. Zu den Aktionen, die Mitarbeiter eher dazu bringen, sich dem Thema Security Awareness offensiv entgegenzustellen, zählen z.B.:
- Computer-Based-Trainings, die realitätsfern mit Strichmännchen-Grafik Pseudo-Fachwissen vermitteln und am Ende mit Mutli-Choices das „Erlernte“ abfragen.
- Umfangreiche Papierwerke, die mit Fach-Chinesisch glänzen und anstatt knapper Anweisungen oder effektiver Hilfe möglichst ALLES abdecken wollen.
- Regeln und Empfehlungen die nicht die gelebte IST-Situation im Unternehmen wiedergeben, sondern einen Zukunftsvision anstreben.
- Angeordnete Aktivitäten, bei denen es eher um eine Quote (Compliant) geht, also um echte Themen- Sensibilisierung.
- Präsenz-Veranstaltungen, bei denen Folien heruntergeleiert werden (Death by PowerPoint).
- Einmalige „Hau-Ruck“-Aktion, ohne Nachhaltigkeit
Empfehlung
Security Awareness ist wichtig, denn die Mitarbeiter sind die letzte Verteidigungslinie zwischen Angreifer und Daten. Die Sensibilisierung funktioniert aber nur, wenn man auf das Umfeld des Mitarbeiters eingeht und ihn aktiv unterstützt, sich für IT Sicherheit zu engagieren.
Uninteressante Aktionen, totgeredete Themen und unflexible Abläufe schaffen keine Awareness sondern Demotivation. Gehen Sie intelligent auf die unterschiedlichen Zielgruppen zu und machen Sie Betroffene zu Beteiligten. Dann gewinnt Security Awareness!
(ID:35851150)
:quality(80)/p7i.vogel.de/wcms/67/e4/67e44f84835d9f919003ad8dbf03d436/0114086650.jpeg "Mitarbeitende und Unternehmen in Deutschland nehmen ihre Verantwortung bei der IT-Sicherheit nicht im geforderten Ausmaß ernst. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/5b/dd5b7307ce0a241490bf89c62bb6529b/0114007700.jpeg "Für Unternehmen spielen APIs zunehmend eine entscheidende Rolle im operativen und wirtschaftlichen Handeln. Für Cyberkriminelle sind APIs dagegen ein lukratives Angriffsziel. (Bild: Murrstock - stock.adobe.com)")