Tipps und Maßnahmen zur Sensibilisierung für IT-Sicherheit Security Awareness mit Humor und Personenbezug
Anbieter zum Thema
Security-Awareness-Maßnahmen waren vor einigen Jahren noch der große Renner. Heute dümpeln sie unbeachtet, neben anderen Initiativen, im Leerlauf vor sich hin. Weshalb? Wirtschaftsspione, Datendiebe und Hacker sind genauso wenig lammfromm geworden, wie die IT fehlerfrei.

Nach wie vor gibt es Cyber-Kriminelle und nach wie vor ist die IT nicht allmächtig. Doch aktuell fehlt es an Budget und auch an der Motivation, in Security Awareness zu investieren. Der Mehrwert entsprechender Maßnahmen lässt sich schwer darstellen.
Es ist das übliche Dilemma der IT Sicherheit: Passiert nichts, wird man gefragt, weshalb man Ressourcen verschwendet. Passiert doch etwas und das Unternehmen findet sich mit einer Schlagzeile in der Tageszeitung wieder, waren die bisherigen Maßnahmen wohl nicht sehr effektiv.
Mitunter ist es auch wirklich so, dass die Aktivitäten zur Sensibilisieren der Mitarbeiter wertlos sind. Die Awareness-Schulung, die vor fünf Jahren aufgelegt wurde, besitzt immer noch die gleiche Struktur und auf den Vortragsfolien wurden zwischenzeitlich nur das Datum und der Name des Referenten geändert.
Dass sich die Qualität einer solchen Schulung im Unternehmen herumspricht liegt nahe. Wenn Mitarbeiter dann nach Auswegen suchen, um an einer solchen Pflicht-Veranstaltung nicht teilnehmen zu müssen, ist es höchste Zeit, die Maßnahmen zu überarbeiten.
Zielgruppen-Orientierung
Der Bedarf an Sicherheitsinformationen orientiert sich, von einer kleinen gemeinsamen Basis abgesehen, immer am Arbeitsumfeld. Der reisende Vertriebsmitarbeiter, der mit dem Notebook unterwegs ist, hat einen anderen Focus, als der Entwickler im Büro. Während der Vertriebsmitarbeiter zum Thema Datenschutz, Notebook-Verschlüsselung, Datentransfer und Dokumenten-Vertraulichkeit informiert werden sollte interessieren den ASP-Entwickler andere Themen.
Wie überprüft man ob eine Download-Webseite frei von Schadsoftware ist, welche Dateiformate darf und kann man über die Gateway-Security-Systeme aus dem Internet beziehen und in welchem Umfang darf man die betriebliche E-Mail-Adresse in Entwickler-Foren (etc.) nutzen? Derart spezifische Themen lassen sich mit einer „Sensibilisierungs-Gießkanne“ nicht effektiv beantworten.
Je individueller die Ausrichtung der Informationen ist, umso wirksamer sind die Maßnahmen. Eigentlich seltsam - denn bei der Weiterbildung schickt man ja Mitarbeiter auch auf Seminare, die sich an Ihrem Bedarf orientieren. Nur bei Security Awareness denkt man, eine Veranstaltung passt für alle!
Wichtige Punkte für die Sensibilisierung
Wer im World Wide Web nach Security Awareness sucht, der wird ohne Probleme fündig. Auf vielen Seiten werden Kampagnen von der Konzeption zur Umsetzung bis hin zur gemessenen Wirksamkeit beschrieben. Dabei findet man wiederkehrende Kernkomponenten, die eine solche Kampagne begleiten:
- Griffiger Slogan für die Security-Awareness-Kampagne (Branding).
- Ein visuelles Erkennungszeichen wie Symbole, Farben oder Motive.
- Die Einbindung des Managements inc. dem „Brief an alle Mitarbeiter“.
- Die Intranet-Seiten mit weiterführenden Informationen.
- Unterstützende Elemente wie Poster, Give-Aways, Flyer oder Videos.
- Computer Based Traniges zum Selbststudium am PC.
- Präsentationen mit (externen) Experten.
- Die abschließende Bewertung über den Erfolg der Aktionen.
Basierend auf diesen Kernkomponenten lässt sich eine mehrstufige Kampagne nach folgendem Schema verhältnismäßig zügig umsetzen:
- 1. Aufmerksamkeit erregen
- 2. Wissen transferieren und
- 3. Etablieren/Verstärken
Security-Awareness-Berater verfügen über Material und auch Erfahrungswerte, wie sich die Komponenten zweckmäßig einsetzen lassen. Die Frage ist jedoch, wie wirksam eine solche Kampagne wirklich ist.
Gelingt es, die Mitarbeiter mit Standard-Elementen für Security Awareness zu interessieren? Sind die vermittelten Informationen an das Geschäftsrisiko des Unternehmens angepasst? Oder ist es doch die bewährte Gießkanne, bei der von Spam über Computerviren bis bin zum Identitätsdiebstahl bei Social Media alles betrachtet wird?
Investiert man in eine Kampagne, die auf dem Papier gut aussieht, aber in der Praxis keinen Hund hinter dem Ofen hervorlockt, hat man seine Chance vertan. Daher sollte man vorab die Frage klären, ob es wirklich eine ressourcenintensive Security-Awareness-Kampagne sein soll, oder ob z.B. virales Marketing nicht auch dazu geeignet ist, die Mitarbeiter zu sensibilisieren.
Identifikation schafft Sicherheitsbewusstsein
Eine Merksatz der IT Sicherheit besagt, man muss „die Betroffen zu Beteiligten machen“. Denn nur, wenn die Mitarbeiter bereit sind, mit der Security-Abteilung auf das gleiche Ziel hinzuarbeiten, lässt sich etwas erreichen. Wenn dabei die Initiative vom Mitarbeiter selbst ausgeht – umso besser!
Üblicherweise ist der Mitarbeiter auf sein Arbeitsgebiet fokussiert. Vom Arbeitgeber wird erwartet, dass der PC rund läuft, die Malware-Abwehr funktioniert, die Gehaltsüberweisung pünktlich erfolgt und die Büroräume periodisch gereinigt werden.
Damit der Mitarbeiter sich aktiv um einzelne Belange kümmert, muss es ihn betreffen oder interessieren. Kein Mitarbeiter wird eine Eselsbrücke zur Passwort-Erstellung an Arbeitskollegen weitergeben, aber einen Link zu einem witzigen wie aussagekräftigen Youtube-Video schon (auch die Bundeswehr macht sich Gedanken über die Passwort-Sicherheit).
Die Botschaft ist die gleiche, nutze gute Passwörter – aber die visuelle Darstellung ist attraktiver. Gerade Videos, kurze Sequenzen, die ein Thema in den Mittelpunkt stellen, sind gut geeignet, um Security Awareness zu transportieren.
Wobei: Video ist nicht gleich Video! Der hauseigene Sicherheitsbeauftragte, der per Video über die Gefahren von Smartphones referiert ist in der Regel weniger attraktiv und unterhaltsam, als wenn die Warnung von einem anerkannten Antivirus-Experten stammt.
Teilen und nicht trennen
Heute vermischen sich private und berufliche Belange zusehends. Der berufliche Kontakt zu einem Kunden kann auch ein privates Gegenstück haben, weil beide die gleichen Hobbys pflegen. Auch aktuelle Trends – wie BYOD oder die verstärkte Nutzung von Social Media – führen zu einer engeren Verzahnung von privaten und beruflichen Aspekten.
Security Awareness kann sich auch über die „Privatschiene“ als nützlich für das Unternehmen erweisen. Informationen, die dem Mitarbeiter bei der Gefahrenabwehr (Spam, Phishing) im privaten E-Mail-Umfeld unterstützen, bringen auch im beruflichen Umfeld einen Mehrwert. Denn das privat erlernte wird auch im beruflichen Alltag genutzt.
Da es im privaten Umfeld keinen IT-Dienstleister wie am Arbeitsplatz gibt, muss sich der Mitarbeiter dort selbst um die IT-Sicherheit kümmern. Erfährt er hier eine Unterstützung von seinem Arbeitgeber, ist dies eine Win-Win-Situation für beide Seiten. Sicherlich würde es zu weit führen, Support für private Anwendungen anzubieten – aber Unterstützung in ausgewählten Themenbereichen, die beruflich und privat genutzt werden, ist durchaus sinnvoll.
Stichwort Soziale Netzwerke: Praktische Handlungsempfehlungen, Informationen zu rechtlichen Fallstricken, Tipps für den Schutz der Privatsphäre, bekannte Spam-Attacken in sozialen Netzwerken – all das schützt den Mitarbeiter sowohl privat als auch in der Zeit, in der er für das Unternehmen arbeitet.
Eine Empfehlung zu aktuellen Informationen, wie die Broschüre Soziale Netzwerke und ihre Auswirkungen auf die Unternehmenssicherheit des Bayerischen Landesamts für Verfassungsschutz und der Hochschule Augsburg helfen weiter. Im Prinzip ist Security Awareness einfach – gib den Mitarbeitern ansprechende und nützliche Informationen die sie in Ihre Arbeit unterstützen! Wenn es gut ist, setzt der virale Effekt von allein ein!
Gängige Security-Awareness-Killer
Es gibt gute Ideen, aber auch schlechte Ansätze zur Schaffung eines Sicherheitsbewusstseins. Zu den Aktionen, die Mitarbeiter eher dazu bringen, sich dem Thema Security Awareness offensiv entgegenzustellen, zählen z.B.:
- Computer-Based-Trainings, die realitätsfern mit Strichmännchen-Grafik Pseudo-Fachwissen vermitteln und am Ende mit Mutli-Choices das „Erlernte“ abfragen.
- Umfangreiche Papierwerke, die mit Fach-Chinesisch glänzen und anstatt knapper Anweisungen oder effektiver Hilfe möglichst ALLES abdecken wollen.
- Regeln und Empfehlungen die nicht die gelebte IST-Situation im Unternehmen wiedergeben, sondern einen Zukunftsvision anstreben.
- Angeordnete Aktivitäten, bei denen es eher um eine Quote (Compliant) geht, also um echte Themen- Sensibilisierung.
- Präsenz-Veranstaltungen, bei denen Folien heruntergeleiert werden (Death by PowerPoint).
- Einmalige „Hau-Ruck“-Aktion, ohne Nachhaltigkeit
Empfehlung
Security Awareness ist wichtig, denn die Mitarbeiter sind die letzte Verteidigungslinie zwischen Angreifer und Daten. Die Sensibilisierung funktioniert aber nur, wenn man auf das Umfeld des Mitarbeiters eingeht und ihn aktiv unterstützt, sich für IT Sicherheit zu engagieren.
Uninteressante Aktionen, totgeredete Themen und unflexible Abläufe schaffen keine Awareness sondern Demotivation. Gehen Sie intelligent auf die unterschiedlichen Zielgruppen zu und machen Sie Betroffene zu Beteiligten. Dann gewinnt Security Awareness!
(ID:35851150)