Tipps und Maßnahmen zur Sensibilisierung für IT-Sicherheit Security Awareness mit Humor und Personenbezug

Von Ralph Dombach |

Anbieter zum Thema

Security-Awareness-Maßnahmen waren vor einigen Jahren noch der große Renner. Heute dümpeln sie unbeachtet, neben anderen Initiativen, im Leerlauf vor sich hin. Weshalb? Wirtschaftsspione, Datendiebe und Hacker sind genauso wenig lammfromm geworden, wie die IT fehlerfrei.

Folien-Filme und dergleichen sorgen dafür, dass sich Teilnehmer einer Sicherheitsschulung langweilen.
Folien-Filme und dergleichen sorgen dafür, dass sich Teilnehmer einer Sicherheitsschulung langweilen.
(Bild: VIT)

Nach wie vor gibt es Cyber-Kriminelle und nach wie vor ist die IT nicht allmächtig. Doch aktuell fehlt es an Budget und auch an der Motivation, in Security Awareness zu investieren. Der Mehrwert entsprechender Maßnahmen lässt sich schwer darstellen.

Es ist das übliche Dilemma der IT Sicherheit: Passiert nichts, wird man gefragt, weshalb man Ressourcen verschwendet. Passiert doch etwas und das Unternehmen findet sich mit einer Schlagzeile in der Tageszeitung wieder, waren die bisherigen Maßnahmen wohl nicht sehr effektiv.

Mitunter ist es auch wirklich so, dass die Aktivitäten zur Sensibilisieren der Mitarbeiter wertlos sind. Die Awareness-Schulung, die vor fünf Jahren aufgelegt wurde, besitzt immer noch die gleiche Struktur und auf den Vortragsfolien wurden zwischenzeitlich nur das Datum und der Name des Referenten geändert.

Dass sich die Qualität einer solchen Schulung im Unternehmen herumspricht liegt nahe. Wenn Mitarbeiter dann nach Auswegen suchen, um an einer solchen Pflicht-Veranstaltung nicht teilnehmen zu müssen, ist es höchste Zeit, die Maßnahmen zu überarbeiten.

5 Tipps zur Sicherheitssensibilisierung

Je kreativer und informativer SecAware-Aktionen sind, desto größer ist der Lernerfolg der Maßnahme und auch die Chance, das Verhalten der Mitarbeiter bzgl. IT Sicherheit zu beeinflussen. Worauf die Mitarbeiter am besten ansprechen, hängt u.a. von der Unternehmenskultur, dem technischen Wissen und der Art der Informationsvermittlung ab. Einige Anregungen, wie man „Security“ kreativ vermittelt, mögen die nachfolgenden Links geben:

Tipp 1: Es genügt nicht, Security-Produkte einfach zu kaufen und zu installieren. Damit diese bestmöglich funktionieren, müssen die Komponenten aufeinander abgestimmt werden und im Verbund arbeiten. Dass dies manchmal eine echte Herausforderung ist, zeigt das Online-Spiel VirusWars des Antivirus-Herstellers Bitdefender.

Tipp 2: Ein Passwort mit mindestens 8 Stellen und Sonderzeichen ist nicht kompliziert. Es gibt da Unternehmen, die sind viel „gemeiner“. Schauen Sie doch mal in dem Video, wie kompliziert es mitunter ist, ein neues Passwort zu vergeben.

Tipp 3: Datenschutz ist wichtig – für Privatpersonen ebenso, wie für Unternehmen. Wer dieses Thema auf die leichte Schulter nimmt, schadet sich und anderen. Ein Video der Reihe „Ach- und Krachgeschichten“ des NDR zeigt die Hintergründe.

Tipp 4: Passwörter sind vertraulich und sollen es auch bleiben. Wer sein Passwort an Fremde gibt, dem kann es leicht passieren, dass er am Ende ausgesperrt wird und nicht mehr auf seine Daten zugreifen kann. Wie schnell dies geht, zeigt eine legendäre Filmszene der Marx Brothers.

Tipp 5: Daten sind heutzutage ein wertvolles Handelsgut. Daten-Händler verdienen mit dem Handel ihr Geld. Achten Sie auf darauf, wer Zugriff auf Ihre persönlichen und beruflichen Daten erhält. Einen Einblick in das Geschäftsfeld des Datenhandels gibt das Online-Spiel DataDealer, das aktuell in einer Demo-Version verfügbar ist.

Zielgruppen-Orientierung

Der Bedarf an Sicherheitsinformationen orientiert sich, von einer kleinen gemeinsamen Basis abgesehen, immer am Arbeitsumfeld. Der reisende Vertriebsmitarbeiter, der mit dem Notebook unterwegs ist, hat einen anderen Focus, als der Entwickler im Büro. Während der Vertriebsmitarbeiter zum Thema Datenschutz, Notebook-Verschlüsselung, Datentransfer und Dokumenten-Vertraulichkeit informiert werden sollte interessieren den ASP-Entwickler andere Themen.

Wie überprüft man ob eine Download-Webseite frei von Schadsoftware ist, welche Dateiformate darf und kann man über die Gateway-Security-Systeme aus dem Internet beziehen und in welchem Umfang darf man die betriebliche E-Mail-Adresse in Entwickler-Foren (etc.) nutzen? Derart spezifische Themen lassen sich mit einer „Sensibilisierungs-Gießkanne“ nicht effektiv beantworten.

Je individueller die Ausrichtung der Informationen ist, umso wirksamer sind die Maßnahmen. Eigentlich seltsam - denn bei der Weiterbildung schickt man ja Mitarbeiter auch auf Seminare, die sich an Ihrem Bedarf orientieren. Nur bei Security Awareness denkt man, eine Veranstaltung passt für alle!

Wichtige Punkte für die Sensibilisierung

Wer im World Wide Web nach Security Awareness sucht, der wird ohne Probleme fündig. Auf vielen Seiten werden Kampagnen von der Konzeption zur Umsetzung bis hin zur gemessenen Wirksamkeit beschrieben. Dabei findet man wiederkehrende Kernkomponenten, die eine solche Kampagne begleiten:

  • Griffiger Slogan für die Security-Awareness-Kampagne (Branding).
  • Ein visuelles Erkennungszeichen wie Symbole, Farben oder Motive.
  • Die Einbindung des Managements inc. dem „Brief an alle Mitarbeiter“.
  • Die Intranet-Seiten mit weiterführenden Informationen.
  • Unterstützende Elemente wie Poster, Give-Aways, Flyer oder Videos.
  • Computer Based Traniges zum Selbststudium am PC.
  • Präsentationen mit (externen) Experten.
  • Die abschließende Bewertung über den Erfolg der Aktionen.

Basierend auf diesen Kernkomponenten lässt sich eine mehrstufige Kampagne nach folgendem Schema verhältnismäßig zügig umsetzen:

  • 1. Aufmerksamkeit erregen
  • 2. Wissen transferieren und
  • 3. Etablieren/Verstärken

Security-Awareness-Berater verfügen über Material und auch Erfahrungswerte, wie sich die Komponenten zweckmäßig einsetzen lassen. Die Frage ist jedoch, wie wirksam eine solche Kampagne wirklich ist.

Gelingt es, die Mitarbeiter mit Standard-Elementen für Security Awareness zu interessieren? Sind die vermittelten Informationen an das Geschäftsrisiko des Unternehmens angepasst? Oder ist es doch die bewährte Gießkanne, bei der von Spam über Computerviren bis bin zum Identitätsdiebstahl bei Social Media alles betrachtet wird?

Investiert man in eine Kampagne, die auf dem Papier gut aussieht, aber in der Praxis keinen Hund hinter dem Ofen hervorlockt, hat man seine Chance vertan. Daher sollte man vorab die Frage klären, ob es wirklich eine ressourcenintensive Security-Awareness-Kampagne sein soll, oder ob z.B. virales Marketing nicht auch dazu geeignet ist, die Mitarbeiter zu sensibilisieren.

Identifikation schafft Sicherheitsbewusstsein

Eine Merksatz der IT Sicherheit besagt, man muss „die Betroffen zu Beteiligten machen“. Denn nur, wenn die Mitarbeiter bereit sind, mit der Security-Abteilung auf das gleiche Ziel hinzuarbeiten, lässt sich etwas erreichen. Wenn dabei die Initiative vom Mitarbeiter selbst ausgeht – umso besser!

Üblicherweise ist der Mitarbeiter auf sein Arbeitsgebiet fokussiert. Vom Arbeitgeber wird erwartet, dass der PC rund läuft, die Malware-Abwehr funktioniert, die Gehaltsüberweisung pünktlich erfolgt und die Büroräume periodisch gereinigt werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Damit der Mitarbeiter sich aktiv um einzelne Belange kümmert, muss es ihn betreffen oder interessieren. Kein Mitarbeiter wird eine Eselsbrücke zur Passwort-Erstellung an Arbeitskollegen weitergeben, aber einen Link zu einem witzigen wie aussagekräftigen Youtube-Video schon (auch die Bundeswehr macht sich Gedanken über die Passwort-Sicherheit).

Die Botschaft ist die gleiche, nutze gute Passwörter – aber die visuelle Darstellung ist attraktiver. Gerade Videos, kurze Sequenzen, die ein Thema in den Mittelpunkt stellen, sind gut geeignet, um Security Awareness zu transportieren.

Wobei: Video ist nicht gleich Video! Der hauseigene Sicherheitsbeauftragte, der per Video über die Gefahren von Smartphones referiert ist in der Regel weniger attraktiv und unterhaltsam, als wenn die Warnung von einem anerkannten Antivirus-Experten stammt.

Teilen und nicht trennen

Heute vermischen sich private und berufliche Belange zusehends. Der berufliche Kontakt zu einem Kunden kann auch ein privates Gegenstück haben, weil beide die gleichen Hobbys pflegen. Auch aktuelle Trends – wie BYOD oder die verstärkte Nutzung von Social Media – führen zu einer engeren Verzahnung von privaten und beruflichen Aspekten.

Security Awareness kann sich auch über die „Privatschiene“ als nützlich für das Unternehmen erweisen. Informationen, die dem Mitarbeiter bei der Gefahrenabwehr (Spam, Phishing) im privaten E-Mail-Umfeld unterstützen, bringen auch im beruflichen Umfeld einen Mehrwert. Denn das privat erlernte wird auch im beruflichen Alltag genutzt.

Da es im privaten Umfeld keinen IT-Dienstleister wie am Arbeitsplatz gibt, muss sich der Mitarbeiter dort selbst um die IT-Sicherheit kümmern. Erfährt er hier eine Unterstützung von seinem Arbeitgeber, ist dies eine Win-Win-Situation für beide Seiten. Sicherlich würde es zu weit führen, Support für private Anwendungen anzubieten – aber Unterstützung in ausgewählten Themenbereichen, die beruflich und privat genutzt werden, ist durchaus sinnvoll.

Stichwort Soziale Netzwerke: Praktische Handlungsempfehlungen, Informationen zu rechtlichen Fallstricken, Tipps für den Schutz der Privatsphäre, bekannte Spam-Attacken in sozialen Netzwerken – all das schützt den Mitarbeiter sowohl privat als auch in der Zeit, in der er für das Unternehmen arbeitet.

Eine Empfehlung zu aktuellen Informationen, wie die Broschüre Soziale Netzwerke und ihre Auswirkungen auf die Unternehmenssicherheit des Bayerischen Landesamts für Verfassungsschutz und der Hochschule Augsburg helfen weiter. Im Prinzip ist Security Awareness einfach – gib den Mitarbeitern ansprechende und nützliche Informationen die sie in Ihre Arbeit unterstützen! Wenn es gut ist, setzt der virale Effekt von allein ein!

Gängige Security-Awareness-Killer

Es gibt gute Ideen, aber auch schlechte Ansätze zur Schaffung eines Sicherheitsbewusstseins. Zu den Aktionen, die Mitarbeiter eher dazu bringen, sich dem Thema Security Awareness offensiv entgegenzustellen, zählen z.B.:

  • Computer-Based-Trainings, die realitätsfern mit Strichmännchen-Grafik Pseudo-Fachwissen vermitteln und am Ende mit Mutli-Choices das „Erlernte“ abfragen.
  • Umfangreiche Papierwerke, die mit Fach-Chinesisch glänzen und anstatt knapper Anweisungen oder effektiver Hilfe möglichst ALLES abdecken wollen.
  • Regeln und Empfehlungen die nicht die gelebte IST-Situation im Unternehmen wiedergeben, sondern einen Zukunftsvision anstreben.
  • Angeordnete Aktivitäten, bei denen es eher um eine Quote (Compliant) geht, also um echte Themen- Sensibilisierung.
  • Präsenz-Veranstaltungen, bei denen Folien heruntergeleiert werden (Death by PowerPoint).
  • Einmalige „Hau-Ruck“-Aktion, ohne Nachhaltigkeit

Empfehlung

Security Awareness ist wichtig, denn die Mitarbeiter sind die letzte Verteidigungslinie zwischen Angreifer und Daten. Die Sensibilisierung funktioniert aber nur, wenn man auf das Umfeld des Mitarbeiters eingeht und ihn aktiv unterstützt, sich für IT Sicherheit zu engagieren.

Uninteressante Aktionen, totgeredete Themen und unflexible Abläufe schaffen keine Awareness sondern Demotivation. Gehen Sie intelligent auf die unterschiedlichen Zielgruppen zu und machen Sie Betroffene zu Beteiligten. Dann gewinnt Security Awareness!

(ID:35851150)