Sicherheitsgewinn durch Anwender-Sensibilisierung Security Awareness stärkt die IT-Sicherheit

Anbieter zum Thema

Arvato Systems

SoSafe GmbH

Keeper Security EMEA Ltd.

Mehr IT-Sicherheit im Unternehmen! Das ist der Wunsch von vielen Security-Verantwortlichen. Denn die Bedrohung aus dem Web und durch gut organisierte Cyberkriminellen nimmt ständig zu. Security Awareness bietet die Chance, technischen Lücken durch die Fachkompetenz des Mitarbeiters zu minimieren.

Vereinfacht gesagt geht es bei Security Awareness (Sicherheitsbewusstsein) darum, die Nutzer für die Belange der Informationssicherheit zu sensibilisieren. Es gilt, die Mitarbeiter mit den Bedrohungen zu konfrontieren, die heutzutage die Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der IT-Systeme bzw. -Daten gefährden.

Wo früher die verschiedenen Security-Controls zuverlässig schützen, gibt es heute (temporäre) Lücken. Neue Sicherheitsrisiken lauern in unterschiedlicher Gestalt auf Webseiten und sozialen Medien, aber auch in etablierten Diensten wie E-Mail. Durch neue Techniken und altbewährte Strategien gelingt es den Cyber-Kriminellen, die Bollwerke der IT zu durchdringen, um den Anwender direkt zu attackieren.

Auf einmal ist es der Anwender, der über den Erfolg eines Angriffs entscheidet. Folgt er den leeren Versprechungen einer an ihn gerichteten E-Mail und öffnet unbewusst für einen Hacker ein Hintertürchen im System? Ist die Gratis-Offerte für einen normalerweise kostenpflichtigen Service so verlockend, dass er ein Programm startet und damit einen Key-Logger installiert?

Der Anwender wird, nachdem die IT-Sicherheit ausgespielt ist, zum entscheidenden Security-Faktor! Ein Nutzer, der die gängigen Bedrohungen kennt, fällt auf die trickreichen Versprechen und Angebote seltener herein, als ein unerfahrener User. Die eigentliche Aufgabe von Security Awareness ist es daher, dem Nutzer ein Rüstzeug zu geben, mit dem er sich erfolgreich zur Wehr setzen kann und damit die IT Sicherheit für das Unternehmen stärkt.

Bedarf?

Wenn es um Security Awareness geht, taucht immer wieder die zentrale Frage auf, ob dies überhaupt erforderlich ist. Bietet das Sicherheitsbewusstsein der Anwender wirklich ein Plus, das dazu beiträgt, die IT Security zu verbessern? Eine mögliche Antwort auf die Frage liefern Passwörter, die immer noch das bevorzugte Mittel zur Authentifizierung eines Anwenders darstellen.

Dass Passwörter „sicher“ sein sollen, ist jedem Computer-Anwender bekannt. Doch wie sich die Sicherheit erreichen lässt, darüber herrscht ohne das nötige Wissen oft Unklarheit! Wie viele Stellen sollte ein Passwort haben – reichen sieben aus oder sind zehn sicherer? Ist die Passwort-Speicherung per MD5-Algorithmus noch in Ordnung oder ist RSA mit 2048bit das Minimum? Detailfragen, die ein normaler Anwender nicht beantworten kann.

Ein Passwort, das vor einigen Monaten noch sicher war, ist heute ggf. in Stunden oder Tagen berechenbar. Grafikkarten mit hochgezüchteter Rechenleistungen, Rechner-Cluster und Rainbow-Tables verändern die Sicherheitslage rasant.

Ein Plus für die Sicherheit

Security Awareness trägt dazu bei, das Anwender-Wissen über ihn betreffende Security-Themen aktuell zu halten und vermeidbare Fehler zu reduzieren. Richtig eingesetzt, bietet Security Awareness einen Sicherheitsgewinn! Der eigentliche Plus-Faktor von Security Awareness ergibt sich aus der Qualität und Intensität der geleisteten Sensibilisierung.

Ein Security-Plakat mit einem offensichtlich unerwünschten Firmenbesucher (Trenchcoat, Hut und verstohlener Blick), der neugierig den Papierkorb neben dem Kopierer untersucht, hat nur einen geringen Plus-Faktor. Die Botschaft ist zwar identifizierbar „Achte auf fremde, unberechtigte Besucher“ – aber wen spricht das heute noch an?

Derartige Plakate erinnern unbewusst an Anti-Spionage-Propaganda im 2. Weltkrieg und besitzen nur eine geringe Akzeptanz. Security Awareness, die hingegen intelligent, witzig, kreativ und informativ präsentiert wird, verspricht wesentlich mehr Erfolg.

Interesse wecken

Verantwortliche für IT Sicherheit übersehen oft, dass für einen Kunden „Security Awareness“ nur eines von vielen „Produkten“ ist, mit denen er zu tun hat. Jedes Produkt will etwas von ihm – Arbeitszeit, Aufmerksamkeit, Budget oder eine Entscheidung. Da jede dieser Ressourcen begrenzt ist gewinnt nur das Produkt, welches am besten platziert wird. Gelingt es, Security Awareness für den Anwender interessant zu gestalten, dann ergibt sich auch der Plus-Faktor.

Ein Memo der Geschäftsleitung zum Thema: „Sichere Passwörter“, in dem gute Ratschläge gegeben werden, ist heutzutage beinahe wertlos. Interessant wird ein solches Memo für den Empfänger erst dann, wenn qualitative Schlüsselelemente auftauchen:

• Eine Worst-Cast-Fallstudie im bekannten Umfeld (gleiches Geschäftsfeld, geografische Nähe, identisches Produkt etc.)

• Eine guter Titel, der neugierig macht („Hacker hacken bei uns umsonst – oder?“)

• Realistische Beispiele für sichere und unsichere Passwörter

• Bilder und Statistiken, die das Thema optisch begleiten und unterstützen

• Links zu weiterführenden Informationen

• Praxisnahe Ratschläge für „Passwort-Eselsbrücken“

• Die Option, Feedback (auch anonym) zu geben

Henry Ford (Gründer der Ford Motor Company) prägte den Spruch „Wer nicht wirbt, stirbt!“. Die beste Werbung für Security Awareness ist qualitative und intensive Security Awareness selbst!

Mehrwert und Messbarkeit

Bei keinem anderen Thema im Security-Awareness-Umfeld sind die Meinungen unterschiedlicher. Security Awareness erfordert ein Budget und dieses erhält man i.d.R. leichter, wenn man den ROI (Return on Investment) belegen kann.

Als Nachweis für erfolgte Security Awareness-Maßnahmen wird oft ein Vorher/Nachher-Vergleich herangezogen oder die Prozentquote von Wissenstests. Beides ist wenig zielführend (persönliche Meinung des Autors). Ein Vorher/Nachher-Vergleich der beispielsweise ermittelt, wie hoch die „Verführungsquote“ auf eine Köder-E-Mail ist, findet nicht in einer statischen Umgebung statt.

Mitarbeiter sind immer beeinflussenden Informationen ausgesetzt, die z.B. sich im Kollegengespräch, aus den Medien oder dem privaten Umfeld ergeben. Eine Computerviren-Infektion im Freundeskreis motiviert zur Beachtung von Security-Regeln viel stärker, als das 90-seitige Security-Regelwerk im Regal. Eine Änderung im User-Verhalten ist daher nicht allein auf Security Awareness-Aktivitäten begründet, sondern auch durch das normale Leben geprägt.

Ebenso liegt es auf der Hand, dass ein Security-Wissenstest, nach erfolgter Schulung besser Resultate bringt, also vor der Schulung. Allerdings vergisst man schnell das erlernte, wenn es ohne Bezug ist (Qualität und Intensität). Selbst mit Bezug fällt es schwer, sich an das einmal erlernte zu erinnern (Sie nutzen täglich ihr Auto? Wissen Sie noch alle Regeln aus Ihrer Führerscheinprüfung?).

Was bringt es?

Security Awareness macht aus Mitarbeitern keine Security-Experten! Das Sicherheitsbewusstsein ist auch nicht unmittelbar messbar oder trägt dazu bei, technische Maßnahmen zu reduzieren. Security Awareness ist ein Baustein im Sicherheitskonzept, der den Mitarbeiter befähigt, vermeidbare Anwender-Fehler zu reduzieren und ggf. die Folgen von technischen Lücken zu minimieren!

Security Awareness ist aber keine Einmalaktion, sondern eine stetige Aufgabe. Man sorgt ja auch dafür, dass der Antivirus-Scanner immer auf dem neuesten Stand ist. Security Awareness bedeutet ein wirksames Plus für IT Sicherheit; sofern man es versteht, die Botschaft anwendergerecht zu transportieren und Betroffene zu Beteiligten zu machen!

(ID:34937800)