Mehr Erfolg mit Security Awareness

Verständnis wecken für IT-Sicherheit

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Nur wenn Mitarbeiter ein echtes Verständnis für IT-Security entwickeln und nicht nur den Vorgaben der IT blind folgen, können sie die "last line of defense" bilden.
Nur wenn Mitarbeiter ein echtes Verständnis für IT-Security entwickeln und nicht nur den Vorgaben der IT blind folgen, können sie die "last line of defense" bilden. (Bild: Pixabay / CC0)

Das Hauptziel von Security Awareness (SecAware) ist es, die Computer-Nutzer für die zahlreichen Cyber-Bedrohungen zu sensibilisieren. Da nicht jeder Angriff sich durch die Kombination aus Sicherheits-Hard- und Software abfangen lässt, muss der IT-Nutzer als „Last Line of Defense“ agieren und „durchgerutschte“ Angriffe abwehren. Diese gute Idee funktioniert aber oft nicht!

Dass der IT-Anwender als letzte Verteidigungslinie fungiert, klingt in der Theorie durchaus sinnvoll, stößt in der Praxis jedoch auf zahlreiche Schwierigkeiten. Denn Lagerverwalter, Produkt-Einkäufer oder Fibu-Experten haben andere Arbeits-Schwerpunkte und sind nun nicht zwingend Security-Spezialisten.

Wobei die klassischen Themen, die bei Security Awareness vermittelt werden, wie Attacken via E-Mail (Spam, Phishing, Malware), Verhaltensregeln (keine Passwörter auf dem Notizzettel am Bildschirm) und physische Schutzregeln (Keine Fremden den Zugang zum Gebäude ohne Ausweiskontrolle ermöglichen, gefundene USB-Sticks nicht in den PC stecken) sich durchaus vermitteln lassen.

Phishing im eigenen Teich

Security-Startups im Blickpunkt: Lucy Security

Phishing im eigenen Teich

06.04.18 - Cyberkriminelle werden immer besser darin, täuschend echte Phishing-Nachrichten zu erstellen, die unbedarfte Mitarbeiter dazu verleiten sollen, Daten weiterzugeben oder die Malware der Angreifer zu installieren. Unternehmen können entweder ausschließlich auf Security-Technik setzen, um wichtige Kunden- oder Produktionsdaten zu schützen, oder sie können ihre Mitarbeiter trainieren und so zu einer weiteren Verteidigungslinie gegen Phishing-Angriffe machen. lesen

Security Awareness für Programmierer

Security-Startups im Blickpunkt: Securai

Security Awareness für Programmierer

09.03.18 - Hacker, Malware und Cyberspionen wirksam den Zugriff auf digitale Unternehmenswerte zu verwehren ist nicht einfach. Man investiert dafür in clevere Software, durchdachte Prozesse und letztendlich auch in Security Awareness beim Mitarbeiter, der als engagierter Wächter ebenfalls Bedrohungen erkennen und eliminieren soll. Gerade Gruppen wie Programmierer bleiben bei diesen Maßnahmen aber oft inhaltlich ausgeschlossen, da man nicht auf Ihre Bedürfnisse eingeht. lesen

Intensivtraining gegen Phishing-Angriffe

Security-Startups im Blickpunkt: IT-SEAL

Intensivtraining gegen Phishing-Angriffe

21.03.17 - Security-Tools die heute noch den Angriffen von Cyberkriminellen erfolgreich Paroli bieten können, sind morgen vielleicht schon nutzlos gegen neue Angriffsformen. Startup- Unternehmen, neugegründet, mit Begeisterung, innovativen Ideen und kreativen Konzepten nehmen den Kampf auf und helfen den IT- und Security-Verantwortlichen, den neuen und modifizierten Bedrohungen von Morgen zu begegnen. lesen

Security Awareness als Info-Veranstaltung

Normalerweise sehen Security Awareness Kampagnen dafür Info-Veranstaltungen vor, bei denen die klassischen Themen den Teilnehmern nahegebracht werden. Ebenso üblich ist es dann, dass „erlernte Wissen“ in einem Test abzufragen oder per aufgesetzter simulierter Online-Attacke (Phishing-E-Mails) zu verifizieren.

Meistens wird der Stoff auf zwei bis drei Stunden komprimiert, eher selten sind dabei Tagesveranstaltungen oder mehrere Termine mit unterschiedlichen Schwerpunkten. Die Meinungen über die Effektivität derartiger Veranstaltungen gehen auseinander! Aber zweifelsohne ist eine Schulung nach dem Gießkannenprinzip, bei dem alle Mitarbeiter identisch geschult werden nicht so effektiv, wie eine spezifisch am Teilnehmerkreis ausgerichtete Veranstaltung.

Was aber oft übersehen wird, dass man es bei Security Awareness mit zwei Themen zu tun hat! Zum einen geht es um Security und zum anderen um Awareness. Standard-Schulungen bedienen dabei überwiegend nur den technischen Part – also Security. Man erklärt den Schulungs-Teilnehmern, woran man Spam-E-Mails identifizieren kann („suchen Sie doch mal bei Google danach“), wie man Absender/Inhaber verifiziert („nutzen Sie DENIC“) oder ein Attachment auf Malware überprüft („Virustotal macht das echt super“). Man gibt noch eigene generelle Empfehlungen hinzu, wie:

  • Niemand verschenkt etwas, auch nicht im Internet
  • Wenn es zu gut klingt, ist es sicher ein Fake
  • Vertrau' niemandem!

Zusätzlich erhält der IT-Nutzer dann auch noch spezifische Regeln für das jeweilige Unternehmen, was man beispielsweise bei einem Malwareverdacht zu tun hat wie man den favorisierten Passwort-Manager nutzt oder wer die Ansprechpartner für IT-Security und Datenschutz sind.

Security Awareness ist Zeitverschwendung!

Lohnt sich Sicherheits-Training?

Security Awareness ist Zeitverschwendung!

23.12.16 - Bei Security Awareness gehen die Meinungen über die Nützlichkeit stark auseinander. Während die einen Security Awareness (#SecAware) als lobenswerte und nützliche Maßnahme einschätzen, behaupten andere, dass es schlichtweg Zeit- und Geld-Verschwendung ist. lesen

Aus Security Awareness ein „Bewusstsein für Sicherheit“ machen

Aber wie sieht es um die Awareness aus? Diese wird nicht gesondert betrachtet, sondern oft nebenbei zur Security abgewickelt. Was ist eigentlich die Funktion von „Awareness“ bei „Security Awareness“? Vereinfacht gesagt, die Herbeiführung eines Zustands bei dem der IT-Nutzer die Vorteile der „Security“ für ihn und das Unternehmen erkennt und damit auch gewillt ist, die vorgestellten „Security-Maßnahmen“ umzusetzen.

Betrachtet man die eigene Situation, wird man viele Security-Regeln haben, die zu beachten sind und bei jeder Security Awareness Veranstaltung kommen weitere hinzu oder ersetzten altvertrautes. Aber in den wenigsten Fällen werden die Gründe für die Regeln und Empfehlungen umfassend erläutert!

Aber eine sture Regelumsetzung widerspricht im Wesentlichen dem Mitarbeiter-Typ, den Unternehmen sich wünschen. Kreativ soll er sein, eigenverantwortlich und effektiv. Und Fakt ist nun einmal, dass Security-Regeln auf den ersten Blick nicht unbedingt dazu beitragen, die Effektivität zu steigern. Daher fragen sich Anwender durchaus:

  • Wieso soll ich alle 4 Wochen das Passwort wechseln?
  • Warum soll ich meine Präsentation nicht auf dem heimischen PC fertigstellen?
  • Warum kann ich mich nicht darauf verlassen das die E-Mail-Absenderadresse korrekt ist?
  • Weshalb sind fremdsprachige E-Mails besonders kritisch zu betrachten?

Man merkt gleich, es fehlt an nachvollziehbaren Erklärungen, warum manche Maßnahmen Sinn machen. Wobei das Zauberwort hier „nachvollziehbar“ ist! Denn warum Passworte gewechselt werden sollen, wenn sie nicht gebrochen wurden oder selbst dann nicht einfach so nutzbar sind, wenn die Passwortliste via Salt abgesichert ist bedarf einiger Erklärungen.

Man solle hierbei durchaus ehrlich sein und die Hintergründe erklären, warum Spam-Attacken nicht zu hundert Prozent abgefangen werden können (technische Beschränkungen, Innovationen der Spam-Szene etc.), damit der Anwender versteht, warum er hier in die Bresche springen muss. Dabei sollte man immer wieder daran denken, der Anwender mag zwar von Security nur ein eingeschränktes Fachwissen haben, aber er ist nicht dumm.

Praxistipps für Mitarbeiter gegen Spam und Phishing

Security-Awareness-Tipps

Praxistipps für Mitarbeiter gegen Spam und Phishing

15.12.17 - Ähnlich wie beim Erste-Hilfe-Kurs sollten Unternehmen ihre Mitarbeiter auch regelmäßig zu Spam- und Phishing-Thematiken schulen, um den Mitarbeiter als schwächstes Glied in der Verteidigungskette zu stärken. Dabei ist die Technik selbst oft ein Problem, denn Je effektiver Spam-Filter und Anti-Phishing-Routinen arbeiten, desto seltener muss der Mitarbeiter sich selbst Gedanken machen, ob er gerade das Ziel einer Phishingattacke ist. lesen

Berufliche und private IT-Sicherheit

In der IT gilt ein Geben und Nehmen. Produkte und Techniken, die der Arbeitnehmer im Unternehmen erlernt, wird er, wenn sinnvoll, auch im privaten Umfeld einsetzten. Dies gilt auch für Security-Themen und kann so dazu beitragen, dass der User auch auf privater Ebene seine IT-Schutzmaßnahmen erhöht, indem er sich professionell Produkte zulegt und kostenlose Tools reduziert. Ebenso kann man davon ausgehen, dass er auch im Mail-, Cloud- und Social-Media-Umfeld die gleichen Sicherungsmaßnahmen umsetzt, die er auch in der Firmenumgebung beherzigt.

Von daher macht es auch Sinn, wenn bei Awareness auch ein kleiner Zeitanteil für die privaten Interessen reserviert wird. Denn auch wenn WhatsApp oder Dropbox nicht zu den Unternehmens-Tools gehören, macht es Sinn die Mitarbeiter für eine sichere Nutzung zu beraten. Denn Erfahrungen die der Mitarbeiter auf privater IT-Ebene sammelt, kommen auch dem Unternehmen zu Gute.

Security-Awareness-Maßnahmen sollten im WWWW-Modus aufgebaut werden. Dabei werden einzelne Themen immer nach den vier folgenden Kategorien bearbeitete:

  • WOGEGEN (schütze ich mich?)
  • WARUM (kann es die Technik und/oder Organisationsstruktur nicht?)
  • WIE (schütze ich mich?)
  • WAS (kann passieren?)

Das warum und was bedient die „Awareness“, während wogegen und wie sich der technischen Security zuordnen lassen.

Denn wer es versteht ein tatsächliches Verständnis für die IT-Sicherheit zu wecken, hat doppelten Erfolg mit seinen Security-Awareness-Maßnahmen.
Denn wer es versteht ein tatsächliches Verständnis für die IT-Sicherheit zu wecken, hat doppelten Erfolg mit seinen Security-Awareness-Maßnahmen. (Bild: Dombach)

Die WWWW-Methode im Beispiel

Angenommen ein Nutzer erhält via Social Media eine Nachricht, mit der er zum Besuch eins Links aufgefordert wird.

Wogegen schütze ich mich? Der Link kann zu einer schadhaften Webseite führen, auf der beispielsweise ein Browser-Exploit ausgenutzt wird oder der Download einer mit Malware infizierten Software angeboten wird. Alternativ kann auch eine Umleitung zu einer gefälschten Login-Seite erfolgen, mit der Absicht Zugangsdaten abzugreifen.

Warum schützt die Technik nicht? Webseiten die Malware beherbergen existieren oft nur für einige Stunden und werden dann stillgelegt und unter einer anderen Adresse eröffnet. Anti-Malware-Scanner sind ggf. noch nicht über diese Veränderung informiert und warnen nicht. Durch Tarn-Methoden (Obfuskation, Verschlüsselung u.a.) kann der relevante Link unter Umständen nicht eindeutig analysiert werden. Auch ist es möglich, dass beispielsweise nur 2 von 10 Zugriffe auf schadhafte Webseiten weitergeleitet werden. Damit kann auch Security-Software ausgetrickst werden (Es wird nicht immer Schadsoftware nachgeladen – nur in 20 Prozent aller Zugriffe).

Wie schütze ich mich? Durch Nutzung eines sicheren Browsers, der verschieden verdächtige Aktionen generell unterbindet oder dem Link-Zugriff in einer virtuellen Umgebung, ohne Zugriff auf den realen PC. Einsatz eines zweiten Anti-Malware-Tools, welche das Verhalten der Webseite analysiert (Sandboxing oder Verhaltensanalyse) und damit den Link als gefährlich aufdeckt.

Was kann passieren? Ein möglicher Diebstahl von Zugangsdaten mit nachfolgender missbräuchlicher Nutzung des Accounts. Ebenso wäre es denkbar, dass auf diesem Weg ein Neuer, bis dato unentdeckte Computervirus in das Firmennetzwerk gelangt und dies zu Produktionsstillstand führt. Ein finanzielle Schadenswert (Abhängig vom Unternehmen) von beachtlicher Größe ist durchaus zu befürchten. Auf privater Eben können kompromittierende Daten nach außen gelangen.

Mehrwert

Um es auf den Punkt zu bringen. Je besser man etwas erklärt, umso größer ist die Chance das die vermittelte Information auf fruchtbaren Boden fällt. Ob diese via WWWW gemacht wird, sei jedem Trainer selbst überlassen. Wichtig ist, „Security Awareness“ nicht als ein Thema zu schulen, bei dem Security-Technik dominiert, sondern auch der „Awareness“, also dem „Verständnis“ ein entsprechender Platz eingeräumt wird um langfristig Erfolge zu erzielen.

Security Awareness mit Humor und Personenbezug

Tipps und Maßnahmen zur Sensibilisierung für IT-Sicherheit

Security Awareness mit Humor und Personenbezug

01.10.12 - Security-Awareness-Maßnahmen waren vor einigen Jahren noch der große Renner. Heute dümpeln sie unbeachtet, neben anderen Initiativen, im Leerlauf vor sich hin. Weshalb? Wirtschaftsspione, Datendiebe und Hacker sind genauso wenig lammfromm geworden, wie die IT fehlerfrei. lesen

Security Awareness dank Erfahrung anderer

Best Practices bei der Sicherheitssensibilisierung

Security Awareness dank Erfahrung anderer

11.10.12 - In der IT gibt es viele bewährte Konzepte und Lösungen, der Experte spricht von Best Practices. Diese lassen sich oft für das eigene Umfeld anpassen und übernehmen, was Zeit und Kosten spart. Doch welchen Nutzen hat dieses Vorgehen im Falle von Security-Awareness-Kampagnen? lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45312532 / Mitarbeiter-Management)