Suchen

Mehr Erfolg mit Security Awareness Verständnis wecken für IT-Sicherheit

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Das Hauptziel von Security Awareness (SecAware) ist es, die Computer-Nutzer für die zahlreichen Cyber-Bedrohungen zu sensibilisieren. Da nicht jeder Angriff sich durch die Kombination aus Sicherheits-Hard- und Software abfangen lässt, muss der IT-Nutzer als „Last Line of Defense“ agieren und „durchgerutschte“ Angriffe abwehren. Diese gute Idee funktioniert aber oft nicht!

Firma zum Thema

Nur wenn Mitarbeiter ein echtes Verständnis für IT-Security entwickeln und nicht nur den Vorgaben der IT blind folgen, können sie die "last line of defense" bilden.
Nur wenn Mitarbeiter ein echtes Verständnis für IT-Security entwickeln und nicht nur den Vorgaben der IT blind folgen, können sie die "last line of defense" bilden.
(Bild: Pixabay / CC0 )

Dass der IT-Anwender als letzte Verteidigungslinie fungiert, klingt in der Theorie durchaus sinnvoll, stößt in der Praxis jedoch auf zahlreiche Schwierigkeiten. Denn Lagerverwalter, Produkt-Einkäufer oder Fibu-Experten haben andere Arbeits-Schwerpunkte und sind nun nicht zwingend Security-Spezialisten.

Wobei die klassischen Themen, die bei Security Awareness vermittelt werden, wie Attacken via E-Mail (Spam, Phishing, Malware), Verhaltensregeln (keine Passwörter auf dem Notizzettel am Bildschirm) und physische Schutzregeln (Keine Fremden den Zugang zum Gebäude ohne Ausweiskontrolle ermöglichen, gefundene USB-Sticks nicht in den PC stecken) sich durchaus vermitteln lassen.

Security Awareness als Info-Veranstaltung

Normalerweise sehen Security Awareness Kampagnen dafür Info-Veranstaltungen vor, bei denen die klassischen Themen den Teilnehmern nahegebracht werden. Ebenso üblich ist es dann, dass „erlernte Wissen“ in einem Test abzufragen oder per aufgesetzter simulierter Online-Attacke (Phishing-E-Mails) zu verifizieren.

Meistens wird der Stoff auf zwei bis drei Stunden komprimiert, eher selten sind dabei Tagesveranstaltungen oder mehrere Termine mit unterschiedlichen Schwerpunkten. Die Meinungen über die Effektivität derartiger Veranstaltungen gehen auseinander! Aber zweifelsohne ist eine Schulung nach dem Gießkannenprinzip, bei dem alle Mitarbeiter identisch geschult werden nicht so effektiv, wie eine spezifisch am Teilnehmerkreis ausgerichtete Veranstaltung.

Was aber oft übersehen wird, dass man es bei Security Awareness mit zwei Themen zu tun hat! Zum einen geht es um Security und zum anderen um Awareness. Standard-Schulungen bedienen dabei überwiegend nur den technischen Part – also Security. Man erklärt den Schulungs-Teilnehmern, woran man Spam-E-Mails identifizieren kann („suchen Sie doch mal bei Google danach“), wie man Absender/Inhaber verifiziert („nutzen Sie DENIC“) oder ein Attachment auf Malware überprüft („Virustotal macht das echt super“). Man gibt noch eigene generelle Empfehlungen hinzu, wie:

  • Niemand verschenkt etwas, auch nicht im Internet
  • Wenn es zu gut klingt, ist es sicher ein Fake
  • Vertrau' niemandem!

Zusätzlich erhält der IT-Nutzer dann auch noch spezifische Regeln für das jeweilige Unternehmen, was man beispielsweise bei einem Malwareverdacht zu tun hat wie man den favorisierten Passwort-Manager nutzt oder wer die Ansprechpartner für IT-Security und Datenschutz sind.

Aus Security Awareness ein „Bewusstsein für Sicherheit“ machen

Aber wie sieht es um die Awareness aus? Diese wird nicht gesondert betrachtet, sondern oft nebenbei zur Security abgewickelt. Was ist eigentlich die Funktion von „Awareness“ bei „Security Awareness“? Vereinfacht gesagt, die Herbeiführung eines Zustands bei dem der IT-Nutzer die Vorteile der „Security“ für ihn und das Unternehmen erkennt und damit auch gewillt ist, die vorgestellten „Security-Maßnahmen“ umzusetzen.

Betrachtet man die eigene Situation, wird man viele Security-Regeln haben, die zu beachten sind und bei jeder Security Awareness Veranstaltung kommen weitere hinzu oder ersetzten altvertrautes. Aber in den wenigsten Fällen werden die Gründe für die Regeln und Empfehlungen umfassend erläutert!

Aber eine sture Regelumsetzung widerspricht im Wesentlichen dem Mitarbeiter-Typ, den Unternehmen sich wünschen. Kreativ soll er sein, eigenverantwortlich und effektiv. Und Fakt ist nun einmal, dass Security-Regeln auf den ersten Blick nicht unbedingt dazu beitragen, die Effektivität zu steigern. Daher fragen sich Anwender durchaus:

  • Wieso soll ich alle 4 Wochen das Passwort wechseln?
  • Warum soll ich meine Präsentation nicht auf dem heimischen PC fertigstellen?
  • Warum kann ich mich nicht darauf verlassen das die E-Mail-Absenderadresse korrekt ist?
  • Weshalb sind fremdsprachige E-Mails besonders kritisch zu betrachten?

Man merkt gleich, es fehlt an nachvollziehbaren Erklärungen, warum manche Maßnahmen Sinn machen. Wobei das Zauberwort hier „nachvollziehbar“ ist! Denn warum Passworte gewechselt werden sollen, wenn sie nicht gebrochen wurden oder selbst dann nicht einfach so nutzbar sind, wenn die Passwortliste via Salt abgesichert ist bedarf einiger Erklärungen.

Man solle hierbei durchaus ehrlich sein und die Hintergründe erklären, warum Spam-Attacken nicht zu hundert Prozent abgefangen werden können (technische Beschränkungen, Innovationen der Spam-Szene etc.), damit der Anwender versteht, warum er hier in die Bresche springen muss. Dabei sollte man immer wieder daran denken, der Anwender mag zwar von Security nur ein eingeschränktes Fachwissen haben, aber er ist nicht dumm.

Berufliche und private IT-Sicherheit

In der IT gilt ein Geben und Nehmen. Produkte und Techniken, die der Arbeitnehmer im Unternehmen erlernt, wird er, wenn sinnvoll, auch im privaten Umfeld einsetzten. Dies gilt auch für Security-Themen und kann so dazu beitragen, dass der User auch auf privater Ebene seine IT-Schutzmaßnahmen erhöht, indem er sich professionell Produkte zulegt und kostenlose Tools reduziert. Ebenso kann man davon ausgehen, dass er auch im Mail-, Cloud- und Social-Media-Umfeld die gleichen Sicherungsmaßnahmen umsetzt, die er auch in der Firmenumgebung beherzigt.

Von daher macht es auch Sinn, wenn bei Awareness auch ein kleiner Zeitanteil für die privaten Interessen reserviert wird. Denn auch wenn WhatsApp oder Dropbox nicht zu den Unternehmens-Tools gehören, macht es Sinn die Mitarbeiter für eine sichere Nutzung zu beraten. Denn Erfahrungen die der Mitarbeiter auf privater IT-Ebene sammelt, kommen auch dem Unternehmen zu Gute.

Security-Awareness-Maßnahmen sollten im WWWW-Modus aufgebaut werden. Dabei werden einzelne Themen immer nach den vier folgenden Kategorien bearbeitete:

  • WOGEGEN (schütze ich mich?)
  • WARUM (kann es die Technik und/oder Organisationsstruktur nicht?)
  • WIE (schütze ich mich?)
  • WAS (kann passieren?)

Das warum und was bedient die „Awareness“, während wogegen und wie sich der technischen Security zuordnen lassen.

Denn wer es versteht ein tatsächliches Verständnis für die IT-Sicherheit zu wecken, hat doppelten Erfolg mit seinen Security-Awareness-Maßnahmen.
Denn wer es versteht ein tatsächliches Verständnis für die IT-Sicherheit zu wecken, hat doppelten Erfolg mit seinen Security-Awareness-Maßnahmen.
(Bild: Dombach)

Die WWWW-Methode im Beispiel

Angenommen ein Nutzer erhält via Social Media eine Nachricht, mit der er zum Besuch eins Links aufgefordert wird.

Wogegen schütze ich mich? Der Link kann zu einer schadhaften Webseite führen, auf der beispielsweise ein Browser-Exploit ausgenutzt wird oder der Download einer mit Malware infizierten Software angeboten wird. Alternativ kann auch eine Umleitung zu einer gefälschten Login-Seite erfolgen, mit der Absicht Zugangsdaten abzugreifen.

Warum schützt die Technik nicht? Webseiten die Malware beherbergen existieren oft nur für einige Stunden und werden dann stillgelegt und unter einer anderen Adresse eröffnet. Anti-Malware-Scanner sind ggf. noch nicht über diese Veränderung informiert und warnen nicht. Durch Tarn-Methoden (Obfuskation, Verschlüsselung u.a.) kann der relevante Link unter Umständen nicht eindeutig analysiert werden. Auch ist es möglich, dass beispielsweise nur 2 von 10 Zugriffe auf schadhafte Webseiten weitergeleitet werden. Damit kann auch Security-Software ausgetrickst werden (Es wird nicht immer Schadsoftware nachgeladen – nur in 20 Prozent aller Zugriffe).

Wie schütze ich mich? Durch Nutzung eines sicheren Browsers, der verschieden verdächtige Aktionen generell unterbindet oder dem Link-Zugriff in einer virtuellen Umgebung, ohne Zugriff auf den realen PC. Einsatz eines zweiten Anti-Malware-Tools, welche das Verhalten der Webseite analysiert (Sandboxing oder Verhaltensanalyse) und damit den Link als gefährlich aufdeckt.

Was kann passieren? Ein möglicher Diebstahl von Zugangsdaten mit nachfolgender missbräuchlicher Nutzung des Accounts. Ebenso wäre es denkbar, dass auf diesem Weg ein Neuer, bis dato unentdeckte Computervirus in das Firmennetzwerk gelangt und dies zu Produktionsstillstand führt. Ein finanzielle Schadenswert (Abhängig vom Unternehmen) von beachtlicher Größe ist durchaus zu befürchten. Auf privater Eben können kompromittierende Daten nach außen gelangen.

Mehrwert

Um es auf den Punkt zu bringen. Je besser man etwas erklärt, umso größer ist die Chance das die vermittelte Information auf fruchtbaren Boden fällt. Ob diese via WWWW gemacht wird, sei jedem Trainer selbst überlassen. Wichtig ist, „Security Awareness“ nicht als ein Thema zu schulen, bei dem Security-Technik dominiert, sondern auch der „Awareness“, also dem „Verständnis“ ein entsprechender Platz eingeräumt wird um langfristig Erfolge zu erzielen.

(ID:45312532)

Über den Autor