Security Awareness – einmal ist keinmal
Einfache Awareness-Kampagnen bringen nicht den gewünschten Effekt für die Sicherheit. Unternehmen müssen sich Ziele setzen und mit stetigen Impulsen die Sensibilität hoch halten.
Die Verteidigung einer Organisation beginnt im Sturm – der Torwart als letzte Firewall-Instanz sollte möglichst nicht eingreifen müssen. Doch kennen immer noch viele Spieler ihre Laufwege nicht oder tappen in die Abseitsfalle. Für Organisationen bedeutet das: Menschliche Fehler sind nach wie vor häufige Ursache für erfolgreiche Angriffe und die damit einhergehende Kompromittierung von Systemen sowie den Verlust von Daten. Dies zeigt, dass herkömmliche Ansätze zur Schulung des Sicherheitsbewusstseins ineffektiv sind.
Unternehmen sind daher gefordert, ihre Mitarbeitenden zu Kontrollinstanzen machen, die Social-Engineering-Angriffe erkennen und abwehren. Laut Gartner scheitern Sicherheits- und Risikoverantwortliche jedoch oft daran, ein Programm zur Sensibilisierung für Sicherheitsfragen zu entwickeln, das sinnvolle und nachhaltige Änderungen im Mitarbeiterverhalten bewirkt. Das beobachten wir auch in unserer täglichen Arbeit: Weil sich viele Unternehmen nicht ausreichend mit Security Awareness beschäftigen, weil das Top-Management noch immer das Thema unterschätzt, und weil es als lästiges Pflichtprogramm verstanden wird. Kurz: Awareness wird nicht gelebt.
Es geht um Haltung und Verhalten
Die selbst gemachte Phishing-Mail, ein platter Appell der IT oder der Foliensatz im Intranet schaffen keine Awareness-Kultur. Auch wenn „Kultur“ ein mächtiges Wort ist, schlussendlich geht es um Haltung und Verhalten der Menschen – und das ist Kultur. Dabei kann man Awareness schon mit überschaubaren Mitteln entwickeln. Kleine, aber vor allem regelmäßige Kampagnen, Beiträge und Schulungen werden angereichert mit Workshops, Bierdeckeln oder Mousepads, traditionellen Postkarten ins Homeoffice, mit Postern, Flyern, Passwortkarten und Give-aways, speziellen Webseiten, Live-Hacking-Veranstaltungen, Newslettern und einer Phishing-Beratung. Denn nach der Kampagne ist vor der Kampagne.
Awareness beginnt beim Onboarding
Einer meiner Grundsätze ist: Steter Tropfen höhlt den Stein. Bei uns in der meta geht das schon beim Onboarding los, neue Kolleg:innen bekommen gleich mal eine Awareness-Schulung, es gibt verschiedene Phishing-Simulationen sowie Factsheets und einen Plan an die Hand mit Verhaltensregeln im Ernstfall. Viele kleine Impulse helfen, die Menschen für die Risiken zu sensibilisieren. Ziel muss sein, statt auf die Einhaltung von Vorschriften zu pochen lieber in ganzheitliche Programme zu investieren, die eine sicherere Arbeitsweise durch die Änderung von Verhalten und Kultur fördern.
Nachhalten statt Abhaken
Kontinuierliche Sensibilisierung ist auch ein Thema für das Management – es ist schließlich in der Haftung, wenn etwas schief geht, und muss daher die Awareness zur Führungsaufgabe machen, statt es in der IT abzulegen. Dies umfasst auch das Thema der Awareness-Messung. Hier empfiehlt Gartner, sich nicht auf die Zahl der Aktionen wie Phishing-Simulationen und verschickte Newsletter, sondern auf die Ergebnisse zu konzentrieren. Also etwa die Veränderung der Klickrate oder die Anzahl der berichteten Datenverluste. Der Fortschritt wird zwischen dem Ist und dem Soll gemessen: Hat sich der Ansatz rentiert, oder brauchen wir andere Maßnahmen? Dabei fällt uns immer wieder auf: Längst nicht alle halten die KPIs tatsächlich nach, einige machen einfach einen Haken dran.
Tools für Awareness helfen weiter
Die Hoffnung, dass man Awareness mit smarten Einzelaktionen schaffen kann, ist in jedem Fall trügerisch. Und auch ohne Tool-Unterstützung kommen Organisationen an der Stelle nicht weiter. Damit lassen sich beispielsweise Phishing-Kampagnen für gewisse Zielgruppen organisieren, also die HR-Kollegen mit angehängten Lebensläufen in Versuchung führen. Tools werten die Daten aus und zeigen, ob Vertiefungsmaßnahmen angebracht sind. Die Programme unterstützen ebenfalls dabei, gemeldete Bedrohungen schneller zu identifizieren und abzuwehren – bisweilen mit automatischen Reaktionen auf Vorfälle.
Und noch ein Punkt: Security-Awareness-Kampagnen sollte dazu dienen, den gesunden Menschenverstand einzuschalten und eine grundsätzliche Skepsis aufbauen – auch im Homeoffice. Es ist kein Beinbruch, auf einen Phishing-Link zu klicken. Schlimmer ist es, den Fehler nicht zu melden, damit die IT schnell gegensteuern kann.
Quelle Titelbild: AdobeStock / Sergey Nivens