Anzeige

Security Awareness

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD hatte von Awareness für Risiken im Zusammenhang von Informationssystemen 1992 in seinen Guidelines für the Security of Information Systems gesprochen.

Nach mehr als 10 Jahren Erfahrung bei der Bereitstellung von Schulungsmaterialien für Security Awareness und durch das Feedback von zehntausenden Kunden über unsere Plattform haben wir im Laufe der Zeit einen gewissen Fortschritt bei der organisatorischen Security Awareness beobachtet.

Die Geschwindigkeit dieses Fortschritts ist je nach Größte der Organisation, Ort und Branche unterschiedlich, aber es lassen sich ähnliche Muster feststellen. In bestimmten Fällen werden einige Schritte ausgelassen. In anderen Fällen werden dafür ein paar Schritte gleichzeitig unternommen. Letztendlich steht am Ende für die meisten Organisationen das gleiche Szenario. Die organisatorische Security Awareness lässt sich in 10 Phasen unterteilen und anhand der einzelnen Phasen lässt sich feststellen, in welcher sich die Organisation derzeit befindet.

1. Erhöhtes technisches Bewusstsein für Informationssicherheits- und IT-Experten

Informationssicherheits- und IT-Experten gehören zu den ersten Betroffenen. Infizierte Workstations und Ransomware-Angriffe machen ihnen das Leben schwer. Viele dieser Fachleute sehen die Notwendigkeit in der Vermittlung von Security Awareness, werden aber manchmal durch die nicht praktikable, altmodische Praxis entmutigt, Benutzer durch 15-minütige, auf Compliance ausgerichtete Schulungen zu schicken. Darüber hinaus verstehen diese Fachleute die Risiken, wenn man sich nur auf IT-gestützte IT-Sicherheit verlässt.

2. Bereitstellung von Awareness-Inhalten für Endanwender

Zu den ersten Maßnahmen gehören vor allem PowerPoint-Präsentationen in abgedunkelten Schulungsräumen. Die Ergebnisse dieser Art von Wissenstransfer ist in aller Regel wenig zielführend, wird aber als erster wichtiger Schritt angesehen, um zumindest ein paar Grundlagen zu schaffen.

3. Plattform-Automatisierung ermöglicht Compliance-Anforderungen

Die Automatisierung der Prozesse zur Bereitstellung von Schulungen durch ein (internes oder externes) Learning Management System (LMS) ist ein zweiter Schritt und markiert die dritte Phase. Compliance-Anforderungen lassen sich dadurch leichter erfüllen. Dies hängt stark von der Größe der Organisation ab; größere Unternehmen haben ein On-Premise- oder Cloud-basiertes LMS, das für allgemeine Schulungszwecke verwendet wird.

4. Kontinuierliches Testen

Diese Phase zeigt eine deutliche Verschiebung in Richtung des „Zero Trust“-Modells. Mitarbeiter werden nach der Schulung häufig getestet, um sicherzustellen, dass das erworbene Wissen tatsächlich haften geblieben ist.

5. Unterstützung durch Technologie

In dieser Phase werden „Phish-Alarm-Buttons“ in den E-Mail-Clients der Endbenutzer bereitgestellt, damit diese alle Phishing-E-Mails an das Incident Response-Team oder das SOC melden können, die dann wiederum Gegenmaßnahmen ergreifen können. Technologie zur Unterstützung der Mitarbeiter dient in diesem Fall als Werkzeug, nur wer es richtig bedienen kann, kann es auch nutzen. Auch hierfür ist eine Schulung notwendig und die Mitarbeiter müssen ihre Erfahrung im Umgang machen, um es richtig einsetzen zu können. Am Ende aber muss immer der Mensch selbst entscheiden, die Technologie nimmt ihm das nicht ab.



6. Sicherheits-Orchestrierung

In der nächsten Phase werden diese gemeldeten E-Mails in einen Sicherheits-„Workstream“ integriert, der schnell das Risikoniveau bewertet. Im Falle einer Bedrohung kann dann automatisiert in den Posteingang aller Benutzer eingegriffen werden, um bösartige Nachrichten unschädlich zu machen, bevor weiterer Schaden entsteht.

7. Fortschrittliches Management des Benutzerverhaltens

Mit detaillierten Risiko-Metriken sowohl über einzelne Benutzer als auch über Benutzergruppen können Unternehmen nun maßgeschneiderte Kampagnen erstellen, die auf beobachtetem Risikoverhalten basieren. Ein Beispiel dafür ist das Scannen des Dark Web nach gekaperten Anmeldedaten. Darüber hinaus wird in dieser Phase auf falsches Passwortverhalten hingewiesen und individuelle Trainingsmodule an identifizierte Hochrisiko-Mitarbeiter versendet.

8. Adaptive Lernerfahrung

Die nächste Phase besteht darin, dass der Endbenutzer eine lokalisierte Benutzeroberfläche erhält, auf der er seinen individuellen Risiko-Score sehen, Auszeichnungen erhalten und an Schulungen teilnehmen kann. In dieser Phase ermöglichen fortschrittliche Metriken auch ML- und KI-gesteuerte Kampagnen, bei denen jeder Benutzer ein hochgradig individualisiertes Security Awareness-Training erhält.

9. Aktive Beteiligung des Mitarbeiters an der Gesamtsicherheitslage

Hier wird sich der Benutzer seiner Rolle in der Verteidigung seines Unternehmens bewusst und entscheidet sich aktiv für zusätzliche Schulungen, um seinen Risiko-Score zu reduzieren. Mitarbeiter nehmen an Security Awareness-Kampagnen teil und werden zu einem lokalen Awareness-Champion. Am Ende steht die Erkenntnis, dass man selbst zum Endpunkt geworden ist.

10. Der Mitarbeiter als menschliche Firewall

Jeder Mitarbeiter ist sich der Risiken im Zusammenhang mit der Cybersicherheit ausreichend bewusst und trifft jeden Tag intelligente Sicherheitsentscheidungen, die auf einem klaren Verständnis dieser Risiken basieren. Die aktuelle Work From Home-Situation hat die Notwendigkeit dieses Ziel bei möglichst vielen Mitarbeitern zu erreichen, deutlich beschleunigt.

Jelle Wieringa,
Jelle Wieringa
, KnowBe4
Jelle Wieringa ist Security Awareness Advocate bei KnowBe4

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

CD Projekt
Feb 10, 2021

Spieleentwickler CD Projekt wurde Opfer von Ransomware

Der polnische Spieleentwickler CD Projekt sieht sich zurzeit mit einer Ransomwareattacke…
ALM
Jan 25, 2021

Wie Sicherheit, Compliance und Transparenz erhöht werden können.

Im dritten Teil unserer Artikelserie zum Thema Application Lifecycle Management wollen…
Cybersecurity
Nov 24, 2020

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7…

Weitere Artikel

Zero-Day-Lücke

Zero-Day-Lücken in MS Exchange ermöglichen Industriespionage

Microsoft hat Notfall-Patches für insgesamt vier bisher ungepatchte Sicherheitslücken in Microsoft Exchange veröffentlicht. Die Lücken werden derzeit von staatlichen Akteuren aktiv ausgenutzt.
Phishing

So schützen Sie sich vor Corona-Phishing

Phishing hat während der Corona-Krise stärker als zuvor zugenommen. Kriminelle nutzen die Verunsicherung und die Homeoffice-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten können.
IoT

Internet of Things (IoT): Altgeräte entpuppen sich als Sicherheitsfallen

Es klingt zu verlockend: Smarte Steckdosen und Lampen, Router oder Alarmanlagen werden auf digitalen Flohmärkten und sogar in manchen Online-Shops zu außergewöhnlich günstigen Preisen angeboten. Bei genauerem Hinsehen erweisen sich die vermeintlichen…
Trojaner

Gemeinsam gegen Verschlüsselungstrojaner

Funktionierende und sichere IT-Infrastrukturen sind von grundlegender Bedeutung für unsere Gesellschaft, das hat uns die Corona-Pandemie deutlich gezeigt. Mit fortschreitender Digitalisierung werden Unternehmen, Behörden sowie Bürger:Innen jedoch auch zur…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!