Anzeige

Security Awareness

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD hatte von Awareness für Risiken im Zusammenhang von Informationssystemen 1992 in seinen Guidelines für the Security of Information Systems gesprochen.

Nach mehr als 10 Jahren Erfahrung bei der Bereitstellung von Schulungsmaterialien für Security Awareness und durch das Feedback von zehntausenden Kunden über unsere Plattform haben wir im Laufe der Zeit einen gewissen Fortschritt bei der organisatorischen Security Awareness beobachtet.

Die Geschwindigkeit dieses Fortschritts ist je nach Größte der Organisation, Ort und Branche unterschiedlich, aber es lassen sich ähnliche Muster feststellen. In bestimmten Fällen werden einige Schritte ausgelassen. In anderen Fällen werden dafür ein paar Schritte gleichzeitig unternommen. Letztendlich steht am Ende für die meisten Organisationen das gleiche Szenario. Die organisatorische Security Awareness lässt sich in 10 Phasen unterteilen und anhand der einzelnen Phasen lässt sich feststellen, in welcher sich die Organisation derzeit befindet.

1. Erhöhtes technisches Bewusstsein für Informationssicherheits- und IT-Experten

Informationssicherheits- und IT-Experten gehören zu den ersten Betroffenen. Infizierte Workstations und Ransomware-Angriffe machen ihnen das Leben schwer. Viele dieser Fachleute sehen die Notwendigkeit in der Vermittlung von Security Awareness, werden aber manchmal durch die nicht praktikable, altmodische Praxis entmutigt, Benutzer durch 15-minütige, auf Compliance ausgerichtete Schulungen zu schicken. Darüber hinaus verstehen diese Fachleute die Risiken, wenn man sich nur auf IT-gestützte IT-Sicherheit verlässt.

2. Bereitstellung von Awareness-Inhalten für Endanwender

Zu den ersten Maßnahmen gehören vor allem PowerPoint-Präsentationen in abgedunkelten Schulungsräumen. Die Ergebnisse dieser Art von Wissenstransfer ist in aller Regel wenig zielführend, wird aber als erster wichtiger Schritt angesehen, um zumindest ein paar Grundlagen zu schaffen.

3. Plattform-Automatisierung ermöglicht Compliance-Anforderungen

Die Automatisierung der Prozesse zur Bereitstellung von Schulungen durch ein (internes oder externes) Learning Management System (LMS) ist ein zweiter Schritt und markiert die dritte Phase. Compliance-Anforderungen lassen sich dadurch leichter erfüllen. Dies hängt stark von der Größe der Organisation ab; größere Unternehmen haben ein On-Premise- oder Cloud-basiertes LMS, das für allgemeine Schulungszwecke verwendet wird.

4. Kontinuierliches Testen

Diese Phase zeigt eine deutliche Verschiebung in Richtung des „Zero Trust“-Modells. Mitarbeiter werden nach der Schulung häufig getestet, um sicherzustellen, dass das erworbene Wissen tatsächlich haften geblieben ist.

5. Unterstützung durch Technologie

In dieser Phase werden „Phish-Alarm-Buttons“ in den E-Mail-Clients der Endbenutzer bereitgestellt, damit diese alle Phishing-E-Mails an das Incident Response-Team oder das SOC melden können, die dann wiederum Gegenmaßnahmen ergreifen können. Technologie zur Unterstützung der Mitarbeiter dient in diesem Fall als Werkzeug, nur wer es richtig bedienen kann, kann es auch nutzen. Auch hierfür ist eine Schulung notwendig und die Mitarbeiter müssen ihre Erfahrung im Umgang machen, um es richtig einsetzen zu können. Am Ende aber muss immer der Mensch selbst entscheiden, die Technologie nimmt ihm das nicht ab.



6. Sicherheits-Orchestrierung

In der nächsten Phase werden diese gemeldeten E-Mails in einen Sicherheits-„Workstream“ integriert, der schnell das Risikoniveau bewertet. Im Falle einer Bedrohung kann dann automatisiert in den Posteingang aller Benutzer eingegriffen werden, um bösartige Nachrichten unschädlich zu machen, bevor weiterer Schaden entsteht.

7. Fortschrittliches Management des Benutzerverhaltens

Mit detaillierten Risiko-Metriken sowohl über einzelne Benutzer als auch über Benutzergruppen können Unternehmen nun maßgeschneiderte Kampagnen erstellen, die auf beobachtetem Risikoverhalten basieren. Ein Beispiel dafür ist das Scannen des Dark Web nach gekaperten Anmeldedaten. Darüber hinaus wird in dieser Phase auf falsches Passwortverhalten hingewiesen und individuelle Trainingsmodule an identifizierte Hochrisiko-Mitarbeiter versendet.

8. Adaptive Lernerfahrung

Die nächste Phase besteht darin, dass der Endbenutzer eine lokalisierte Benutzeroberfläche erhält, auf der er seinen individuellen Risiko-Score sehen, Auszeichnungen erhalten und an Schulungen teilnehmen kann. In dieser Phase ermöglichen fortschrittliche Metriken auch ML- und KI-gesteuerte Kampagnen, bei denen jeder Benutzer ein hochgradig individualisiertes Security Awareness-Training erhält.

9. Aktive Beteiligung des Mitarbeiters an der Gesamtsicherheitslage

Hier wird sich der Benutzer seiner Rolle in der Verteidigung seines Unternehmens bewusst und entscheidet sich aktiv für zusätzliche Schulungen, um seinen Risiko-Score zu reduzieren. Mitarbeiter nehmen an Security Awareness-Kampagnen teil und werden zu einem lokalen Awareness-Champion. Am Ende steht die Erkenntnis, dass man selbst zum Endpunkt geworden ist.

10. Der Mitarbeiter als menschliche Firewall

Jeder Mitarbeiter ist sich der Risiken im Zusammenhang mit der Cybersicherheit ausreichend bewusst und trifft jeden Tag intelligente Sicherheitsentscheidungen, die auf einem klaren Verständnis dieser Risiken basieren. Die aktuelle Work From Home-Situation hat die Notwendigkeit dieses Ziel bei möglichst vielen Mitarbeitern zu erreichen, deutlich beschleunigt.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

CD Projekt
Feb 10, 2021

Spieleentwickler CD Projekt wurde Opfer von Ransomware

Der polnische Spieleentwickler CD Projekt sieht sich zurzeit mit einer Ransomwareattacke…
ALM
Jan 25, 2021

Wie Sicherheit, Compliance und Transparenz erhöht werden können.

Im dritten Teil unserer Artikelserie zum Thema Application Lifecycle Management wollen…
Cybersecurity
Nov 24, 2020

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7…

Weitere Artikel

Cyber Security Schild

Die menschliche Firewall stärken

Zum Anlass des Tages der Computersicherheit am 30. November ein Kommentar Rainer Seidlitz, Leiter Produkt-Management Safety & Security, TÜV SÜD Akademie GmbH.
Cyber Security

Cyber-Sicherheit 2021 bis 2025 – „Große Chance verpasst!”

CyberDirekt, eine digitale Vertriebsplattform für Cyber-Versicherungen, zieht anlässlich der Vorstellung des Koalitionsvertrags der zukünftigen Regierungsparteien SPD, Bündnis90/Die Grünen und FDP ein ernüchterndes Fazit. Die deutsche Wirtschaft, Garant für…
Cyber Security

US-Regierung sollte bei Privatwirtschafts-Schutz größere Rolle spielen

Tripwire, Anbieter von Sicherheits- und Compliance-Lösungen für Unternehmen und Industrie, stellt die Ergebnisse seiner aktuellen Umfrage vor. Darin wurden die Maßnahmen der US-Bundesregierung zur Verbesserung der Cybersicherheit im Jahr 2021 evaluiert.
Zero Trust

Du kommst hier nicht rein! Das Prinzip ZERO Trust für größtmögliche IT-Sicherheit

Mit dem Prinzip von Zero Trust erreichen Unternehmen ein Sicherheitslevel, das mit klassischen Berechtigungen und Policies in zunehmend verteilten IT-Umgebungen kaum zu erreichen ist.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.