Anzeige

Security Awareness

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD hatte von Awareness für Risiken im Zusammenhang von Informationssystemen 1992 in seinen Guidelines für the Security of Information Systems gesprochen.

Nach mehr als 10 Jahren Erfahrung bei der Bereitstellung von Schulungsmaterialien für Security Awareness und durch das Feedback von zehntausenden Kunden über unsere Plattform haben wir im Laufe der Zeit einen gewissen Fortschritt bei der organisatorischen Security Awareness beobachtet.

Die Geschwindigkeit dieses Fortschritts ist je nach Größte der Organisation, Ort und Branche unterschiedlich, aber es lassen sich ähnliche Muster feststellen. In bestimmten Fällen werden einige Schritte ausgelassen. In anderen Fällen werden dafür ein paar Schritte gleichzeitig unternommen. Letztendlich steht am Ende für die meisten Organisationen das gleiche Szenario. Die organisatorische Security Awareness lässt sich in 10 Phasen unterteilen und anhand der einzelnen Phasen lässt sich feststellen, in welcher sich die Organisation derzeit befindet.

1. Erhöhtes technisches Bewusstsein für Informationssicherheits- und IT-Experten

Informationssicherheits- und IT-Experten gehören zu den ersten Betroffenen. Infizierte Workstations und Ransomware-Angriffe machen ihnen das Leben schwer. Viele dieser Fachleute sehen die Notwendigkeit in der Vermittlung von Security Awareness, werden aber manchmal durch die nicht praktikable, altmodische Praxis entmutigt, Benutzer durch 15-minütige, auf Compliance ausgerichtete Schulungen zu schicken. Darüber hinaus verstehen diese Fachleute die Risiken, wenn man sich nur auf IT-gestützte IT-Sicherheit verlässt.

2. Bereitstellung von Awareness-Inhalten für Endanwender

Zu den ersten Maßnahmen gehören vor allem PowerPoint-Präsentationen in abgedunkelten Schulungsräumen. Die Ergebnisse dieser Art von Wissenstransfer ist in aller Regel wenig zielführend, wird aber als erster wichtiger Schritt angesehen, um zumindest ein paar Grundlagen zu schaffen.

3. Plattform-Automatisierung ermöglicht Compliance-Anforderungen

Die Automatisierung der Prozesse zur Bereitstellung von Schulungen durch ein (internes oder externes) Learning Management System (LMS) ist ein zweiter Schritt und markiert die dritte Phase. Compliance-Anforderungen lassen sich dadurch leichter erfüllen. Dies hängt stark von der Größe der Organisation ab; größere Unternehmen haben ein On-Premise- oder Cloud-basiertes LMS, das für allgemeine Schulungszwecke verwendet wird.

4. Kontinuierliches Testen

Diese Phase zeigt eine deutliche Verschiebung in Richtung des „Zero Trust“-Modells. Mitarbeiter werden nach der Schulung häufig getestet, um sicherzustellen, dass das erworbene Wissen tatsächlich haften geblieben ist.

5. Unterstützung durch Technologie

In dieser Phase werden „Phish-Alarm-Buttons“ in den E-Mail-Clients der Endbenutzer bereitgestellt, damit diese alle Phishing-E-Mails an das Incident Response-Team oder das SOC melden können, die dann wiederum Gegenmaßnahmen ergreifen können. Technologie zur Unterstützung der Mitarbeiter dient in diesem Fall als Werkzeug, nur wer es richtig bedienen kann, kann es auch nutzen. Auch hierfür ist eine Schulung notwendig und die Mitarbeiter müssen ihre Erfahrung im Umgang machen, um es richtig einsetzen zu können. Am Ende aber muss immer der Mensch selbst entscheiden, die Technologie nimmt ihm das nicht ab.



6. Sicherheits-Orchestrierung

In der nächsten Phase werden diese gemeldeten E-Mails in einen Sicherheits-„Workstream“ integriert, der schnell das Risikoniveau bewertet. Im Falle einer Bedrohung kann dann automatisiert in den Posteingang aller Benutzer eingegriffen werden, um bösartige Nachrichten unschädlich zu machen, bevor weiterer Schaden entsteht.

7. Fortschrittliches Management des Benutzerverhaltens

Mit detaillierten Risiko-Metriken sowohl über einzelne Benutzer als auch über Benutzergruppen können Unternehmen nun maßgeschneiderte Kampagnen erstellen, die auf beobachtetem Risikoverhalten basieren. Ein Beispiel dafür ist das Scannen des Dark Web nach gekaperten Anmeldedaten. Darüber hinaus wird in dieser Phase auf falsches Passwortverhalten hingewiesen und individuelle Trainingsmodule an identifizierte Hochrisiko-Mitarbeiter versendet.

8. Adaptive Lernerfahrung

Die nächste Phase besteht darin, dass der Endbenutzer eine lokalisierte Benutzeroberfläche erhält, auf der er seinen individuellen Risiko-Score sehen, Auszeichnungen erhalten und an Schulungen teilnehmen kann. In dieser Phase ermöglichen fortschrittliche Metriken auch ML- und KI-gesteuerte Kampagnen, bei denen jeder Benutzer ein hochgradig individualisiertes Security Awareness-Training erhält.

9. Aktive Beteiligung des Mitarbeiters an der Gesamtsicherheitslage

Hier wird sich der Benutzer seiner Rolle in der Verteidigung seines Unternehmens bewusst und entscheidet sich aktiv für zusätzliche Schulungen, um seinen Risiko-Score zu reduzieren. Mitarbeiter nehmen an Security Awareness-Kampagnen teil und werden zu einem lokalen Awareness-Champion. Am Ende steht die Erkenntnis, dass man selbst zum Endpunkt geworden ist.

10. Der Mitarbeiter als menschliche Firewall

Jeder Mitarbeiter ist sich der Risiken im Zusammenhang mit der Cybersicherheit ausreichend bewusst und trifft jeden Tag intelligente Sicherheitsentscheidungen, die auf einem klaren Verständnis dieser Risiken basieren. Die aktuelle Work From Home-Situation hat die Notwendigkeit dieses Ziel bei möglichst vielen Mitarbeitern zu erreichen, deutlich beschleunigt.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

CD Projekt
Feb 10, 2021

Spieleentwickler CD Projekt wurde Opfer von Ransomware

Der polnische Spieleentwickler CD Projekt sieht sich zurzeit mit einer Ransomwareattacke…
ALM
Jan 25, 2021

Wie Sicherheit, Compliance und Transparenz erhöht werden können.

Im dritten Teil unserer Artikelserie zum Thema Application Lifecycle Management wollen…
Cybersecurity
Nov 24, 2020

Cyber Security Awareness ist kein technisches Thema

Im Jahr 2019 lag der durch Cyberkriminalität verursachte Schaden in Deutschland bei 87,7…

Weitere Artikel

Cyber Security

Jeder dritte Arbeitnehmer über 50 kümmert sich selbst um die private IT-Sicherheit

Arbeitnehmer in Deutschland werden in Zeiten fortschreitender Digitalisierung mit den veränderten Herausforderungen konfrontiert: Wo früher ein verschließbarer Aktenschrank die Anforderungen der Datensicherheit bereits erfüllen konnte, müssen digitale…
E-Mobility

E-Mobility-Security: Sicherheit auf drei Ebenen

Wenn von Sicherheit bei Ladestationen die Rede ist, denkt man an die Gerätesicherheit, doch wenig bis überhaupt nicht an die Cybersicherheit. Das ist ein fataler Fehler, sind Ladestationen, komplette Infrastrukturen und die damit verbunden Systeme doch ein…
Cyber Kriminalität

BSI-Lagebericht 2021: Bedrohungslage angespannt bis kritisch

Cyber-Angriffe führen zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachen zum Teil erheblichen wirtschaftlichen Schäden und bedrohen existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und Kunden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.