Anzeige

Security Assesment

Security Awareness kommt mit jeder erfolgreichen Phishing E-Mail, aus der dann auch noch eine Ransomware- oder andere Malware-Infektion entsteht, wieder auf die Tagesordnung der Geschäftsleitung. Oftmals, weil das eigene Unternehmen bereits getroffen und ein Sicherheitsvorfall aufgeklärt werden muss.

Bei der Frage nach vorbereitenden Schutzmaßnahmen fällt immer öfter das Wort Security Awareness Training, sogar im Mittelstand wird das Thema vermehrt diskutiert.

Die Erkenntnis, dass ein Schutz mit traditionellen Sicherheitstechnologien nicht mehr ausreicht, reift, nun muss sie sich setzen, dass Investitionen in neue Technologien allein das Problem nicht lösen können. Vielmehr muss in organisatorische Maßnahmen und damit in das Training der Mitarbeiter investiert werden. Doch hier gibt es Missverständnisse, denn ein einmaliges Security Awareness Training, im einfachsten Fall sogar als Schulung in einer Klassenraum-ähnlichen Atmosphäre, wird nur zu kurzfristigen, aber nicht zu den eigentlich gewünschten langfristigen Effekten führen. Deshalb braucht es auch keines Security Awareness Trainings, es braucht ein Security Awareness Programm. Allein der Begriff zeigt schon, dass es sich hier um eine kontinuierliche Fort- und Weiterbildung handelt. Doch wie sollte ein solches Programm aussehen und welche Möglichkeiten zur Gestaltung gibt es?

Die fünf folgenden Tipps dienen zur Orientierung:

Sicherheits-Policies anpassen

Zunächst sollten die bestehenden Sicherheits-Policies überprüft und auf den aktuellen Stand gebracht werden, alle Mitarbeiter müssen dieses Dokument gelesen und unterschrieben haben. Darüber hinaus hilft es allen Mitarbeitern, wenn klare Vorgaben zum Umgang mit erkannten Phishing-E-Mails formuliert werden. In aller Regel sollten diese an die Sicherheitsabteilung weitergeleitet und in die dafür vorgesehenen Spam-Ordner verschoben werden. Ein Poster oder ein Cheat-Sheet mit einem Überblick über die wichtigsten sogenannten roten Flaggen hilft bei der schnellen Erkennung der Anzeichen für eine Phishing E-Mail.

Security Awareness Trainings – aber regelmäßig

Die Trainings sind durchaus sinnvoll, aber es muss sich eine Lernkurve messen lassen. Diese Kurve kann nur dann erreicht werden, wenn die Mitarbeiter sich regelmäßig solchen Trainings unterziehen und getestet werden. Eine Frequenz von einer halben Stunde alle 2-3 Wochen hat sich bewährt. Darüber hinaus sind echt wirkende aber in Wahrheit ungefährliche Test-Phishing-E-Mails eine gute Ergänzung zu eher theoretischen Inhalten. Die Trainings müssen ein Teil des Programms sein und dementsprechend mit flankierenden Maßnahmen unterstützt werden. Es kann durchaus sinnvoll sein, eine Reihe von spielerischen Ansätzen, die Wettbewerbscharakter haben begleitend einzustreuen. Hier können verschiedene Teams oder Abteilungen gegeneinander antreten und um eine kleine Trophäe (durchaus auch ein Wanderpokal) wetteifern. Selbstredend sollten alle neuen Mitarbeiter bereits beim On-Boarding-Prozess entsprechend trainiert und mit Security Awareness-Maßnahmen konfrontiert werden.

Abteilungsinterne Trainings

Eine weitere Empfehlung ist, in das Programm auch Inhalte einzubauen, die Abteilungsspezifisch sind. Die Buchhaltung wird mit anderen Phishing-E-Mails konfrontiert als die Geschäftsführung. Das Marketing bekommt beispielsweise mehr Angebote zugeschickt, die Personalabteilung erhält Phishing-E-Mails in Form von Bewerbungen und Rechnungen werden bevorzugt an Geschäftsführung und Buchhaltung versendet. Dementsprechend muss sich auch ein Training mit solchen Beispielen auseinandersetzen und im Dialog mit den Mitarbeitern feststellen, welche Formen bereits bekannt sind und welche bislang eher wenig vorkamen.

Content, Content, Content

Und nun zum eigentlich wichtigsten Thema bei einem Security Awareness Programm: Die Inhalte. Sie müssen abwechslungsreich sein, sie müssen verständlich sein, sie müssen den Mitarbeiter da abholen, wo er bei seiner täglichen Arbeit mit der Security in Berührung kommt. Mal kann ein Poster auf der Toilette hilfreich sein, mal ist es aber auch ein kleiner Comic neben dem Bildschirm, der täglich daran erinnert, welches die ersten und wichtigsten Warnhinweise für beispielsweise Phishing sind. Nicht bei jedem Mitarbeiter funktioniert der gleiche Inhalt, deshalb ist Abwechslung wichtig.

Security Kultur

Ziel eines jeden Programms sollte sein, dass am Ende eine Veränderung der Unternehmenskultur stattfindet, in der eine Security Kultur Einzug hält. Niemand braucht paranoide Mitarbeiter, die nichts und niemandem trauen, dies ist eindeutig der falsche Weg, genauso wie mit Bestrafung zu arbeiten. Mitarbeiter müssen motiviert und aufgeklärt werden, nicht abgeschreckt. Aus diesem Grund sind ständiger Dialog und ständiger Austausch von Informationen über das gelehrte und gelernte wichtig. Mitarbeiter müssen nicht geführt, sondern gefördert werden. Wird dieser Leitspruch beherzigt, so ist es möglich eine echte Security Kultur zu schaffen, die aus Mitarbeitern besteht, die Security ernst nehmen, aber dem Thema souverän und ohne Angst begegnen, ohne viele technische Details kennen zu müssen. Eine gesunde Sicherheitskultur ermöglicht es den Mitarbeitern, Bedrohungen zu erkennen, zu verstehen, warum sie eine Bedrohung darstellen, und sicher zu handeln.

Fazit

Security Awareness steigt in ihrer Bedeutung, die Berichte über Unternehmen mit IT-Sicherheitsproblemen werden immer detaillierter, auch weil Leser durch die eigene Erfahrung mit der Digitalisierung immer mehr in Berührung mit Cybercrime kommen. Nicht zuletzt dieser Trend führt dazu, dass Unternehmen, wenn sie in Training investieren, auf aufmerksame Mitarbeiter stoßen. Diese Anfangsneugier darf aber nicht mit langweiligem Frontalunterricht gebremst werden. Wer dagegen begeisternde Inhalte in verschiedenen Formaten liefert, der gewinnt den Hauptpreis: Security-sensibilisierte Mitarbeiter.

Jelle Wieringa, Security Awareness Advocate
Jelle Wieringa
Security Awareness Advocate, KnowBe4

Artikel zu diesem Thema

Jun 26, 2020

Neue Android-Ransomware tarnt sich als Covid-19-App

Der IT-Sicherheits-Hersteller ESET warnt davor, Corona-Warn-Apps ohne genaue Überprüfung…
Justitia
Jun 22, 2020

DSGVO-konformes Awareness-Training und die rechtlichen Tücken

Die EU-Datenschutzgrundverordnung (kurz DSGVO) hält fast alle Unternehmen auf Trab, die…
Hacker
Mai 13, 2020

Fehlende Security Awareness für Remote Arbeit

Unternehmen in Deutschland unterschätzen die Cyberrisiken, die sich aus der Arbeit im…

Weitere Artikel

Digitale Forensik

Digitale Forensik gewinnt an Bedeutung

Die Digital Forensics Umfrage 2021 vor beschäftigt sich mit der Professionalisierung des Berufszweigs und der Bewertung der Fähigkeiten durch die Befragten. Die Umfrage zeigt, dass die meisten der 370 Umfrage-Teilnehmer grundlegende Fähigkeiten und Wissen…
Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.