Security-Awareness kommt mit jeder erfolgreichen-Phishing E-Mail, aus der dann auch noch eine Ransomware- oder andere Malware-Infektion entsteht, wieder auf die Tagesordnung der Geschäftsleitung. Oftmals, weil das eigene Unternehmen bereits getroffen und ein Sicherheitsvorfall aufgeklärt werden muss.
Bei der Frage nach vorbereitenden Schutzmaßnahmen fällt immer öfter das Wort Security-Awareness-Training, sogar im Mittelstand wird das Thema vermehrt diskutiert. Die Erkenntnis, dass ein Schutz mit traditionellen Sicherheitstechnologien nicht mehr ausreicht, reift, nun muss sie sich setzen, dass Investitionen in neue Technologien allein das Problem nicht lösen können. Vielmehr muss in organisatorische Maßnahmen und damit in das Training der Mitarbeiter investiert werden. Doch hier gibt es Missverständnisse, denn ein einmaliges Security-Awareness-Training, im einfachsten Fall sogar als Schulung in einer Klassenraum-ähnlichen Atmosphäre, wird nur zu kurzfristigen, aber nicht zu den eigentlich gewünschten langfristigen Effekten führen. Deshalb braucht es auch keines Security-Awareness-Trainings, es braucht ein Security-Awareness-Programm. Allein der Begriff zeigt schon, dass es sich hier um eine kontinuierliche Fort- und Weiterbildung handelt. Doch wie sollte ein solches Programm aussehen und welche Möglichkeiten zur Gestaltung gibt es?
Die fünf folgenden Tipps dienen zur Orientierung:
Sicherheits-Policies anpassen_ Zunächst sollten die bestehenden Sicherheits-Policies überprüft und auf den aktuellen Stand gebracht werden, alle Mitarbeiter müssen dieses Dokument gelesen und unterschrieben haben. Darüber hinaus hilft es allen Mitarbeitern, wenn klare Vorgaben zum Umgang mit erkannten Phishing-E-Mails formuliert werden. In aller Regel sollten diese an die Sicherheitsabteilung weitergeleitet und in die dafür vorgesehenen Spam-Ordner verschoben werden. Ein Poster oder ein Cheat-Sheet mit einem Überblick über die wichtigsten sogenannten roten Flaggen hilft bei der schnellen Erkennung der Anzeichen für eine Phishing-E-Mail.
Security-Awareness-Trainings – aber regelmäßig:Die Trainings sind durchaus sinnvoll, aber es muss sich eine Lernkurve messen lassen. Diese Kurve kann nur dann erreicht werden, wenn die Mitarbeiter sich regelmäßig solchen Trainings unterziehen und getestet werden. Eine Frequenz von einer halben Stunde alle 2-3 Wochen hat sich bewährt. Darüber hinaus sind echt wirkende aber in Wahrheit ungefährliche Test-Phishing-E-Mails eine gute Ergänzung zu eher theoretischen Inhalten. Die Trainings müssen ein Teil des Programms sein und dementsprechend mit flankierenden Maßnahmen unterstützt werden. Es kann durchaus sinnvoll sein, eine Reihe von spielerischen Ansätzen, die Wettbewerbscharakter haben begleitend einzustreuen. Hier können verschiedene Teams oder Abteilungen gegeneinander antreten und um eine kleine Trophäe (durchaus auch ein Wanderpokal) wetteifern. Selbstredend sollten alle neuen Mitarbeiter bereits beim On-Boarding-Prozess entsprechend trainiert und mit Security-Awareness-Maßnahmen konfrontiert werden.
Abteilungsinterne Trainings: Eine weitere Empfehlung ist, in das Programm auch Inhalte einzubauen, die Abteilungsspezifisch sind. Die Buchhaltung wird mit anderen Phishing-E-Mails konfrontiert als die Geschäftsführung. Das Marketing bekommt beispielsweise mehr Angebote zugeschickt, die Personalabteilung erhält Phishing-E-Mails in Form von Bewerbungen und Rechnungen werden bevorzugt an Geschäftsführung und Buchhaltung versendet. Dementsprechend muss sich auch ein Training mit solchen Beispielen auseinandersetzen und im Dialog mit den Mitarbeitern feststellen, welche Formen bereits bekannt sind und welche bislang eher wenig vorkamen.
Content, Content, Content: Und nun zum eigentlich wichtigsten Thema bei einem Security-Awareness-Programm: Die Inhalte. Sie müssen abwechslungsreich sein, sie müssen verständlich sein, sie müssen den Mitarbeiter da abholen, wo er bei seiner täglichen Arbeit mit der Security in Berührung kommt. Mal kann ein Poster auf der Toilette hilfreich sein, mal ist es aber auch ein kleiner Comic neben dem Bildschirm, der täglich daran erinnert, welches die ersten und wichtigsten Warnhinweise für beispielsweise Phishing sind. Nicht bei jedem Mitarbeiter funktioniert der gleiche Inhalt, deshalb ist Abwechslung wichtig.
Security-Kultur: Ziel eines jeden Programms sollte sein, dass am Ende eine Veränderung der Unternehmenskultur stattfindet, in der eine Security-Kultur Einzug hält. Niemand braucht paranoide Mitarbeiter, die nichts und niemandem trauen, dies ist eindeutig der falsche Weg, genauso wie mit Bestrafung zu arbeiten. Mitarbeiter müssen motiviert und aufgeklärt werden, nicht abgeschreckt. Aus diesem Grund sind ständiger Dialog und ständiger Austausch von Informationen über das gelehrte und gelernte wichtig. Mitarbeiter müssen nicht geführt, sondern gefördert werden. Wird dieser Leitspruch beherzigt, so ist es möglich eine echte Security Kultur zu schaffen, die aus Mitarbeitern besteht, die Security ernst nehmen, aber dem Thema souverän und ohne Angst begegnen, ohne viele technische Details kennen zu müssen. Eine gesunde Sicherheitskultur ermöglicht es den Mitarbeitern, Bedrohungen zu erkennen, zu verstehen, warum sie eine Bedrohung darstellen, und sicher zu handeln.
Fazit
Security-Awareness steigt in ihrer Bedeutung, die Berichte über Unternehmen mit IT-Sicherheitsproblemen werden immer detaillierter, auch weil Leser durch die eigene Erfahrung mit der Digitalisierung immer mehr in Berührung mit Cybercrime kommen. Nicht zuletzt dieser Trend führt dazu, dass Unternehmen, wenn sie in Training investieren, auf aufmerksame Mitarbeiter stoßen. Diese Anfangsneugier darf aber nicht mit langweiligem Frontalunterricht gebremst werden. Wer dagegen begeisternde Inhalte in verschiedenen Formaten liefert, der gewinnt den Hauptpreis: Security-sensibilisierte Mitarbeiter.
Von Jelle Wieringa, Security Awareness Advocate bei Knowbe4