Security Awareness Training

Wie IT-Sicherheit den Mitarbeitern Spaß macht

Kacy Zurkus schreibt als freie Autorin für CSOonline.com und andere Portale über IT-Sicherheit, Risik-Management, IT-Bildung und Datenschutz.
Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Ein einstündiger IT-Sicherheits-Vortrag jedes Jahr hilft - nichts. Mitarbeiter wollen anders geschult werden.

Die Mitarbeiter von Axe Capital, der fiktiven Firma von Milliardär Bobby Axelrod in der TV-Serie "Billions", wurden sauer, als sie erfuhren, dass die unangemeldete Sicherheitsüberprüfung, bei der sie Fragen über ihre Handelsgeschäfte beantworten mussten, nicht echt war. Axelroud fand den Vorgang aber sehr hilfreich, weil er die internen Schwachstellen seines Unternehmens aufdeckte.

Auch wenn dieser Fall aus einer TV-Serie stammt, zeigt er, dass Unternehmen durchaus solche Kennzahlen einsetzen sollten, um den Erfolg ihrer Security-Awareness-Programme zu messen. Damit ein Awareness-Training funktioniert, muss sich schließlich jeder Mitarbeiter zu jeder Zeit der Gefahren bewusst sein.

Ein aktueller Report von Wombat Security zeigt, dass Angestellte aller Branchen zu viele sensible Informationen über Social Media veröffentlichen, unsichere WLANs nutzen und mit vertraulichen Firmendaten zu lasch umgehen. Das führt dazu, dass die Zahl der erfolgreichen Phishing-Attacken zunimmt. Chris Weber, Mitgründer von Casaba Security: "Phishing-Angriffe sind leicht messbar: Halten Sie einen Phishing-Workshop ab und starten Sie dann eine Phishing-Testkampagne, um zu prüfen, wie viele Mitarbeiter darauf hereinfallen und wie viele den Angriff beziehungsweise die verdächtige E-Mail melden."

Erstes Awareness-Trainingsziel: Phishing erkennen

Die Mitarbeiter für Phishing zu sensibilisieren, ist sehr empfehlenswert, weil ein Großteil der gefährlichsten Angriffe zumindest teilweise Phishing beinhaltet. Gerade vor dem Hintergrund, dass viele Menschen zu viele Informationen auf Social-Media-Plattformen teilen: "Die meisten Unternehmen setzen auf Trainings im Jahresrhythmus oder bei Einstellung, bei denen den Mitarbeitern erklärt wird, auf was sie achten müssen, wenn sie auf Unternehmensdaten zugreifen", so Weber.

Training allein genügt aber nicht. Ein erfolgreiches Awareness-Programm muss Training mit Tests verbinden. Weber: "Trainieren Sie Ihre Mitarbeiter, damit sie wissen, was vor sich geht und testen Sie sie, um ihre Aufmerksamkeit aufrecht zu erhalten. Die Frage ist immer: Wer fällt auf Ihren Köder herein?"

"Jeder Mitarbeiter sollten einmal im Monat getestet werden. Gerne auch häufiger - aber bitte nicht zu häufig. Das sollte sich doch einrichten lassen", empfiehlt Weber. Weil so viele Security-Vorfälle durch menschliche Fehler passierten, "ist es manchmal einfacher, alles zu verbieten und Zugriff ausschließlich auf Anfrage zu erteilen. Dazu muss jeder eine Device-Management-Software installieren, um bei der Überwachung der Geräte und Programme zu helfen."

Security-Trainings: Phishing hat nichts mit Dummheit zu tun

Zugänge zu sperren, kann aber kompliziert sein - und Access Controls allein können nicht als Ersatz für ein gutes Awareness-Trainingsprogramm heralten. "Social Engineering funktioniert nicht, weil die betroffenen Mitarbeiter dumm sind. Wer das glaubt, wird garantiert selbst zum Opfer. Ich kenne einen CISO, der die Ansage gemacht hat, dass jeder Mitarbeiter, der auf Social Engineering hereinfällt, gefeuert wird. Durch diese Ansage hat er das Programm aber nur schlechter gemacht - denn wenn ich als Mitarbeiter merke, dass ich einen Fehler gemacht habe, werde ich nun bestimmt niemandem mehr davon erzählen."

Dave Chronister, Gründer von Parameter Security, meint: "Ein Awareness-Training ist eine der wichtigsten Maßnahmen, um Ihr Netzwerk zu schützen. Sie müssen ein Trainingsprogramm haben - und es muss funktionieren." Heißt, dass das Training mehr umfasst als einen Redner, der Dinge erklärt, die die Mitarbeiter falsch machen. Das führt höchstens dazu, dass schnell niemand mehr zuhört - schon werden die Smartphones gezückt, um zu surfen und auf Social-Media-Kanälen zu posten. Damit wäre das Gegenteil von dem erreicht, was erreicht werden sollte. Chronister betont, dass eine solche Veranstaltung einmal im Jahr Zeitverschwendung ist: "Wenn das Gesagte dann nicht mit Filmclips, E-Mails, Anzeigen und Tests untermauert wird, behalten es die Mitarbeiter nur für einige Tage - wenn überhaupt."

Inhalt dieses Artikels