Die Mitarbeiter von Axe Capital, der fiktiven Firma von Milliardär Bobby Axelrod in der TV-Serie "Billions", wurden sauer, als sie erfuhren, dass die unangemeldete Sicherheitsüberprüfung, bei der sie Fragen über ihre Handelsgeschäfte beantworten mussten, nicht echt war. Axelroud fand den Vorgang aber sehr hilfreich, weil er die internen Schwachstellen seines Unternehmens aufdeckte.
Auch wenn dieser Fall aus einer TV-Serie stammt, zeigt er, dass Unternehmen durchaus solche Kennzahlen einsetzen sollten, um den Erfolg ihrer Security-Awareness-Programme zu messen. Damit ein Awareness-Training funktioniert, muss sich schließlich jeder Mitarbeiter zu jeder Zeit der Gefahren bewusst sein.
Ein aktueller Report von Wombat Security zeigt, dass Angestellte aller Branchen zu viele sensible Informationen über Social Media veröffentlichen, unsichere WLANs nutzen und mit vertraulichen Firmendaten zu lasch umgehen. Das führt dazu, dass die Zahl der erfolgreichen Phishing-Attacken zunimmt. Chris Weber, Mitgründer von Casaba Security: "Phishing-Angriffe sind leicht messbar: Halten Sie einen Phishing-Workshop ab und starten Sie dann eine Phishing-Testkampagne, um zu prüfen, wie viele Mitarbeiter darauf hereinfallen und wie viele den Angriff beziehungsweise die verdächtige E-Mail melden."
Machen Sie Ihr Security Awareness Training besser
Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites.
Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden.
Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt.
Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern.
Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen.
Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen.
Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil.
Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden.
Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Erstes Awareness-Trainingsziel: Phishing erkennen
Die Mitarbeiter für Phishing zu sensibilisieren, ist sehr empfehlenswert, weil ein Großteil der gefährlichsten Angriffe zumindest teilweise Phishing beinhaltet. Gerade vor dem Hintergrund, dass viele Menschen zu viele Informationen auf Social-Media-Plattformen teilen: "Die meisten Unternehmen setzen auf Trainings im Jahresrhythmus oder bei Einstellung, bei denen den Mitarbeitern erklärt wird, auf was sie achten müssen, wenn sie auf Unternehmensdaten zugreifen", so Weber.
Training allein genügt aber nicht. Ein erfolgreiches Awareness-Programm muss Training mit Tests verbinden. Weber: "Trainieren Sie Ihre Mitarbeiter, damit sie wissen, was vor sich geht und testen Sie sie, um ihre Aufmerksamkeit aufrecht zu erhalten. Die Frage ist immer: Wer fällt auf Ihren Köder herein?"
"Jeder Mitarbeiter sollten einmal im Monat getestet werden. Gerne auch häufiger - aber bitte nicht zu häufig. Das sollte sich doch einrichten lassen", empfiehlt Weber. Weil so viele Security-Vorfälle durch menschliche Fehler passierten, "ist es manchmal einfacher, alles zu verbieten und Zugriff ausschließlich auf Anfrage zu erteilen. Dazu muss jeder eine Device-Management-Software installieren, um bei der Überwachung der Geräte und Programme zu helfen."
Security-Trainings: Phishing hat nichts mit Dummheit zu tun
Zugänge zu sperren, kann aber kompliziert sein - und Access Controls allein können nicht als Ersatz für ein gutes Awareness-Trainingsprogramm heralten. "Social Engineering funktioniert nicht, weil die betroffenen Mitarbeiter dumm sind. Wer das glaubt, wird garantiert selbst zum Opfer. Ich kenne einen CISO, der die Ansage gemacht hat, dass jeder Mitarbeiter, der auf Social Engineering hereinfällt, gefeuert wird. Durch diese Ansage hat er das Programm aber nur schlechter gemacht - denn wenn ich als Mitarbeiter merke, dass ich einen Fehler gemacht habe, werde ich nun bestimmt niemandem mehr davon erzählen."
Dave Chronister, Gründer von Parameter Security, meint: "Ein Awareness-Training ist eine der wichtigsten Maßnahmen, um Ihr Netzwerk zu schützen. Sie müssen ein Trainingsprogramm haben - und es muss funktionieren." Heißt, dass das Training mehr umfasst als einen Redner, der Dinge erklärt, die die Mitarbeiter falsch machen. Das führt höchstens dazu, dass schnell niemand mehr zuhört - schon werden die Smartphones gezückt, um zu surfen und auf Social-Media-Kanälen zu posten. Damit wäre das Gegenteil von dem erreicht, was erreicht werden sollte. Chronister betont, dass eine solche Veranstaltung einmal im Jahr Zeitverschwendung ist: "Wenn das Gesagte dann nicht mit Filmclips, E-Mails, Anzeigen und Tests untermauert wird, behalten es die Mitarbeiter nur für einige Tage - wenn überhaupt."
Kurz und aktuell: Erfolgreicher Hacker abwehren
Beeindruckt hat Chronister das Awareness-Programm eines Mittelständlers: "Statt einer Stunde Security-Training im Jahr wurde in jeder monatlich stattfindenden Unternehmensversammlung - die insgesamt immer nur 30 bis 45 Minuten dauerte - jeweils zehn Minuten über Security-Awareness gesprochen, und zwar anhand eines aktuellen Themas." Das Ergebnis war, dass im Laufe eines Jahres mehr und häufiger über IT-Sicherheit gesprochen wurde - zusammen mit den Social-Engineering-Mitarbeitertests ließ sich so herausfinden, an welchen Stellschrauben noch gedreht werde musste, um die Unternehmenssicherheit zu verbessern.
Social-Engineering-Übungen sind schwierig umzusetzen, weil es Security-Experten braucht, die die Mitarbeiter hinter das Licht führen. Das Ziel dieser Übung sollte immer sein, herauszufinden, was vor sich geht - nicht, die Menschen für unabsichtliche Fehler zu bestrafen. Um nachzuhalten, ob Mitarbeiter auf die Angriffsversuche reagieren oder sich an den IT-Support wenden, braucht es einen fortlaufenden und abwechslungsreichen Testprozess.
Man sollte den Mitarbeitern auch vermitteln, wie viele von ihnen den Link in der Phishing-Mail angeklickt haben und auf der Zielseite Daten eingegeben haben. Anschließend sollten Sie gemeinsam überlegen, wie sich diese Zahlen reduzieren lassen.
Hacker-Professionalisierung: Selbst CISOs fallen darauf herein
Unternehmensverantwortliche müssten zudem begreifen, dass die Zahl der gezielten Attacken auf bestimmte Hierarchie-Ebenen zunimmt, merkt Chronister an. "Viele Leute glauben, dass wir es nicht schaffen, dass der CISO oder der IT-Security-Manager auf einen verseuchten Link klickt." Ein Irrglaube: Selbst jemand, der sich den ganzen Tag mit IT-Sicherheit beschäftigt, ist nicht minder anfällig als jeder andere Mitarbeiter der Firma. "Social Engineering funktioniert nicht, weil der Mitarbeiter doof ist", betont auch Chronister.
Ein Trainingsprogramm muss sowohl auf dem Wissen der Mitarbeiter als auch auf der Unterstützung der Hersteller aufbauen. Josh Grunzweig, Threat Intelligence Analyst in Palo Alto Networks‘ Forschungsbereich Unit 42 berichtet: "Viele Angestellte im Hotel- und Gaststättengewerbe nutzen ihre Buchungsterminals als normale Rechner zum E-Mail-Check und für Facebook-Posts. Diese Buchungscomputer sollten aber nur für ihren eigentlichen Zweck verwendet werden können."
Wer den Erfolg seines Security-Awareness-Trainings überprüfen möchte, sollte realistisch an seine Erwartungen an menschliches Verhalten herangehen. "Es geht zu einem großen Teil um technische Kontrollen, sodass Angreifer nicht dahin kommen, wo sie sich nicht aufhalten sollten", meint Grunzweig. "Natürlich sollen die Angestellten ausgebildet werden, worauf sie achten müssen, aber technische Sicherheitsmaßnahmen sind unabdingbar."
Security fängt zuhause an: Tipps für das Privatleben einfließen lassen
Die Unternehmen merken, dass sie die Verantwortung nicht komplett an ihre Mitarbeiter abgeben können - die Zahl der Angriffe ist dafür viel zu groß. Kleine wie große Unternehmen haben deshalb gute Erfahrungen mit Mitarbeiterschulungen gemacht, weil sie sich sowohl innerhalb der Unternehmen auf allen Ebenen um Security-Themen kümmern, als auch ihre Mitarbeiter regelmäßig auf Bedrohungen im privaten Umfeld hinweisen.
Citrix-CSO Stan Black sieht eine Herausforderung für Security-Awareness-Programme darin, dass die Menschen neben dem reinen Fachwissen auch anderweitig profitieren sollten: "Wer Backoffice-Funktionen bekleidet - sei es in der Buchhaltung oder in der Personalabteilung, bekommt Kurse, die speziell auf seine oder ihre Rolle zugeschnitten sind. Dazu kommen Schulungselemente, die über den Tellerrand des eigenen Jobs hinausblicken lassen und den Umgang mit IT auch im Privatleben sicherer gestalten."
Dieser Artikel erschien im englischen Original bei unserer US-Schwesterpublikation CSOonline.com.
Das setzt IT-Security-Verantwortliche unter Druck
Fehlende Fachkenntnisse
Die IT-Industrie wächst schneller, als die Universitäten qualifizierte Fachkräfte in den Markt bringen können. So bleiben zahlreiche IT-Abteilungen unterbesetzt und unterqualifiziert. 76 Prozent der von Trustwave für die Studie Befragten fühlen sich deshalb genötigt, sich selbst in ihrer täglichen Arbeit ständig zu übertreffen, um den Fachkräftemangel etwas zu kaschieren. Trustwave-Marketingchef Cas Purdy sieht externe Security-Service-Unternehmen wie sein eigenes in einer guten Position, IT-Abteilungen zu unterstützen.
Ungeduldiger Vorstand
Vier von zehn Security-Experten mögen Vorstandssitzungen überhaupt nicht. Direkt vor oder nach einem solchen Meeting haben sie nämlich den meisten Stress. Damit ist die Zahl derer, die sich von den eigenen Chefs stark unter Druck gesetzt fühlen sogar knapp höher als die Zahl derer, die sich unmittelbar nach einem großen Datendiebstahl gestresst fühlen (39 Prozent der von Trustwave Befragten).
Erkennen vs. vorbeugen
Die Erkennung von Schwachstellen, Malware und schädlichen Netzwerkaktivitäten stellt für jeden zweiten IT-Security-Experten eine Aufgabe im Tagesgeschäft dar, die mit großem Druck verbunden ist. Es geht darum, Hintertüren in den Systemen zu entdecken, die als Einfallstor missbraucht werden könnten und diese zu schließen, bevor es zu einem Sicherheitsvorfall kommt. Ein Katz-und-Maus-Spiel, was einen gewissen Druck entstehen lässt.
Zu frühe Releases
Wenn IT-Produkte veröffentlicht werden, bevor sie wirklich fertig sind – das ist ein Problem, das 77 Prozent der von Trustwave Befragten nur zu gut kennen. Denn zumeist mangelt es den neuen Errungenschaften gerade an einem – an Sicherheit. Dennoch werden Sicherheitsspezialisten häufig von ihren Unternehmen dazu genötigt, das unfertige Produkt so schnell wie möglich aus der Tür zu bringen.
Internet der Dinge
Wenn alles mit allem vernetzt ist und entsprechend viele neue Angriffspunkte entstehen, sind neue Aufgaben für Security-Experten nicht weit. Das Internet der Dinge (IoT) beherrscht viele Unternehmen und stellt IT-Verantwortliche vor die Aufgabe, entsprechende Lösungen zu entwickeln und zu integrieren. Mehr als jeder zehnte Security-Verantwortliche fühlt sich dadurch unter Druck gesetzt, dass ihm gar nicht die Wahl gelassen wird, ob er IoT-Technologie überhaupt als sinnvoll erachtet. Es geht oftmals nur darum, sie schnellstmöglich einzubauen – unter Sicherheitsaspekten alle andere als schnell erledigt.
Big Data
Der Diebstahl von Kundendaten und von Intellectual Property bestimmt die Schlagzeilen – entsprechend groß ist die Angst von Unternehmensverantwortlichen, dass ihnen so etwas auch widerfahren könnte. Security-Verantwortliche haben großen Druck dadurch, fast die Hälfte von ihnen fürchtet sich vor einem Hack im großen Stil – dass erst Kundendaten abhandenkommen, dann auch noch Firmengeheimnisse verschwinden und es anschließend neben dem herben Imageverlust auch noch zu Gerichtsverfahren kommt. Ganz unbegründet ist diese Angst nicht – zahlreiche reale Fälle, die genau so oder ähnlich abgelaufen sind, geben dieser Befürchtung Nahrung.
Angebot und Nachfrage
Dass es an Security-Personal fehlt, wurde bereits deutlich. Der Bedarf an Experten ist dennoch erstaunlich: Fast jeder Dritte für die Trustwave-Studie Befragte wünscht sich eine Vervierfachung des IT- und IT-Security-Personalstamms im eigenen Unternehmen. Jeder zweite immerhin eine Verdoppelung. Ähnlich groß ist der Wunsch nach einem höheren IT-Security-Budget.
Sicherheit des Arbeitsplatzes
Wenn es zu einem Security-Vorfall gekommen ist, fürchtet nur jeder zehnte Verantwortliche um seinen Job – was maßgeblich mit dem Fachkräftemangel zusammenhängt. Sollte doch einmal die Entlassung drohen, finden Security-Experten schnell wieder einen Arbeitgeber. Also immerhin ein Punkt, an dem sich nur wenige größere Sorgen machen müssen.