Die Mitarbeiter von Axe Capital, der fiktiven Firma von Milliardär Bobby Axelrod in der TV-Serie "Billions", wurden sauer, als sie erfuhren, dass die unangemeldete Sicherheitsüberprüfung, bei der sie Fragen über ihre Handelsgeschäfte beantworten mussten, nicht echt war. Axelroud fand den Vorgang aber sehr hilfreich, weil er die internen Schwachstellen seines Unternehmens aufdeckte.
Auch wenn dieser Fall aus einer TV-Serie stammt, zeigt er, dass Unternehmen durchaus solche Kennzahlen einsetzen sollten, um den Erfolg ihrer Security-Awareness-Programme zu messen. Damit ein Awareness-Training funktioniert, muss sich schließlich jeder Mitarbeiter zu jeder Zeit der Gefahren bewusst sein.
Ein aktueller Report von Wombat Security zeigt, dass Angestellte aller Branchen zu viele sensible Informationen über Social Media veröffentlichen, unsichere WLANs nutzen und mit vertraulichen Firmendaten zu lasch umgehen. Das führt dazu, dass die Zahl der erfolgreichen Phishing-Attacken zunimmt. Chris Weber, Mitgründer von Casaba Security: "Phishing-Angriffe sind leicht messbar: Halten Sie einen Phishing-Workshop ab und starten Sie dann eine Phishing-Testkampagne, um zu prüfen, wie viele Mitarbeiter darauf hereinfallen und wie viele den Angriff beziehungsweise die verdächtige E-Mail melden."
- Bestimmen Sie Metriken
Seien Sie in der Lage, den Erfolg Ihrer Bemühungen zu belegen. Das können Sie nur, wenn Sie Kennzahlen definieren, bevor Sie Ihr Awareness-Programm beginnen. Möglich sind Fragebögen zum Verhalten in bestimmten Situationen oder Phishing-Simulationswerkzeuge, die einen Angriff vor und einen nach den Trainigsmaßnahmen nachstellen. Ebenfalls lassen sich durch Mitarbeiter ausgelöste Incidents zählen - wie versuchte Besuche gesperrter Websites. - Bleiben Sie flexibel
Konzentrieren Sie sich nicht nur auf die Präventionsarbeit. Die Idee der "menschlichen Firewall" ist weit verbreitet, sie kommt aber erst dann zum Einsatz, wenn ein Angriff erfolgt. Warum nicht auch auf "menschliche Sensoren" setzen und bevorstehende Attacken versuchen zu erkennen? Lassen Sie Ihre Angestellten nach Indikatoren Ausschau halten, die einen möglichen Angriff ankündigen. Wenn Phishing-Simulationen stattfinden, sollte man auch darauf achten, wie viele Testteilnehmer den Angriff erkennen und melden. - Lassen Sie Regeln brechen
Wer sich nicht an Security-Regeln hält, kann seine eigene Security-Awareness steigern. Das Unternehmen sollte seinen Mitarbeitern ab und zu - nicht regelmäßig, damit es nicht zur Gewohnheit wird - die Freiheit geben, bestimmte Sicherheitsregeln zu brechen - aber nur solche, die keinen unmittelbaren Schaden anrichten. Nur wenn sie die Regel brechen, können die Mitarbeiter erkennen, was passiert, wenn die Regel gebrochen wird und warum es sie letztlich gibt. In einem Gespräch zwischen IT-Sicherheitsteam und Mitarbeitern lässt sich dann gemeinschaftlich nachvollziehen, welchen Zweck eine bestimmte Richtlinie verfolgt. - Wählen Sie einen neuen Ansatz
Die meisten Awareness-Programme haben nicht dazu geführt, dass die Mitarbeiter ihr Verhalten geändert haben. Das liegt nach Meinung vieler Experten aber daran, dass sie gar nicht darauf ausgelegt waren, das Verhalten zu ändern - sie sollten einfach nur geltende Compliance-Vorgaben erfüllen. Also wurde wenig in diese Trainings investiert - sowohl finanziell als auch inhaltlich. Nur, wer Gehirnschmalz in die inhaltliche Ausgestaltung seiner Securiy-Trainings steckt, kann das Mitareiterverhalten ändern. - Holen Sie sich Unterstützung vom C-Level
Wer die Unterstützung der Entscheiderebene hat, macht seine Security-Trainigs erfolgreicher. Wer ein Awareness-Programm plant, sollte sich zunächst starke Unterstützung von oben holen - und sei es nur mit Worten. Das führt zwangsläufig zu einer größeren Aufmerksamkeit in der Belegschaft, mehr Freiraum in der Ausgestaltung und Unterstützung anderer Abteilungen. - Machen Sie gemeinsame Sache mit anderen Abteilungen
Wenn ein IT-Security-Mitarbeiter ein Awareness-Trainingsprogramm aufsetzt, sollte er neben dem Vorstand auch andere Fachbereiche mit ins Boot holen - Personal, Marketing, Legal, Compliance, Datenschutzbeauftragter und Hausverwaltung. All diese Abteilungen haben ein direktes oder indirektes Interesse an dem Thema Security und können bei der Werbung und der Finanzierung helfen. Außerdem haben sie die Möglichkeit, die Trainings für die Mitarbeiter verpflichtend zu machen. - Seien Sie kreativ
Wer nicht kreativ ist, kann kein gutes Security-Training anbieten. Dazu könnte beispielsweise gehören, im Rahmen einer Firmenfeier im Eingangsbereich des Gebäudes eine Security-Wand aufzubauen, auf der - neben anderen Dingen - zehn gängige Sicherheitsfehler aufgeführt sind. Die Mitarbeiter, die alle zehn Fehler benennen können, nehmen an einer Verlosung teil. - Setzen Sie sinnvolle Zeitfenster
Die meisten Trainingsprogramme laufen über ein Jahr - jeder Monat steht unter einem bestimmten Thema. Besser ist ein 90-Tage-Plan - dadurch werden Inhalte und Ziele jedes Quartal neu auf den Prüfstand gestellt. So sind viele Programme deshalb erfolgreich, weil sie über ein Vierteljahr hinweg jeweils drei Themen parallel behandeln und die Themen dann wieder neu ausgesucht werden. So bleiben Sie auf dem Laufenden. - Wählen Sie einen multimedialen Ansatz
Jeder Mitarbeiter bringt andere Voraussetzungen mit, was IT-Sicherheit angeht. Jede/r möchte anders abgeholt werden. Setzen Sie daher auf verschiedenste Kommunikationskanäle, um für das Thema IT-Sicherheit zu sensibilisieren - beispielsweise über Newsletter, Poster, Spiele, Newsfeeds, Blogs, Phishing-Simulationen etc.
Erstes Awareness-Trainingsziel: Phishing erkennen
Die Mitarbeiter für Phishing zu sensibilisieren, ist sehr empfehlenswert, weil ein Großteil der gefährlichsten Angriffe zumindest teilweise Phishing beinhaltet. Gerade vor dem Hintergrund, dass viele Menschen zu viele Informationen auf Social-Media-Plattformen teilen: "Die meisten Unternehmen setzen auf Trainings im Jahresrhythmus oder bei Einstellung, bei denen den Mitarbeitern erklärt wird, auf was sie achten müssen, wenn sie auf Unternehmensdaten zugreifen", so Weber.
Training allein genügt aber nicht. Ein erfolgreiches Awareness-Programm muss Training mit Tests verbinden. Weber: "Trainieren Sie Ihre Mitarbeiter, damit sie wissen, was vor sich geht und testen Sie sie, um ihre Aufmerksamkeit aufrecht zu erhalten. Die Frage ist immer: Wer fällt auf Ihren Köder herein?"
"Jeder Mitarbeiter sollten einmal im Monat getestet werden. Gerne auch häufiger - aber bitte nicht zu häufig. Das sollte sich doch einrichten lassen", empfiehlt Weber. Weil so viele Security-Vorfälle durch menschliche Fehler passierten, "ist es manchmal einfacher, alles zu verbieten und Zugriff ausschließlich auf Anfrage zu erteilen. Dazu muss jeder eine Device-Management-Software installieren, um bei der Überwachung der Geräte und Programme zu helfen."
Security-Trainings: Phishing hat nichts mit Dummheit zu tun
Zugänge zu sperren, kann aber kompliziert sein - und Access Controls allein können nicht als Ersatz für ein gutes Awareness-Trainingsprogramm heralten. "Social Engineering funktioniert nicht, weil die betroffenen Mitarbeiter dumm sind. Wer das glaubt, wird garantiert selbst zum Opfer. Ich kenne einen CISO, der die Ansage gemacht hat, dass jeder Mitarbeiter, der auf Social Engineering hereinfällt, gefeuert wird. Durch diese Ansage hat er das Programm aber nur schlechter gemacht - denn wenn ich als Mitarbeiter merke, dass ich einen Fehler gemacht habe, werde ich nun bestimmt niemandem mehr davon erzählen."
Dave Chronister, Gründer von Parameter Security, meint: "Ein Awareness-Training ist eine der wichtigsten Maßnahmen, um Ihr Netzwerk zu schützen. Sie müssen ein Trainingsprogramm haben - und es muss funktionieren." Heißt, dass das Training mehr umfasst als einen Redner, der Dinge erklärt, die die Mitarbeiter falsch machen. Das führt höchstens dazu, dass schnell niemand mehr zuhört - schon werden die Smartphones gezückt, um zu surfen und auf Social-Media-Kanälen zu posten. Damit wäre das Gegenteil von dem erreicht, was erreicht werden sollte. Chronister betont, dass eine solche Veranstaltung einmal im Jahr Zeitverschwendung ist: "Wenn das Gesagte dann nicht mit Filmclips, E-Mails, Anzeigen und Tests untermauert wird, behalten es die Mitarbeiter nur für einige Tage - wenn überhaupt."