Security Awareness Training

Wie IT-Sicherheit den Mitarbeitern Spaß macht

27.09.2016
Von  und
Kacy Zurkus schreibt als freie Autorin für CSOonline.com und andere Portale über IT-Sicherheit, Risik-Management, IT-Bildung und Datenschutz.


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Kurz und aktuell: Erfolgreicher Hacker abwehren

Beeindruckt hat Chronister das Awareness-Programm eines Mittelständlers: "Statt einer Stunde Security-Training im Jahr wurde in jeder monatlich stattfindenden Unternehmensversammlung - die insgesamt immer nur 30 bis 45 Minuten dauerte - jeweils zehn Minuten über Security-Awareness gesprochen, und zwar anhand eines aktuellen Themas." Das Ergebnis war, dass im Laufe eines Jahres mehr und häufiger über IT-Sicherheit gesprochen wurde - zusammen mit den Social-Engineering-Mitarbeitertests ließ sich so herausfinden, an welchen Stellschrauben noch gedreht werde musste, um die Unternehmenssicherheit zu verbessern.

Social-Engineering-Übungen sind schwierig umzusetzen, weil es Security-Experten braucht, die die Mitarbeiter hinter das Licht führen. Das Ziel dieser Übung sollte immer sein, herauszufinden, was vor sich geht - nicht, die Menschen für unabsichtliche Fehler zu bestrafen. Um nachzuhalten, ob Mitarbeiter auf die Angriffsversuche reagieren oder sich an den IT-Support wenden, braucht es einen fortlaufenden und abwechslungsreichen Testprozess.

Man sollte den Mitarbeitern auch vermitteln, wie viele von ihnen den Link in der Phishing-Mail angeklickt haben und auf der Zielseite Daten eingegeben haben. Anschließend sollten Sie gemeinsam überlegen, wie sich diese Zahlen reduzieren lassen.

Hacker-Professionalisierung: Selbst CISOs fallen darauf herein

Unternehmensverantwortliche müssten zudem begreifen, dass die Zahl der gezielten Attacken auf bestimmte Hierarchie-Ebenen zunimmt, merkt Chronister an. "Viele Leute glauben, dass wir es nicht schaffen, dass der CISO oder der IT-Security-Manager auf einen verseuchten Link klickt." Ein Irrglaube: Selbst jemand, der sich den ganzen Tag mit IT-Sicherheit beschäftigt, ist nicht minder anfällig als jeder andere Mitarbeiter der Firma. "Social Engineering funktioniert nicht, weil der Mitarbeiter doof ist", betont auch Chronister.

Ein Trainingsprogramm muss sowohl auf dem Wissen der Mitarbeiter als auch auf der Unterstützung der Hersteller aufbauen. Josh Grunzweig, Threat Intelligence Analyst in Palo Alto Networks‘ Forschungsbereich Unit 42 berichtet: "Viele Angestellte im Hotel- und Gaststättengewerbe nutzen ihre Buchungsterminals als normale Rechner zum E-Mail-Check und für Facebook-Posts. Diese Buchungscomputer sollten aber nur für ihren eigentlichen Zweck verwendet werden können."

Wer den Erfolg seines Security-Awareness-Trainings überprüfen möchte, sollte realistisch an seine Erwartungen an menschliches Verhalten herangehen. "Es geht zu einem großen Teil um technische Kontrollen, sodass Angreifer nicht dahin kommen, wo sie sich nicht aufhalten sollten", meint Grunzweig. "Natürlich sollen die Angestellten ausgebildet werden, worauf sie achten müssen, aber technische Sicherheitsmaßnahmen sind unabdingbar."

Security fängt zuhause an: Tipps für das Privatleben einfließen lassen

Die Unternehmen merken, dass sie die Verantwortung nicht komplett an ihre Mitarbeiter abgeben können - die Zahl der Angriffe ist dafür viel zu groß. Kleine wie große Unternehmen haben deshalb gute Erfahrungen mit Mitarbeiterschulungen gemacht, weil sie sich sowohl innerhalb der Unternehmen auf allen Ebenen um Security-Themen kümmern, als auch ihre Mitarbeiter regelmäßig auf Bedrohungen im privaten Umfeld hinweisen.

Citrix-CSO Stan Black sieht eine Herausforderung für Security-Awareness-Programme darin, dass die Menschen neben dem reinen Fachwissen auch anderweitig profitieren sollten: "Wer Backoffice-Funktionen bekleidet - sei es in der Buchhaltung oder in der Personalabteilung, bekommt Kurse, die speziell auf seine oder ihre Rolle zugeschnitten sind. Dazu kommen Schulungselemente, die über den Tellerrand des eigenen Jobs hinausblicken lassen und den Umgang mit IT auch im Privatleben sicherer gestalten."

Dieser Artikel erschien im englischen Original bei unserer US-Schwesterpublikation CSOonline.com.