InfoGuard AG (Hauptsitz)
Lindenstrasse 10
6340 Baar
Schweiz
InfoGuard AG
Stauffacherstrasse 141
3014 Bern
Schweiz
InfoGuard Deutschland GmbH
Landsberger Straße 302
80687 München
Deutschland
Die Bandbreite reicht von Blaming und Hating über Verzweiflung bis hin zu Resignation: In der Cyber Security sind viele IT-Verantwortliche mit dem Faktor Mensch konfrontiert. Daniel Keller, Cyber Security Consultant bei InfoGuard und Security-Awareness-Experte, erzählt, mit welchen Aussagen er diesbezüglich häufig konfrontiert ist und welche (Un)Wahrheiten dahinterstecken.
Bei den folgenden Anekdoten handelt es sich um eine Sammlung fiktiver Aussagen von Sicherheitsexpert*innen, IT-Verantwortlichen, CI(S)Os und Personen aus der Cyber-Security-Branche, mit denen ich in meiner Karriere bereits konfrontiert wurde. Das ist in keiner Weise eine Anschuldigung, sondern eine Hilfestellung für Verantwortliche von Cyber Security Awareness, um Mitarbeitende wertzuschätzen und sie in das Sicherheitsdispositiv zu integrieren.
Beginnen wir mit etwas Einfachem. Tatsächlich höre ich öfters, dass Verhaltensweise X oder Thema Y schon zweimal (oder mehr) erklärt wurde. Enttäuschung macht sich breit, wenn die bereits versandten Newsletter keine Wirkung zeigen resp. nicht gelesen wurden. Selbst wenn der Lerninhalt verständlich vermittelt wurde, führt das nicht zwingend zu einer Verhaltensveränderung.
Wenn Awareness-Massnahmen getroffen werden, wird ein wichtiger Schritt oft vernachlässigt. Awareness besteht nicht nur aus Massnahmen, welche die Mitarbeitenden direkt betreffen, sondern auch aus technischen. Beim Thema Passwort-Manager muss dieser den Mitarbeitenden zur Verfügung gestellt, auf den Endgeräten vorinstalliert und der Umgang im Rahmen einer (oder mehrerer) Schulung(en) geübt werden. Die Schulung sollte jedoch nicht eine reine Wissensvermittlung zum Ziel haben. Die Teilnehmenden sollten das neugewonnene Wissen gleich anwenden, ihre Passwörter überprüfen und allenfalls ändern sowie in den Passwort-Manager einpflegen.
Unterschrieben, ja. Verstanden? Eher nicht. Richtlinien sind wichtig, aber noch wichtiger ist, dass sie verstanden werden. Sie müssen nicht nur aktuell und einfach verständlich sein, sondern auch entsprechend mit den Mitarbeitenden aufgearbeitet werden.
Machen wir uns nichts vor: Die Klickrate bei Phishing-Simulationen oder -Angriffen wird nicht dauerhaft (oder überhaupt jemals) bei null liegen. Technisch ist es nicht möglich, das Risiko komplett zu eliminieren. Deswegen muss das bestehende Risiko mit weiteren Massnahmen ausgemustert werden. Somit ist die Aussage oder auch schon Annahme, dass bei Phishing ohnehin immer geklickt wird, nicht falsch, aber aus meiner Sicht steckt die falsche Motivation dahinter.
Die Antwort ist ganz einfach: ein vermindertes Risiko von nicht informationssicherheitskonformem Verhalten. Des Öfteren führe ich Diskussionen und Gespräche mit Personen, die den Sinn hinter Security Awareness nicht sehen. Für diese Gespräche bin ich besonders dankbar, denn daraus resultieren oftmals noch weitere Aspekte der Awareness wie der Meldeprozess, die Akzeptanz gegenüber technischen Massnahmen (z.B. MFA), die interne Position der Cyber-Security-Abteilung oder der private Nutzen von Awareness.
Awareness ist keine einmalige Massnahme. Wie bereits beschrieben, erfordert es mehr als nur eine reine Wissensvermittlung. Flankierende Massnahmen, die an die Verhaltensweisen erinnern, Gespräche zum Thema unter Mitarbeitenden und eine stetige Auseinandersetzung mit dem Thema stehen auf dem (Pflicht-)Programm. Weiter ist ein Mix aus verschiedenen Schulungsmassnahmen notwendig, um alle Lerntypen zu bedienen. Eine positive Kommunikation ist das A und O.
Oftmals werden private Handlungen und Angewohnheiten ins berufliche Umfeld übertragen. Beim Versuch, den Fokus der Inhalte von Awareness-Schulungen auf das private Umfeld anzupassen, höre ich öfters die obenstehende Aussage. Es ist äusserst erfolgsversprechend, Schulungen für Themen ausserhalb des geschäftlichen Rahmens anzubieten. Zum einen überschneiden sich viele Themen, zum anderen können Verhaltensweisen einfach vom Privaten aufs Geschäftliche übertragen werden.
Meist wird bei Phishing-Simulationen ein hoher Schwierigkeitsgrad gewünscht. Woran liegt das? Während dem Skizzieren der Simulation beschäftigt man sich bereits einige Minuten mit der E-Mail, mit den Indizien und der falschen Absenderadresse. Während diesem Prozess wird oft vergessen, dass die E-Mail im hektischen Alltag gelesen wird. Dies zeigt den Unterschied zwischen Wissen und Verhalten.
Ok, das war jetzt etwas plakativ… Wir sind hier wieder bei den technischen Massnahmen. Es muss eine einfache Möglichkeit für die Mitarbeitenden geben, Vorfälle zu melden. Das geschieht für Phishing-E-Mails optimalerweise über einen integrierten Button. Auch gut ist, wenn man sich über eine einfache E-Mail-Adresse oder per Telefon melden kann. Letztere ist vor allem für den Worst Case, falls die E-Mail-Infrastruktur nicht verfügbar und/oder kompromittiert ist.
Security Awareness ist kein einmaliges Projekt und eine Verhaltensveränderung braucht Zeit. Einfach verständliche Tipps und Tricks, um Phishing-E-Mails rasch zu erkennen, finden Sie in unserem Phishing-Poster, welches Sie sofort downloaden (und gerne auch Ihren Mitarbeitenden verteilen) können.
Cyber Security Awareness birgt seine Tücken und ist komplexer, als oft angenommen wird. Daher ist es umso wichtiger, die Massnahmen von erfahrenen Expert*innen professionell und strategisch begleiten zu lassen. Durch geeignete Security-Awareness-Kampagnen und -Massnahmen können nicht nur das erforderliche Grundwissen vermittelt und die Sensibilität der Mitarbeitenden für Informationssicherheit erhöht, sondern auch Einstellungen und Verhaltensweisen nachhaltig verändert werden.
Möchten Sie mehr über unsere InfoGuard Security-Awareness-Services wie Workshops, Schulungen, E-Learnings, Awareness-Kommunikation usw. erfahren? Nehmen Sie unverbindlich Kontakt mit uns auf, um ein individuelles Angebot zu erhalten. Wir freuen uns darauf, die Security Awareness von Ihnen und Ihren Mitarbeitenden zu stärken!