DriveLock Blog | IT Sicherheit und Cyber Security

Security Awareness Kampagnen: IT-Sicherheit fängt beim Benutzer an.

Geschrieben von DriveLock | Feb 22, 2022 10:00:00 AM

Cybersicherheit als Brennpunktthema ist mittlerweile in den letzten Winkel unserer Gesellschaft vorgedrungen. Regionale Tageszeitungen schreiben regelmäßig über Angriffe auf lokale Unternehmen, Kommunen und Behörden und Krankenhäuser.

 

INHALT
  1. WAS NACHHALTIGE SECURITY AWARENESS KAMPAGNEN AUSZEICHNEN SOLLTE
  2. WIE ERFOLGREICH SIND SECURITY AWARENESS-KAMPAGNEN?
  3. NACHHALTIGE SECURITY AWARENESS KAMPAGNEN ADRESSIEREN HERZ UND VERSTAND

 

Was nachhaltige Security Awareness Kampagnen auszeichnen sollte

IT Security-Anbieter unterstützen Unternehmen und Organisationen mit ihren Lösungen, sich vor Cyber-Angriffen und vor dem Verlust wertvoller Daten zu schützen. Namhafte Gremien empfehlen eine Liste von kritischen Sicherheitskontrollen (CSC), mit denen sich Unternehmen effektiv vor Cyberangriffen schützen können. Je mehr solcher Kontrollen implementiert und im Einsatz sind, desto besser ist die Verteidigungslinie im Unternehmen aufgestellt.

In diesem Zusammenhang wird gerne der Faktor Mensch als das wichtigste, gleichzeitig aber auch schwächste Glied eines ganzheitlichen Sicherheitsansatzes gesehen:

Der Mensch ist ein Einfallstor und damit gleichzeitig auch die ultimative Verteidigungslinie, die den Unterschied macht.

Der Mensch unterscheidet sich von anderen Lebewesen oder Maschinen durch seine Fähigkeiten zur Kommunikation und Kreativität, zu abstraktem und kritischem Denken. Diese Aspekte machen die Cybersicherheit zu einer spannenden Herausforderung: Denn letztendlich ist die Cybersicherheit immer ein Kampf zwischen Menschen. Bei anspruchsvollen Bedrohungen nutzen Angreifer und Verteidiger zur Erreichung ihrer Ziele gleichermaßen ihre einzigartigen menschlichen Fähigkeiten.

 

Ersetzen KI und Automation menschliche Fähigkeiten?

Wie steht es daher um Bestrebungen, den Menschen durch KI und Automatisierung zu unterstützen? Wir lesen von "autonomem Schutz in Echtzeit" und "vollautomatischer Erkennung, Untersuchung und Behebung von Vorfällen". Aber trifft das wirklich auf die Funktionen der Security-Produkte zu? Und führt es zur Verbesserung der Sicherheitsabläufe?

Es gibt immer noch einen großen Unterschied zwischen echtem menschlichen Bewusstsein und künstlicher Simulation. KI ist nur so gut wie das Modell, auf dem sie aufbaut. KI und Automatisierung sind gegenüber dem Menschen im Nachteil, weil wir Menschen nicht durch eine Modell bestimmt bzw. eingeschränkt sind. Menschen tun das Unvorhersehbare und das ist genau das, was Angreifer im Bereich Cyber-Sicherheit auch tun. "Menschlichkeit" ist einfach noch nicht (oder möglicherweise nie) durch künstliche Intelligenz replizierbar. Wir müssen erst noch ein wirksames Sicherheitsinstrument für die Cyberabwehr entwickeln, das ohne menschliches Eingreifen funktioniert. Die streitbare Quintessenz ist folgende: Sicherheitswerkzeuge können nicht tun, was Menschen tun können.

 

Technologie sollte den Menschen besser machen, nicht ersetzen

Sicherheitslösungen müssen die Security-Teams dabei unterstützen, ihre Arbeit besser zu erledigen, und zwar sowohl auf menschlicher, prozessualer als auch auf technologischer Seite. Technologie und Automatisierung spielen dabei wichtige Rollen. Indem wir den Schwerpunkt von der Technologie auf den Sicherheitsanalysten verlagern, können wir ihn in die Lage versetzen, ein echter Verteidiger zu sein. Technologie sollte den Menschen besser machen, nicht ersetzen - um den Kampf gegen den Angreifer zu gewinnen.

 

IT-Abteilung und Enduser sind keine Liebesbeziehung

Bisher haben wir den menschlichen Faktor von Seite der Cybersicherheits-Teams betrachtet. Im Zusammenhang mit Sensibilisierung (Security Awareness) denken wir aber in erster Linie an den User. Aber beides ist bei einer Sicherheitsstrategie im Unternehmen wichtig: Auf der einen Seite die IT-Abteilung und auf der anderen Seite der Endnutzer. Das ist nicht immer eine Liebesbeziehung. Die Frage lautet stets: Wie weit müssen Vorgaben der IT reichen, ohne die Freiheit und die Produktivität der Nutzer zu sehr einzuschränken. Spätestens, wenn wir von Security Awareness und einer Cyber-Security-Kultur im Unternehmen sprechen, adressieren wir neben den „harten“ technischen Lösungen die „weichen“ Faktoren an der Grenze zwischen HR, IT und der Belegschaft.

 

Wie erfolgreich sind Security Awareness-Kampagnen?

Viele namhafte Institute wie das NIST (National Institute of Standards and Technology), Center for Internet Security (CIS), US Department of Homeland Security, aber auch das BSI und Bitkom in Deutschland weisen auf die Bedeutung und Wichtigkeit von solchen Programmen hin. Security Awareness Trainings sind ein wichtiger Bestandteil der Cybersicherheit in Unternehmen geworden. Die Gründe und Absichten sind bereits genannt.

Aber wie sieht die Erfolgsbilanz wirklich aus?

Wenn sich Sicherheitsteams um IT-Sensibilisierungsmaßnahmen bemühen, konzentrieren sie sich allzu oft ausschließlich auf die Schulung und Aufklärung. Häufig werden Angriffsvektoren und Taktiken im Zusammenhang mit den Menschen in der IT oder auch OT (Operational Technology) besprochen. Dahinter bleibt Einflussnahme auf eine dauerhafte Verhaltensänderung und eine echte Kultur der Cybersicherheit zurück.

Trotz Normen wie z.B. einer ISO 27001, die Security Awareness als Teil eines Sicherheitsprogramms vorschreiben, haben die Security Awareness Trainings oftmals nicht die gewünschten Ergebnisse erzielt. Darin heißt es sinngemäß, dass Unternehmen in der Lage sein müssen, diese Schulungen und deren Einhaltung/Compliance gegenüber Auditoren nachzuweisen. Und das ist vielleicht auch das Problem. Es beantwortet nicht die Frage auf das Warum und Wie. Viele Sicherheitsteams bieten den Mitarbeitenden ein Security Awareness Training an, um die Checkbox für die Einhaltung der Vorschriften ankreuzen zu können.

Aber der Zweck sollte darin bestehen, eine dauerhafte Verhaltensänderung zu bewirken. Das Ergebnis sind:

  • passive Teilnahme,
  • geringer Spaßanteil
  • und viele Themen binnen kürzester Zeit.

IT-Security Awareness Methoden berücksichtigen oftmals kaum die Wirkungszusammenhänge und Angriffsketten, sondern hier und da einzelne Angriffsvektoren.


Beziehen Sie die Belegschaft mit ein!

Entwickeln Sie diese Security Awareness Programme unter Einbeziehung der Belegschaft. Diese möchte nur ihren Job machen, sich nicht in ihrer Produktivität oder Freiheit einschränken lassen und sieht Cybersicherheit oft als lästig an.

Firmen erkennen allmählich, dass der reine Fokus auf die Schaffung von Security Awareness nicht ausreicht, um das Verhalten dauerhaft zu ändern. Sie müssen sich auf die Menschen konzentrieren, die diese Programme in Anspruch nehmen. Mitarbeitende in Unternehmen mit einer starken Kultur für Cybersicherheit sind für ihre persönliche Cybersicherheit und die ihres Arbeitgebers geschult, befähigt und begeistert. Deshalb ist es wichtig, die Person ins Zentrum der Cybersicherheit zu stellen, statt nur oberflächliche Schulungen abzuhalten oder hier und da ein Microlearning einzuspielen.

Die Realität sieht nämlich oft so aus, dass die User weiterhin Passwörter in Notizbüchern schreiben oder elektronisch speichern, oder sich auf verdächtige E-Mails einlassen und generell viele unsichere Verhaltensweisen im Internet zeigen. Darüber hinaus geben nur 27 % weltweit an, dass sie sich ihrer aktuellen Sicherheitsrichtlinien bewusst sind, und 8 % von ihnen geben zu, dass sie ihre Sicherheitsrichtlinien ignorieren oder umgehen (Quelle: Forrester Analytics Business Technographics Workforce Survey, 2020).

Nachhaltige Security Awareness Kampagnen adressieren Herz und Verstand

Beherzigen Sie nachfolgende Ideen und lernen Sie von diesen Ansätzen:

  • Stellen Sie sicher, dass die Beteiligten sich nicht nur der Bedeutung von IT-Sicherheit bewusst sind, sondern auch verstehen, warum sie wichtig ist. Ohne eine Verbindung zu schaffen, wird keine noch so gute Schulung das Verhalten langfristig ändern.
  • Die Einführung einer ganzheitlichen Cybersicherheit ist ein Projekt. Es hat verschiedene Gestaltungsprinzipien, die aufzeigen, wie man eine nachhaltige Kultur für Cybersicherheit schaffen kann.
  • Erfolgreiche Sicherheitsteams gehen ein ernstes Thema auch spielerisch und mit Humor an, z.B. während eines Workshops.
  • Setzen Sie moderne Lernmethoden ein (Micro-Learning und Nano-Learning) und motivieren Sie die Benutzer mit kurzen und prägnant aufbereiteten Inhalten.
  • Nutzen Sie experimentelles Lernen und spielerische Elemente (Gamification), um Verständnis zu schaffen.
  • Jeder Mensch hat eine andere Auffassung von Sicherheit und daher ein anderes Gefühl dafür, was für ihn relevant ist. Informieren Sie Ihr Zielpublikum über Themen, die für sie bedeutsam sind, wie z. B. die persönliche Cybersicherheit zu Hause, um die Beteiligten für das Gespräch zu gewinnen.
  • Der Mensch lernt durch Wiederholung. Unsere Vergessenskurve zeigt uns, wie das Erinnerungsvermögen mit der Zeit abnimmt. Deshalb sind Wiederholungen der einfachen Slogans wichtig.
  • Schaffen Sie einen angstfreien Raum, anstatt den Mitarbeiter öffentlich an den Pranger zu stellen, weil er den falschen Link während Ihrer Phishing-Trainings-Simulation angeklickt hat.

In unserem folgenden Beitrag gehen wir darauf ein, warum trotz Security Awareness Initiativen unzureichende Prozesse Mitarbeiter immer noch hindern, eine Sicherheitskultur zu schaffen, warum Passwörter ein großes Problem darstellen und wie das Zero Trust Modell Abhilfe schaffen kann.