Was ein 250 Jahre alter Pädagoge mit modernen Security-Awareness-Programmen zu tun hat? Eva Willnecker, Senior Consultant der usd AG, verrät es.
Eva, welche Rolle spielt deiner Meinung nach Security Awareness in der Informationssicherheit?
Eva Willnecker: Viele Unternehmen haben, was die Umsetzung technischer Sicherheitsmaßnahmen angeht, schon viel erreicht. Es gibt jedoch bestimmte Risiken, die sich technisch nur schwer minimieren oder verhindern lassen. Treten diese Risiken ein, lassen sich die Ursachen oft auf Unachtsamkeit, fehlendes Know-how oder ein schwach ausgeprägtes Risikobewusstsein der Mitarbeiter zurückführen. Da helfen auch keine Firewall und keine Antiviren-Software. Hinzu kommt, dass Denkmuster wie „Bei uns ist noch nie etwas passiert.“ oder „Warum sollten Hacker mich angreifen?“ verhindern, dass Mitarbeiter erkennen, wie relevant ihr Beitrag zu „more security“ tatsächlich ist. Security Awareness ist deshalb eine notwendige Ergänzung zu technischen Sicherheitsmaßnahmen.
Was ist die Ausgangsfrage, wenn man sich mit dem Thema Security Awareness beschäftigt?
EW: Vor allem ist die Frage wichtig, wie ideale Wirksamkeit hergestellt werden kann, um nachhaltig mehr Sicherheit zu erreichen. Der Faktor Mensch an sich und die Frage, wie wir alle am besten lernen, sollte also im Vordergrund stehen. Der Reformpädagoge Johann Heinrich Pestalozzi hat sich vor 250 Jahren genau dieselbe Frage gestellt und kam zu dem Schluss: Menschen lernen am besten mit Kopf, Hand und Herz, sprich: über Wissen, Übung und emotionale Bezüge zum Lerninhalt. Diesen Ansatz auf Security Awareness anzuwenden, fand und finde ich immer noch spannend.
Auf was sollten Unternehmen bei der Konzeption eines Awareness-Programms achten?
EW: Bei der Konzeption eines Awareness-Programms müssen die Verantwortlichen ziemlich viele Anforderungen unter einen Hut bringen: Von Compliance-Anforderungen über die Anforderungen der Stakeholder bis hin zu den Bedürfnissen der Mitarbeiter. Für einen guten Start ist es deshalb besonders wichtig, genau zu analysieren, was das Unternehmen eigentlich braucht und wie sich ein Awareness-Programm in die Unternehmensstrategie und die gesamte Kultur einfügt. Ohne diese Bezugspunkte fischt man im Trüben und hinterlässt im schlimmsten Fall verbrannte Erde.
Welche Rolle spielen Web-based Trainings dabei?
EW: In erster Linie sind WBTs eine praktische Möglichkeit, Mitarbeiter zeit- und kostensparend zu schulen. Bei der Konzeption unserer usd Security Awareness Trainingsplattform und ihrer Trainings ging es uns außerdem darum, pragmatisch hilfreich zu sein und den Kunden bei der Erreichung von Compliance-Anforderungen zu unterstützen. Ein WBT alleine macht jedoch noch kein Awareness-Programm. Denn im Idealfall werden diese Trainings im Verbund mit weiteren Maßnahmen durchgeführt.
Eine weitere Maßnahme dieser Art sind Phishing Simulationen. Kannst Du kurz erläutern, was hier passiert und welchem Zwecks sie dienen?
EW: Bei einer Phishing-Simulation wird der Angriff auf die Mitarbeiter eines Unternehmens via E-Mail vorgetäuscht. Genauso wie Angreifer auch, wird versucht, die Mitarbeiter dazu zu bewegen, auf einen in der E-Mail enthaltenen Link zu klicken. Anders als bei einem echten Angriff wird der Mitarbeiter jedoch nicht auf eine kompromittierte Website geführt oder Schadsoftware heruntergeladen, sondern er landet auf einer Zielseite, auf der er über die Risiken im Zusammenhang mit Phishing aufgeklärt wird. Zusätzlich erhält er in der Regel wertvolle Hinweise, woran er die Phishing-Mail hätte erkennen können und was er zukünftig tun kann, wenn er den Verdacht hat, eine echte Phishing-Mail erhalten zu haben.
Das Schöne an einer Phishing-Simulation ist, dass man zwei Fliegen mit einer Klappe schlagen kann: Zum einen sensibilisiert man die Mitarbeiter im Umgang mit E-Mails, zum anderen ist die Gesamtklickrate ein wichtiger Indikator dafür, wie hoch der Awareness-Reifegrad im gesamten Unternehmen ist.
Du sagtest, Web-based Trainings alleine machen noch kein Awareness-Programm. Kannst Du uns exemplarisch sagen, wie eine Zusammensetzung eines Maßnahmenportfolios aussehen könnte?
EW: Zu Beginn eines Awareness-Programms würde ich immer eine gründliche Analyse des aktuellen Ist-Standes im Unternehmen durchführen: Was haben wir bereits getan? Was sind eigentlich unsere Problemfelder? Haben wir diese durch unsere bisherigen Maßnahmen adressiert? Wer sind unsere Stakeholder und wer unsere Zielgruppen? Nur wenn ich weiß, wo ich hinwill, kann ich meinen Koffer richtig packen.
Nehmen wir mal an, dass Phishing eines meiner größten Problemfelder ist und dass es drei Abteilungen gibt, die – einfach aufgrund ihres Tätigkeitsfeldes – besonders häufig von Angreifern angegangen werden: HR, Marketing und Vertrieb. Als „Wachrüttler“ würde ich eine Phishing-Simulation pro Abteilung mit einem jeweils passenden Szenario durchführen: einer Bewerbung, einer Einladung zu einer Messe und einer Kundenanfrage. Je nachdem wie das Ergebnis ausfällt, könnte man Trainingsworkshops oder Web-based Trainings zur Erkennung von Phishing-Mails anschließen. Um die Gefahren durch Phishing zu verdeutlichen, wäre ein Live Hacking Event spannend und zum Abschluss würde ich die Phishing-Simulation wiederholen, um den Lernerfolg meiner Maßnahmen zu überprüfen und die Awareness nochmal zu pushen.