Rawpixel.com - Fotolia
Security Awareness: Das interne Sicherheitsklima verbessern
Um dem Risikofaktor Mensch in Unternehmen richtig zu begegnen, ist die Verbesserung des Sicherheitsbewusstseins ein wichtiger Aspekt. Das erfordert dauerhafte Bemühungen.
Zeit ist die größte Herausforderung für Security Awareness-Programme, dies ist eines der wichtigsten Ergebnisse der sechsten Ausgabe des Security Awareness Reports 2021 des SANS Institutes. Er enthält Antworten von mehr als 1.500 IT-Security-Experten aus 91 Ländern. Festgestellt wurden tiefgreifende Veränderungen in diesem Bereich, die zum Teil auf die Home-Office-Regelung der Arbeitswelt in Pandemiezeiten zurückzuführen sind. Die Befragten gaben an, dass mehr als 75 Prozent der Security Awareness-Experten in Teilzeit arbeiten und weniger als die Hälfte ihrer Zeit für Security-Awareness-Trainings aufwenden. Diese Erkenntnis deutet darauf hin, dass Security Awareness viel zu oft zu wenig Zeit und Beachtung geschenkt wird.
Organisationen, die über einen Programmerfolg durch eine Veränderung des Benutzerverhaltens berichteten, hatten im Durchschnitt mehr als zwei Vollzeitkräfte, die sich mit Security Awareness beschäftigten. Wenn die gesamte Unternehmenskultur positiv beeinflusst wurde, waren daran mindestens drei Vollzeitkräfte im Einsatz. Interessanter Anhaltspunkt zur Vorbildung dieser Trainer ist, dass mindestens 20 Prozent keinen technischen Hintergrund haben, sondern aus den Bereichen Marketing, Personalwesen, der Rechtsabteilung oder aber der Unternehmenskommunikation stammen. Zwar kann ein ausgeprägter technischer oder sicherheitstechnischer Hintergrund von Vorteil sein, da er eine Vertrautheit mit den gängigen Technologien und Verhaltensweisen vermittelt, die ein Risiko für das Unternehmen darstellen. Ist dieser Trainer jedoch „zu technisch“ unterwegs, führt dies dazu, dass die Fähigkeiten fehlen, diese Risiken effektiv zu kommunizieren oder andere Mitarbeiter aus anderen Abteilungen sinnvoll einzubinden.
Security Awareness ist ein strategisches Projekt
Die strategische Ausrichtung der Security Awareness ist wichtig. Sowohl das Programm als auch die Trainer (siehe auch Die Aufgaben eines Security-Awareness-Trainers) oder Programm-Manager sollten der IT-Sicherheitsabteilung zugeordnet werden. Eine weitere wichtige Komponente für den Erfolg eines Security-Awareness-Programms ist der Austausch mit wichtigen Abteilungen innerhalb des Unternehmens. Sie sollten starke Unterstützung von Abteilungen wie der IT-Sicherheit, übergeordnet der IT, dem Personalwesen, der Pressestelle und der Geschäftsleitung erhalten. Diese Unterstützer stellen in den meisten Fällen Hilfestellungen, Genehmigungen oder Mitarbeiter zur Verfügung, um eine Durchführung des Programms überhaupt zu ermöglichen.
Die Geschäftsführung ist dabei die wichtigste Abteilung, denn sie muss die Rückendeckung bei Gegenwind gewährleisten und die Trainer mit den nötigen Vollmachten ausstatten, um die Schulungen durchzuführen. Letztlich müssen alle Mitarbeiter geschult werden, auch die Manager und Abteilungsleiter. Den Trainern hilft es, wenn sie als gleichberechtigt auftreten können, um die Wissensvermittlung erfolgreich zu gestalten.
„Eine wichtige Komponente für den Erfolg eines Security-Awareness-Programms ist der Austausch mit wichtigen Abteilungen innerhalb des Unternehmens.“
Lance Spitzner, SANS Institute
Hilfreich ist auch der Aufbau von Partnerschaften mit Abteilungsleitern, Managern und natürlich auch engagierten Mitarbeitern, die sich als Influencer für das Programm einspannen lassen. Wichtige Interessenvertreter sollten von Beginn an einbezogen werden, nicht nur in die Umsetzung, sondern auch in die Planung der Maßnahmen und der Zusammenstellung der Inhalte. Wenn sogar etwas Budget vorhanden ist, lässt sich dadurch wertvolle Zeit erkaufen.
Zeit, die sonst in die Erstellung von maßgeschneiderten Inhalten oder aber spezialisierten Erklärvideos oder Poster geflossen wäre. Wenn diese Materialien erworben werden können, fließt mehr Zeit in Wissensvermittlung, mehr Zeit in Beratungen und Abstimmungen. Nichts ist so ineffektiv wie der sogenannte „Death by PowerPoint“.
Besonders wichtig ist die Verbesserung der Kommunikationsfähigkeiten. Mindestens einer der Trainer sollte über die erforderlichen Fähigkeiten für eine effektive Kommunikation verfügen, er muss die Sprache der Anwender sprechen. Eine Wissensvermittlung von oben herab funktioniert nicht, genauso wenig, wenn nur Fachchinesisch gesprochen wird.
Beim Sicherheitsbewusstsein den Erfolg messen
Der Erfolg eines Security Awareness-Programms lässt sich durch das Security Awareness Maturity Model messen. Hierzu wurden vier Stufen eingeführt, um Anhaltspunkte zu liefern, wo sich die eigene Organisation bislang befindet und um kontinuierlich zu überprüfen, an welcher Stelle beziehungsweise welcher Grad an Security Awareness Maturity sie sich nach einem Training befindet.
- Nicht vorhanden: Ein Security Awareness-Programm existiert nicht. Die Mitarbeiter wissen nicht, dass sie ein Ziel sind, dass ihre Handlungen eine direkte Auswirkung auf die Sicherheit des Unternehmens haben, kennen oder befolgen die Unternehmensrichtlinien nicht und werden leicht Opfer von Angriffen.
- Auf die Einhaltung von Vorschriften ausgerichtet: Das Programm ist in erster Linie darauf ausgerichtet, bestimmte Compliance- oder Audit-Anforderungen zu erfüllen. Die Schulung ist auf eine jährliche oder Ad-hoc-Basis beschränkt. Die Mitarbeiter sind sich über die Unternehmensrichtlinien und/oder ihre Rolle beim Schutz der Informationsressourcen ihres Unternehmens nicht sicher.
- Förderung des Bewusstseins und Verhaltensänderung: Das Programm identifiziert die Zielgruppen und Schulungsthemen, die den größten Einfluss auf das Management menschlicher Risiken haben und letztendlich die Mission der Organisation unterstützen. Das Programm geht über die jährliche Schulung hinaus und beinhaltet eine kontinuierliche Verstärkung während des Jahres. Die Inhalte werden auf eine ansprechende und positive Art und Weise vermittelt, die zu Verhaltensänderungen anregt. Das Ergebnis ist, dass die Mitarbeiter die Richtlinien der Organisation verstehen und befolgen und aktiv Vorfälle erkennen, verhindern und melden.
- Langfristige Aufrechterhaltung und Kulturveränderung: Das Programm verfügt über die Prozesse, Ressourcen und Unterstützung für einen langfristigen Lebenszyklus, einschließlich (mindestens) einer jährlichen Überprüfung und Aktualisierung des Programms. Dadurch ist es als fester Bestandteil der Unternehmenskultur aktuell und ansprechend. Das Programm geht über eine Verhaltensänderung hinaus und verändert die Überzeugungen, Einstellungen und Wahrnehmungen der Mitarbeiter in Bezug auf die IT- und Informationssicherheit.
Fazit
Um das menschliche Risiko effektiv zu managen, müssen Unternehmen über Jahre hinweg strategische Investitionen in die eigenen Mitarbeiter tätigen. Zusammenfassend lässt sich festhalten, dass Security Awareness zu selten als Gesamtanstrengung eines Unternehmens gesehen wird. Abteilungsübergreifendes Arbeiten, bei dem alle Experten ihr Wissen einfließen lassen, genug Zeit und Manpower und eine Geschäftsführung, der das Thema am Herzen liegt, sind die Garanten für eine langfristige und nachhaltige Verbesserung des Sicherheitsklimas in Unternehmen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
