Wie Sie Ihre Mitarbeiter für IT-Sicherheit sensibilisieren
Sieben Empfehlungen für Informationssicherheitsbeauftragte
Empfehlung 1: Klarheit erlangen und Ziel festlegen
Es existieren verschiedene Security Awareness Definitionen, zum Beispiel
- Bewusstsein für Angriffe schaffen
- Bewusstsein schaffen, dass jeder mithelfen muss, damit ein angemessenes Schutzniveau für die eigene Organisation erreicht werden kann
- Wissen vermitteln, wie Angreifer vorgehen beziehungsweise wie man sich schützen kann
- Wissen vermitteln, wie man mit (erkannten) Angriffen umgehen soll
- Vermitteltes Wissen und gestellte Situationen trainieren
- Anwenden des erlernten Wissens im Arbeitsalltag
Entsprechend ist es wichtig, dass Sie sich im Klaren sind, was Ihr Ziel ist und welche Aspekte Sie mit den Maßnahmen abdecken möchten.
Empfehlung 2: Erst technische Maßnahmen und Security Policies auf den aktuellen Stand bringen
Ein adäquater Schutz vor Cyber-Angriffen ist nur dann möglich, wenn die technischen Schutzmaßnahmen ausgereizt sind, die Security Policies dem aktuellen Stand der Technik entsprechen und die verbleibenden Einfallstore durch geeignete Security Awareness-Maßnahmen adressiert werden.
Beispielsweise sind die technischen Schutzmaßnahmen noch nicht ausgereizt, wenn
- Betriebssystem und/oder Software nicht auf dem aktuellen Stand sind
- Anhangstypen wie .exe in E-Mails nicht geblockt werden
- (externe) USB-Geräte einfach verwendet werden können
- Geräte nicht nach kurzer Zeit der Nicht-Benutzung automatisch gesperrt werden
So ist Ihre Password Policy nicht auf dem aktuellen Stand der Technik, wenn diese verlangt, dass Passworte regelmäßig geändert werden müssen oder Passworte mit sechs Stellen erlaubt sind.
Weiterhin empfiehlt es sich zu prüfen, ob genügend technische Unterstützung für die Umsetzung von Policies geboten wird. Als Beispiele: Sind Password Manager im Einsatz? Werden Links in E-Mails automatisiert geprüft?
Es ist wichtig, dass technische Maßnahmen und Security Policies klar definiert sind und Ihnen bekannt ist, auf welche Annahmen an das Nutzerverhalten Sie beruhen, denn dann können Sie zielgenaue Security Awareness Maßnahmen definieren.
Empfehlung 3: Einführung eines Frage- bzw. Meldewesens für Informationssicherheit
Gute Security Awareness Maßnahmen führen dazu, dass Ihre Kolleginnen und Kollegen aufmerksamer und vorsichtiger werden beziehungsweise eher merken, wenn sie potentiell auf einen Angriff reingefallen sind oder sich unsicher verhalten haben. Daher ist es wichtig, dass vor dem Start der eigentlichen Security Awareness Maßnahme ein entsprechendes Frage- und Meldewesen eingerichtet und etabliert ist. Sprich, es muss jedem klar sein, wann wo nachfragt beziehungsweise wann wo gemeldet werden kann. Es ist auch wichtig, dass sich niemand beim Nachfragen und Melden unwohl fühlt, weil Konsequenzen drohen. Im Gegenteil, es ist gewünscht, dass offen über das Thema Informationssicherheit geredet wird.
Empfehlung 4: Die Chef-Etage ist an Board
Wie bei allen Maßnahmen ist es entscheidend, dass die Chefetage diese unterstützt und ohne Ausnahme teilnimmt, um anhand ihrer Unterstützung zu zeigen, wie wichtig das Thema für die Organisation ist.
Chefs, die Trainings selbst nicht machen und die Ausnahmeregelungen von den Security Policies haben, sind kein Vorbild, sondern im Gegenteil eine Sicherheitslücke.
Empfehlung 5: Inhaltliche Ausgestaltung im Einklang mit Adressaten, Technik, Arbeitsabläufen und Security Policies
Bei der inhaltlichen Ausgestaltung ist es zunächst wichtig, die Ausgangslage der Adressaten zu kennen – sprich: Welche mentalen Modelle und welches Wissen haben diese im Bezug auf Informationssicherheit, wo brauchen sie Unterstützung und wie stehen sie allgemein zum Thema Informationssicherheit. Daraus resultierend wird es unterschiedliche Maßnahmen für unterschiedliche Gruppen in der Organisation geben.
Die Inhalte sollten unbedingt im Einklang mit der eingesetzten Sicherheitstechnik und den Security Policies stehen, als Beispiele: Das Passwort-Training sollte nicht empfehlen, auf sehr lange statt sehr komplexe Passwörter zu setzen, wenn die Passwort-Richtlinie sich mit 6 Zeichen zufrieden gibt. Es ist auch nicht zielführend, in den Awareness Maßnahmen daraufhinzuweisen, dass man pro Dienst ein anderes Passwort verwenden soll, wenn Passwort Manager verboten oder nicht unterstützt werden.
Achten Sie weiterhin darauf, dass die vermittelten Inhalte konkret sind und die verschiedenen Angriffsarten abdecken. Es sollte nicht nur vermittelt werden, dass man wegen Phishing-E-Mails vorsichtig mit Anhängen und Links sein sollte, sondern auch welche Kanäle für Phishing genutzt werden und woran man erkennen kann, dass das Öffnen eines Anhangs beziehungsweise das Klicken eines Links gefährlich ist.
Meist stellt sich auch die Frage: Mit welchem Thema sollte ich beginnen? Was hat die höchste Priorität? Hier gibt es kein One-size-fits-all. Entscheidend ist es hier, risikobasiert entsprechend des jeweiligen Behördenprofils zu handeln.
Empfehlung 6: Vielfalt an Medien
Ihre Kolleginnen und Kollegen werden unterschiedliche Vorlieben für unterschiedliche Medien haben, zum Beispiel eLearnings, Podcasts, Interivews, Erklärvideos, Serious Games (online wie auch offline), Studium der Policies (oder einer Empolyee-Summary) in Papierform, als PDF oder als Präsentation.
Security Awareness Maßnahmen sind am effektivsten, wenn für jeden was dabei ist. Das Thema Informationssicherheit sollte möglichst breit platziert werden. So sollte die Hauptmaßnahme möglichst mit kleinen Angeboten erweitert werden, etwa mit entsprechenden Give-Aways, thematisch passenden Poster als Erinnerung oder als Challenge, das Wissen gerade auf die Probe zu stellen, Security-Stammtische für Beginners.
Empfehlung 7: Messen Sie die Effektivität
Nachdem die Vorbedingungen für effektive Security Awareness Maßnahmen durch die ersten vier Empfehlungen gegeben sind und Sie auch bei Inhalten und Ausgestaltung den Empfehlungen gefolgt sind, stehen die Chancen gut, dass die entwickelten Maßnahmen auch wirklich effektiv sind. Was mit „effektiv“ genau gemeint ist, hängt von dem definierten Ziel ab. Bevor Sie damit allerdings an alle Kolleginnen und Kollegen herantreten und diese dafür wertvolle Arbeitszeit investieren, sollte sichergestellt sein, dass die geplanten Maßnahmen auch wirklich effektiv sind. Dies kann entweder geschehen, weil Sie die Maßnahme erst für einzelne Kolleginnen und Kollegen evaluieren oder – im Fall, dass Sie die Maßnahmen einkaufen –, dass der Anbieter Ihnen einen Nachweis gibt, dass die Maßnahme in ähnlichen Organisationen effektiv mit Bezug zu den von Ihnen definierten Zielen war.
Weiterführende Empfehlungen
Weitere wichtige Themen in diesem Zusammenhang sind
- Kolleginnen und Kollegen die Zeit für die Teilnahme an den Security Awareness Maßnahmen zu geben
- Ihnen die Zeit im Arbeitsalltag für Security zu geben
- das Auffrischen des Wissens nach einer gewissen Zeit – und nicht indem das gleiche Training einmal im Jahr durchlaufen werden soll; hierzu ist es nötig, die Effektivität auch über die Zeit beurteilen zu können
- das On-Boarding neuer Kolleginnen und Kollegen.