Geschulte Mitarbeiter wehren Cyberangriffe ab
Security Awareness messen
von Jürgen Mauerer - 25.06.2019
Ziel der Awareness-Schulungen ist es nicht allein, Wissen zu vermitteln, sondern Gewohnheiten zu ändern und neue Verhaltensmuster zu entwickeln. Doch wie kann man den Erfolg dieser Maßnahmen messen? Einen interessanten Ansatz hat das Sicherheitsunternehmen IT-Seal entwickelt. Es erhielt 2018 für sein Security-Awareness-Programm auf der Security-Fachmesse „it-sa“ den Award UP18@it-sa als „Bestes Cybersecurity-Start-up 2018“ der DACH-Region.
Ziel oder Kernidee des Unternehmens ist es, eine objektive Methode für das Messen von Security Awareness zu finden. Ergebnis ist der Employee Security Index (ESI). „Über den ESI lässt sich Awareness standardisiert und vergleichbar messen. Für die Ermittlung dieser Kennzahl simulieren wir Phishing-Angriffe, in denen das Öffnen eines Links oder Dateianhangs provoziert wird. Das Ergebnis zeigt, wie verwundbar einzelne Mitarbeitergruppen gegenüber Phishing-Angriffen sind - und macht weitere Maßnahmen planbar“, erklärt Yannic Ambach, Geschäftsführer bei IT-Seal.
Vor den Phishing-Angriffen prüft IT-Seal bei Bedarf die Sicherheitsrichtlinien des jeweiligen Unternehmens und ihre Konformität mit Standards wie der DSGVO oder der Norm ISO 27001, die den Aufbau von Information-Security-Management-Systemen beschreibt. Hinzu kommen Umfragen, inwieweit diese Sicherheitsrichtlinien den Mitarbeitern bekannt sind. Oft folgen noch Schulungen durch IT-Seal zu den grundlegenden Schutzzielen und Angriffsformen, vor Ort und/oder via E-Learning: Wie erkenne ich Angriffe? Wie verhalte ich mich richtig?
Fazit & Ausblick
Informationssicherheit steht und fällt mit dem wachsamen Anwender. Awareness sollte daher ein wichtiges Thema in allen Unternehmen darstellen. Ziel muss es sein, die Mitarbeiter über Sicherheitsrichtlinien, aktuelle Bedrohungen und den Umgang mit diesen Bedrohungen aufzuklären. Über eines aber müssen sich Geschäftsleitung und Mitarbeiter im Klaren sein: Um eine nachhaltige Verhaltensänderung zu bewirken, reichen eintägige Schulungen nicht aus. Security Awareness ist als permanenter Prozess zu verstehen, der jeden Mitarbeiter einbezieht und im Alltag immer wieder Situationen schafft, in denen sicheres Verhalten eine Rolle spielt.
Unternehmen sollten daher Security-Awareness-Trainings möglichst individuell, unterhaltsam und praxisnah gestalten und gezielt auf die jeweilige Rolle des Mitarbeiters ausrichten. Als sehr hilfreich erwiesen haben sich beispielsweise Phishing-Simulationen, die Erfolge und Schwächen von
Sicherheits-Awareness-Programmen aufzeigen können. Grundsätzlich sollten Firmen positive Anreize für ihre Mitarbeiter schaffen, Sicherheitsvorfälle oder eigene Fehler zu melden. Das kann beispielsweise ein Belohnungssystem oder ein Gamification-Ansatz sein. Die Drohung mit Bestrafung oder negativen Konsequenzen ist hier kontraproduktiv. Dann kann man den menschlichen Faktor in den Griff bekommen und das Sicherheitsniveau im Unternehmen erheblich steigern.
Sicherheits-Awareness-Programmen aufzeigen können. Grundsätzlich sollten Firmen positive Anreize für ihre Mitarbeiter schaffen, Sicherheitsvorfälle oder eigene Fehler zu melden. Das kann beispielsweise ein Belohnungssystem oder ein Gamification-Ansatz sein. Die Drohung mit Bestrafung oder negativen Konsequenzen ist hier kontraproduktiv. Dann kann man den menschlichen Faktor in den Griff bekommen und das Sicherheitsniveau im Unternehmen erheblich steigern.