Security Awareness – brauchen wir das?

von Sven Brömer (Kommentare: 0)

Spätestens seit Einführung der neuen DSGVO ist wirklich in jedem Unternehmen das Thema Data-Security und Security im Allgemeinen in aller Munde. Doch leider unterschätzen auch heute noch viele Unternehmen die Wichtigkeit und Dringlichkeit von Informationssicherheit im Arbeitsalltag. Insbesondere der Faktor Mensch wird oft nicht entsprechend berücksichtigt. Im Folgenden werde ich das Thema Security Awareness vorstellen und beleuchten, welche Schritte aus meiner Sicht notwendig sind, wenn Sie Ihr Unternehmen und Ihre Daten sicherer machen wollen.

Die Galapagos Inseln wurden 1535 von Bruder Tomas de Berlanga entdeckt. Sie haben ihren Namen der Ähnlichkeit zwischen den Panzern der Riesenschildkröten und einem spanischen Sattel zu verdanken, dem zu dieser Zeit sogenannten „Galapago“. Bis 1535 kannten die Inseln keine Räuber und die Pflanzenfresser lebten ein recht friedliches Leben. 1680 kamen dann die ersten Piraten und Freibeuter auf die Inseln. Englische Piraten bemerkten, dass die Inseln zwischen ihren Überfallen entlang der südamerikanischen Häfen, ein ideales Versteck darstellten.  Die Tiere waren bis dahin keine Feinde gewohnt. Die Freibeuter und Piraten bedienten sich also unbehelligt am großen Tisch und deckten sich mit Frischwasser, Früchten und dem Fleisch der Schildkröten ein. Da die großen Schildkröten lange ohne Wasser und Nahrung auskamen, waren sie ideal für die langen Schifffahrten. Auch andere Tiere fielen dem Menschen zum Opfer, da sie nicht vorgewarnt waren und sie sich nie auf Feinde einstellen mussten.

Bei Security Awareness verhält es sich ähnlich. Lange Zeit war es zum Beispiel so, dass ein Computervirus einen Computer befallen hat. Dieser wurde dann einfach neu aufgesetzt und die Daten, die auf Disketten gespeichert waren, wurden weiter verwendet. Die Vernetzung und Digitalisierung hat in den letzten Jahren aber rasant an Geschwindigkeit zugelegt. Es ist nun nicht mehr nur ein Rechner betroffen, sondern ein Schadprogramm kann innerhalb kürzester Zeit ein ganzes Unternehmen mit seinen kompletten Geschäftsprozessen zum Stillstand zwingen.

Viele der Betroffenen sind einfach nicht auf diese Bedrohung vorbereitet und stehen der Gefahr relativ schutzlos gegenüber!

Was ist nun beim Thema Informationssicherheit wichtig:

  • ein Invest in sichere Technik?
  • ein Invest in die Infrastruktur?
  • ein Invest in den Umgang der Mitarbeiter mit Sicherheitsrisiken?

Lohnt es sich mehr in eine sichere Technik zu investieren und über Policies und Richtlinien zu regulieren, an die sich die Mitarbeiter dann stoisch zu halten haben? Oder lohnt es sich vielleicht doch, auf die Mitarbeiter zu setzen und sie für die Gefahren der digitalen Welt zu sensibilisieren und zu schulen?

Zumeist sind interne Security Awareness Schulungen zeitlich auf ein paar Stunden begrenzt und verblassen in den darauffolgenden Wochen ganz schnell im „daily business“. Awareness wurde nur kurzfristig geschaffen. Es gibt scheinbar keinen langfristigen Effekt. Oder zumindest kann dieser nicht effektiv gemessen werden. Doch wie ist es besser zu machen?

Das Thema Security Awareness wird auch unter Experten sehr kontrovers diskutiert. Beispielsweise Bruce Schneier hält es für reine Zeit- und Geldverschwendung. Er vertritt die Meinung, die Mittel lieber in sichere Schnittstellen und Entwicklungen zu investieren. Was an sich ein guter Ansatz ist. Die Digitalisierung ist aber immer schneller und weiter voranschreitend. Viele Geschäftsmodelle, Prozesse und Dinge die wir täglich erledigen, zentrieren sich immer weiter im digitalen Raum. Und nicht alle Eventualitäten lassen sich technisch oder durch Software abfangen.

WAS IST NUN SECURITY AWARENESS?

Security Awareness beinhaltet verschiedene Maßnahmen, um die Mitarbeiter für die Themen der Informationssicherheit zu sensibilisieren und sie darauf zu schulen, mit den täglichen Gefahren in der sich immer weiter vernetzenden Welt umzugehen.

Dabei werden die Mitarbeiter auf verschiedene Bedrohungen im Bereich der Computersicherheit und im Datenschutz geschult. Es wird ihnen das notwendige Wissen vermittelt, welches im optimalen Falle mit den Unternehmensrichtlinien, -prozessen, aber auch auf den Teilnehmerkreis abgestimmt ist.

So sollten die Mitarbeiter in einem Unternehmen wissen, wie sie sich bei einem Sicherheitsvorfall richtig zu verhalten haben:

  • Welche Personen sind zu informieren?
  • Welche Prozesse müssen gestartet werden?
  • Wie ist das allgemeine Vorgehen überhaupt?

Etliche Regeln sind hinsichtlich der Produktivität zunächst einmal hinderlich. Damit stellt sich dann für viele Mitarbeiter die Frage nach der Sinnhaftigkeit einer solchen Maßnahme.

  • Warum soll denn alle 8 Wochen das Passwort des Unternehmens-Accounts geändert werden?
  • Warum soll man nicht den auf dem Parkplatz gefunden USB-Stick für die Firmenpräsentation verwenden?
  • Und warum sollten Passwörter nicht auf Post-its am Bildschirm, sondern in einem verschlüsselten Passwortmanager abgelegt werden?

Der unbestrittene Komfort erschwert das Durchhalten eines erstellten Security Regelwerks. Vor allem dann, wenn ein offensichtlicher Grund fehlt, auf diesen ersatzlos gestrichenen Komfort und die angenehmen Funktionalitäten, die man vielleicht auch aus dem privaten Alltag kennt, zu verzichten. Wichtig ist dabei auch die Nachvollziehbarkeit. Viele Regeln, die aus der Securitybrille heraus betrachtet vollkommen sinnvoll sind, bleiben oft ohne weitere Erklärungen im Raum stehen, ohne den Hintergrund dafür zu beleuchten. Dies sollte vermieden werden. Hier schafft Transparenz mehr Sicherheit.

Ein weiterer wichtiger Aspekt beim Training ist es im Fokus zu behalten, wer die angesprochenen Teilnehmer sind. Ein Vertriebler hat sicherlich einen anderen Schwerpunkt als ein Mitarbeiter aus der Finanzbuchhaltung und dieser wiederum eine vollkommen andere Sichtweise als bspw. ein Entwickler. Ist ein Unternehmen im Aufbau, kommen immer wieder neue Mitarbeiter an Bord oder das Unternehmen arbeitet viel mit externen Mitarbeitern zusammen. Dann macht es sogar absoluten Sinn, diesen Awareness Prozess in das On-Boarding zu integrieren.

Für ein hohes Maß an Informationssicherheit, muss das Thema außerdem Teil der Unternehmensphilosophie sein. Durch die Verschärfung der DSGVO im Mai 2018 wurden die Unternehmen nun zumindest im Datenschutzbereich dazu verpflichtet, ihre Mitarbeiter im Rahmen einer technischen und organisatorischen Maßnahme weiterzubilden und zu schulen. Die Schulungen können als Präsenzveranstaltungen oder aber vollkommen digital, in Form eines Online-Trainings stattfinden.

Ein wichtiger Schritt in die richtige Richtung!

Auch wenn viele Themen im Bereich der Security Awareness zunächst technisch getrieben sind, gilt es nicht nur den technischen Sicherheitsaspekt zu bedienen, sondern eben auch die “Awareness“. Also das Bewusstsein und das Verstehen zu schärfen. Das Wissen, welches sich die Mitarbeiter angeeignet haben, wirkt sich somit nicht nur auf deren Handeln im Unternehmen aus, sondern auch auf den Umgang mit den erlernten Skills im privaten Bereich. Weitergedacht ist dies auch ein Vorteil für die Unternehmen. Vor allem in Zeiten von “Bring Your Own Device“ Programmen, die ein Unternehmen attraktiv machen und gleichzeitig Kosten senken sollen, ist die Sicherheit kein zu unterschätzendes Risiko.

Es gibt immer mehr Software auf dem Markt, die die Geschäftsanwendungen in einer Sandbox zum Laufen bringen, damit die Daten das Unternehmen nicht verlassen und die Compliance eingehalten wird. Aber fatal wird es dann doch, wenn sich ein Schädling über einen USB-Stick oder ein unzureichend gesichertes mobiles Gerät im Netzwerk verbreitet und das Tagesgeschäft zum Erliegen bringt.

Ziel der Security Awareness bleibt es, den Mitarbeitern das nötige Wissen zu vermitteln, bei einem potenziellen Sicherheitsvorfall das Richtige zu tun. Dabei hilft nur das Wissen über die möglichen Gefahren und die Transparenz der Prozesse. Ist im Unternehmen vielleicht sogar ein Sicherheitskonzept vorhanden, lässt sich dieses aber auch nur effektiv durchsetzen, wenn die Mitarbeiter des Unternehmens es kennen und auch leben.

Wir sollten also nicht den Kopf einziehen und hoffen, dass der Sturm an uns vorüberzieht… Nein, sondern ein absolut lohnendes Investment in die Informationssicherheit eines Unternehmens führt letztendlich zum Vertrauen beim Kunden und damit zu einem erfolgreichen Unternehmen.

Zurück

Einen Kommentar schreiben