IT-Awareness
Der menschliche Faktor
Fortsetzung des Artikels von Teil 1
Awareness testen und trainieren
Die Sicherheitskampagne startet mit Tests. Sie geben Aufschluss darüber, wie es um die Awareness bestellt ist, und wo die größten Schwachstellen bestehen. Hierzu werden Köder ausgelegt: zum Beispiel präparierte USB-Sticks in der Kaffeeküche, WLAN-Honeypots, simulierte Telefonangriffe oder vermeintlich verseuchte Websites und E-Mail-Anhänge. Ein wirksamer Nebeneffekt: Fällt ein Mitarbeiter auf den Köder herein und klickt beispielsweise auf einen schadhaften Link, erhöht das in den meisten Fällen die Bereitschaft, das eigene Verhalten zu ändern und im Tagesgeschäft künftig sicherheitsbewusster zu handeln.
Statt Maßnahmen nach dem Gießkannenprinzip festzulegen, empfiehlt es sich, gemeinsam mit den einzelnen Fachbereichen oder Nutzergruppen Trainings zu überlegen und Ziele zu vereinbaren, die auf ihre Rolle und ihren Wissensbedarf zugeschnitten sind. Die Wahl des Themas – zum Beispiel Phishing, WLAN-Nutzung, Datenschutz, Passwortsicherheit oder Social Engineering – erfolgt anhand der Testergebnisse. Bei der Priorisierung fließen die Wahrscheinlichkeit des Eintretens und die Höhe des potenziellen Schadens ein.
Ein erfolgreiches Training ist abwechslungsreich und einfach in den Arbeitsalltag integrierbar. Im Idealfall umfasst es kurze Videoclips, virtuelle (Gewinn-)Spiele, Tipps und Tricks sowie Online-Tests, die über ein Intranet-Portal bereitgestellt werden. Ergänzt durch Merkzettel, Poster oder Give-aways sowie Blogs mit aktuellen Verhaltensrichtlinien und Informationen gibt die Kampagne immer wieder neue Anreize, sich mit der IT-Sicherheit zu beschäftigen. Es muss auch gar nicht immer der große Wurf sein. Lieber klein anfangen und durch wiederholte Aktionen im Gespräch bleiben, als einmal ein großes Brimborium veranstalten.
Sensibilisieren und Informieren reichen allein jedoch nicht aus. Die Mitarbeiter sollten einmal im Monat, mindestens aber quartalsweise getestet werden. Zum einen, um herauszufinden: Wie sind die Maßnahmen angekommen? An welchen Stellschrauben muss noch gedreht werden? Zum anderen gilt es, die Aufmerksamkeit hoch zu halten. Die Testergebnisse, das heißt wie viele Mitarbeiter richtig reagiert haben, werden anonymisiert veröffentlicht. Das motiviert und weckt manchmal sogar den Sportsgeist, dem vermeintlichen Angreifer beim nächsten Mal wieder ein Schnippchen zu schlagen.
Beim Testen geht es nicht darum, die Nutzer für unabsichtliche Fehler an den Pranger zu stellen. Der erhobene Zeigefinger ist ebenso fehl Platz. Phishing oder Social Engineering haben nichts mit Dummheit zu tun. Die Botschaft lautet: Es ist kein Beinbruch, einen verseuchten Link anzuklicken. Aber es wäre schlimm, den Sicherheitsvorfall zu verschweigen, anstatt ihn sofort der IT-Abteilung zu melden. Wichtig ist daher eine Kultur der Offenheit. Die Mitarbeiter sollten als Partner in Fragen der Informationssicherheit und nicht als störendes Sicherheitsrisiko betrachtet werden.
Der erfolgreiche Aufbau einer IT-Sicherheitskultur steht und fällt mit der Geschäftsführung. Ohne deren sichtbares Engagement wirkt sie unglaubwürdig. Gefragt ist ein Stakeholder, der das Projekt finanziert, strategisch begleitet und Rückendeckung gibt, beispielsweise mit dem Betriebsrat die Maßnahmen abspricht. Idealerweise leben die Führungskräfte aktiv vor, was sie von den Mitarbeitern erwarten: einen gewissenhaften Umgang mit Firmendaten und -IT entsprechend der Sicherheitsrichtlinien.
- Der menschliche Faktor
- Awareness testen und trainieren
- Steter Tropfen höhlt den Stein
Lesen Sie mehr zum Thema
