Gute Awareness-Programme machen Firmen zehn Mal sicherer

In Anbetracht der Tatsache, dass 97 Prozent aller Angriffe im Internet auf den Menschen zielen und über 90 Prozent der erfolgreichen Angriffe bei unachtsamen Mitarbeitern beginnen, liegt es auf der Hand, dass heutzutage viele Firmen beim Sicherheitsbewusstsein des Mitarbeiters Nachholbedarf haben.

Durch die Individualität der Organisationen ist es oft nicht sinnvoll, Cybersecurity-Awareness-Massnahmen entkoppelt vom Unternehmenskontext aufzubauen. Dazu kommt, dass die Verantwortlichen zu Beginn mit vielen ungewohnten Fragen konfrontiert werden. Dieser Beitrag beantwortet häufig gestellte Fragen zum Thema Cybersecurity Awareness und Mitarbeitersensibilisierung. Der Artikel zeigt, wie ein Awareness-Programm effizient aufgebaut wird und was man tun muss, damit es effektiv bleibt.

Was ist Cybersecurity-Awareness?

Wir versuchen es mit einer Definition: "Sicherheitsbewusstsein ist die Wachsamkeit, das Wissen und die Attitüde, welche die Mitglieder einer Organisation in Bezug auf die möglichen und aktuellen Bedrohungsszenarien aus dem Internet haben. Ziel ist der Schutz des IT- und Informationsvermögens einer Organisation und die Vermeidung von Schaden."

Was ist das Ziel von Cybersecurity-Awareness?

Ziel ist die Vermeidung von Internetkriminalität, die durch unwissende oder achtlose Mitarbeiter in die Organisationen eingeschleppt wird. Salopp gesagt, geht es um "Immunisierung gegenüber Social Engineering".

Warum ist Cybersecurity-Awareness überhaupt wichtig?

An der letztjährigen IT-SA im Oktober 2019 in Nürnberg wurde Cybersecurity-Awareness – häufig einfach Security-Awareness oder gar nur Awareness genannt – eine der aktuellen Themen für die IT-Security-Branche. Bei IT-Security-Spezialisten wird der Zwang zu Security-Awareness heute nicht mehr hinterfragt. Wenn man aber mit themenfremden Personen über Awareness spricht, dann begegnet man dieser Frage noch immer ziemlich oft. Das leuchtet ein, denn Leute, die sich nicht eingehend mit Informationssicherheit befassen, kennen häufig die einschlägigen Studien und Berichte nicht. Diese Reports zeigen die hohe Relevanz von Security-Awareness auf.

Einerseits gibt es die Risikosicht: Bei 97 Prozent der Cyber­angriffe ist der Mensch im Visier. 91 Prozent der erfolgreichen Attacken begannen mit einem Social-Engineering-Trick, meistens Phishing. Und inzwischen ist Cybercrime überall: Heute sind zwei Drittel der Firmen, die Opfer werden, KMUs.

Auf der anderen Seite steht der Nutzen von Security-Awareness: Es gilt inzwischen in der Branche als erwiesen, dass richtig durchgeführte Awareness-Programme eine Firma 10 Mal sicherer machen. Das für sich ist schon wichtig genug.

Wozu braucht es ein ständiges Security-Awareness-Programm?

Leider reicht eine einzelne Trainingsmassnahme nicht für eine nachhaltige Sensibilisierung. Eine zeitlich beschränkte Kampagne kann nicht alle Mitarbeiter, geschweige denn alle Risikothemen abdecken. Zudem nimmt die durch die Kampagne erreichte Mitarbeitersensibilisierung nach zwei bis drei Monaten wieder ab.

Ein konkretes Beispiel: Letzthin wurde ein uns bekanntes KMU aus dem Detailhandel angegriffen. Eine Stellenbewerbung mit Lebenslauf und separatem Profilbild erreichte eines Nachmittags die Mitarbeiter der Firma. Einige Minuten nach dem Erhalt der "Bewerbung" konnte man die Ladentüren nicht mehr öffnen und auch die Kasse lief nicht mehr. Das Lagersystem und die Buchhaltung waren ebenfalls für einige Tage unbrauchbar. Im Unternehmen gibt es die Richtlinie, E-Mail-Bewerbungen ungeöffnet zu löschen. Die Personen, die sich das vermeintliche Bewerberfoto angeschaut und damit die Malwareattacke in Gang gesetzt hatten, wurden befragt, wieso sie sich der Weisung widersetzt hatten. Ein Mitarbeiter sagte, er habe von der Weisung nichts gewusst, sonst hätte er sich auch daran gehalten. Eine andere Mitarbeiterin sagte, Sie habe von der Weisung gewusst, aber beim Anschauen der Mail nicht daran gedacht. Ein Mitarbeiter sagte sogar: "Ja ich habe mir das ‹Bewerberfoto› angeschaut, aber wo liegt hier überhaupt das Problem?"

Mit diesen drei Kategorien von Ausbildungsmängeln ist man immer konfrontiert. Mit einer einzigen Schulung kann man sie nicht umfassend eliminieren. Deswegen benötigen auch KMUs ein ständiges Awareness-Programm.

Sind Phishing-Simulationen sinnvoll?

Unsere Erfahrung mit Kunden in über 40 Ländern zeigt, dass die Herausforderung "aufmerksame Anwender" regional verschieden angegangen wird. In Nordamerika gibt es sehr häufig Phishing-Simulationen. Eine realitätsnahe Angriffsimulation wird dort als "Fire-Drill" verstanden und man hat dabei wenig Berührungsängste.

In Europa sieht es anders aus. Hier will man eher schulen und weniger "phishen". Im Vordergrund stehen Trainings mithilfe von CBT oder E-Learning. Häufig wird sogar edukatives Social-Engineering wie simuliertes Phishing missbilligt. Offensichtlich keine gute Haltung. Denn wir sehen, dass Phishing-Simulationen die Klickraten auf schädliche Links bedeutend schneller reduzieren, als wenn nur Security-Awareness-Schulungen durchgeführt werden. Die Erfahrung zeigt, dass es beides braucht: gute Schulungen und realitätsnahe Phishing-Simulationen. Und natürlich auch eine IT-Security-Infrastruktur – ohne die geht es nicht.

Welche Phishingsimulationen verwende ich?

"Wen phishe ich womit und wie?", ist eine der bedeutendsten Fragen bei Security-Awareness-Kampagnen. Leider ist keine allgemeingültige Antwort möglich. Zu viele Unternehmensaspekte spielen bei der Planung einer Kampagne oder gar einer ganzen Roadmap eine Rolle: Wie ist der bestehende Ausbildungsstand? Gibt es besondere Risikogruppen? Welche Bedrohungsvektoren werden durch die IT abgesichert? Gab es erfolgreiche Attacken in der Vergangenheit? Sind Szenarien mit bekannten Marken oder mit Absendern von Partnerfirmen notwendig? Wie viel Misstrauen gegenüber externer Kommunikation will man aufbauen? Anhand dieser Fragen ist ersichtlich, dass es keine Patentlösung gibt. Best Practice ist: Einfach anfangen und zu Beginn mit möglichst banalen Phishing-Simulationen eine möglichst tiefe Klickrate anpeilen. Wenn eine Attacke mit der Masche "Gewinne ein iPhone" eine Klickrate von 0 Prozent erzielt, kann man beruhigt sein. Und wenn trotzdem Mitarbeiter darauf reinfallen, weiss der Sicherheitsverantwortliche, dass er mit dem richtigen Schwierigkeitsgrad angefangen hat. Weitere Hilfestellung bieten Tool-Hersteller.

Was schule ich und wann schule ich?

Bei der Definition einer Trainings-Roadmap ist zu berücksichtigen, was man schulen muss und was man schulen sollte. Zum Muss-Bereich gehören Compliance-Trainings, die auf die Durchsetzung der in der Firma bestehenden Sicherheitsrichtlinien abzielen. In den Soll-Bereich gehören branchenspezifische Security-Trainings beziehungsweise der ganze Katalog des allgemeinen "Security-Awareness-Contents".

Klar ist, dass man nicht alles auf einmal trainieren kann. Besser ist es, häufiger, dafür kürzer zu trainieren.

Worauf muss ich speziell achten?

Es gibt sehr viele Aspekte, die für ein gutes Awareness-Programm relevant sind. Bei einem KMU ist es einfacher als bei einer mittelständischen Firma oder einem Grossbetrieb. Wir raten aber allen Organisationen am Anfang Folgendes:

1. Warte nicht, fang einfach an!

2. Macht beides, trainiert eure Leute und testet sie auch mit Simulationen!

3. Cybersecurity-Mitarbeitersensibilisierung ergibt keinen Sinn ohne eine ausgereifte IT-Security-Infrastruktur.

4. Einmalige Massnahmen bringen wenig, sensibilisiert eure Mitarbeiter ständig!

5. Verwendet dafür Standardprodukte und -lösungen, inzwischen gibt es gute und sehr günstige Anbieter!

6. Für alles andere gibt es das "Security Awareness Programme Framework" (SAPF).

Mithilfe von SAPF effektive Mitarbeiter­sensibilisierung erreichen

Es gibt viele Punkte zu beachten, damit im Unternehmen ein gutes Awareness-Programm aufgesetzt, gestartet und unterhalten werden kann. Der SAPF-Leitfaden vereinfacht Planung und Umsetzung. Bei KMUs können einfachere Lösungen umgesetzt werden als bei grösseren Unternehmen. Bei allen Programmen sollte aber der Ablauf "Scope, Plan, Run, Evolve" befolgt werden. Damit arbeitet man sich von der strategischen über die taktische bis hin zur operativen Ebene der Kampagne durch. Zu beachten ist, dass in der Scoping-Phase nicht nur viele strategische Aspekte zu klären sind, sondern auch ein Verständnis entwickelt werden muss: für bestehende Sicherheitsrichtlinien, den aktuellen Risikokatalog, vergangene Schulungen, die bestehende Securityinfrastruktur, und einiges mehr.