Der Mensch als Schwachstelle im System – wie können wir diese Lücke schließen?

Security Awareness – Was ist das überhaupt?

Awareness beschreibt in erster Linie ein Bewusstsein und ist eine Betonung der aktiven Handlung, sozusagen eine Form der Aufmerksamkeit. Security Awareness erweitert diese Definition zur notwendigen Sensibilisierung von Mitarbeitenden für Themen rund um Informationssicherheit und Datenschutz. Das Ziel ist, potentielle Sicherheitsbedrohungen aufzuzeigen und zu vermeiden.

Awareness für die Awareness erzeugen

Es ist leider so ¬– eine gute Sicherheitsstrategie und die entsprechende technische Ausstattung reichen nicht aus, um die IT-Sicherheit eines Unternehmens zu gewährleisten. Vielmehr muss jeder einzelne User innerhalb eines IT-Netzwerkes die Sicherheitsstrategie verinnerlichen und über ein gewisses Grundwissen verfügen, wie sie oder er mit IT-Systemen umgeht und sich sicher im Internet bewegt.

Auch wenn die Wahrheit wehtut, oft sind es Mitarbeitende, die Gefahren aus dem Internet nicht erkennen und durch versehentliche Handlungen oder gefühlsbasierte Reaktionen (zum Beispiel durch Stress) dafür sorgen, dass Daten in die falschen Hände geraten oder Systeme durch Malware kompromittiert werden. Der Mensch als vermeintlich schwächstes Glied der Sicherheitskette wird genau deshalb zum erklärten Ziel der Angreifer und damit zu einem der größten Risikofaktoren für die IT-Sicherheit der Unternehmen.

Bis zu diesem Punkt ein abstraktes Thema oder? Einige von euch fragen sich bestimmt auch, ob die Bedrohungslage wirklich so akut ist. Ich sage euch, das ist sie. Hier mal ein paar Hard Facts:

• Etwa alle zwei Sekunden erscheint ein neues Schadprogramm oder eine Variante davon.
• Pro Minute werden etwa zwei digitale Identitäten in Deutschland gestohlen
• Pro Tag werden etwa vier bis fünf gezielte Phishing E-Mails im Regierungsnetz detektiert
• Pro Monat werden etwas 40.000 Zugriffsversuche aus dem Regierungsnetz auf schädliche Webseiten blockiert

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) hat zur Beobachtung der Bedrohungslage im Cyberraum daher extra ein Lagezentrum eingerichtet, um die Entwicklung der Angriffe zu verfolgen. Laut einer Erhebung entstehen durch Sabotage, Datendiebstahl oder Spionage der deutschen Wirtschaft jährlich ein Gesamtschaden von 102,9 Milliarden Euro! Der Schaden ist damit fast doppelt so hoch wie noch vor zwei Jahren.

Security Awareness beziehungsweise die Sensibilisierung dafür ist daher heute schon ein notwendiger Baustein für die erfolgreiche ISO-Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) innerhalb von Unternehmen.

Die Mitarbeitenden stehen im Zentrum

Um eine Awareness in der Informationssicherheit zu erzielen, ist allerdings die Vermittlung von Informationen nicht ausreichend. Sicherheitsbewusstsein erfordert auch die Vermittlung von Lösungen. Mitarbeitende brauchen klare Regelungen und Vorgaben für bestimmte sicherheitskritische Verfahren. So reicht es beispielsweise nicht aus, Mitarbeitenden die Gefahren von Phishing Angriffen aufzuzeigen. Sie müssen wissen, wie sie sich konkret verhalten müssen, wenn eine solche E-Mail in ihrem Postfach liegt. Es müssen also Richtlinien und Vorgaben erstellt werden, die im gesamten Unternehmen verbindlich sind.

In diesem Zusammenhang sollte der Begriff der Sicherheitskultur geprägt werden. Darunter versteht man ein Verhaltensmerkmal einer Gruppe oder Organisation wie mit Fragen zur Sicherheit umgegangen wird. Die Ausgestaltung und Prägung dieses Begriffes unterliegen einem komplexen Lernprozess, in dem sich gemeinsame Ziele, Interessen, Normen, Werte und Verhaltensmuster herausbilden.

Emotionen dürfen nicht außen vorgelassen werden

Wir sind keine Maschinen (und das ist auch gut so), sondern reagieren sensibel auf Veränderungen in unserem Umfeld. Wir sind Gewohnheitstiere und sträuben uns mitunter auch mal gegen Veränderungen, die uns aus unserem gewohnten Arbeitstrott werfen können. Emotionen können sich vielfältig gestalten und mannigfach ausleben. Drei Emotionen sollten bei der Schaffung von Awareness in Unternehmen im Zentrum stehen:

1. Dynamik

Neue Mitarbeiterinnen und Mitarbeiter werden häufig direkt zu Beginn mit den wichtigsten Infos „geimpft“. Nicht selten bekommen neue Mitarbeitende von Kollegen daher gezeigt, wie sie Vorschriften umgehen können, den sogenannten „Sicherheitsquatsch“. Diese Dynamik darf nicht unterschätzt werden. Diese Dynamik zu durchbrechen ist ein zentrales Element der erfolgen Etablierung einer Sicherheitskultur.

2. Beharrlichkeit

In jedem Unternehmen gibt es Praktiken, die an jeden neuen Mitarbeitenden weitergegeben werden. Hierzu gehört zum Beispiel, dass Passwörter nicht hinreichend geändert werden, Büroschränke nicht verschlossen werden oder Kensington-Schlösser nicht richtig verwendet werden. Um ein solches Beharrungsvermögen in Unternehmen aufzulösen, müssen die zu ändernden Praktiken exakt benannt und konkrete Alternativen oder Anleitungen vorgegeben werden.

3. Trotz

Unternehmen müssen darauf vorbereitet sein, dass Mitarbeitende sehr sensibel darauf reagieren, wenn Maßnahmen ihre Handlungsfreiheit einschränken oder einfach nach ihrem eigenen Erfahrungsschatz als inakzeptabel erscheinen. Es muss sich also intensiv damit auseinandergesetzt werden, wie die Maßnahmen kommuniziert werden. Unternehmen müssen für ihre Ziele „werben“ und nicht als Despot auftreten, der die Weisheit mit dem Löffel gefrühstückt hat. Vielmehr ist an die Überzeugung und Begeisterung der Mitarbeitenden zu appellieren. Überzeugung und Begeisterung erreicht man nur mit sehr viel Einfühlungsvermögen, Geduld und Überzeugungskraft. Sonst besteht die Gefahr, dass die Maßnahmen als Willkürakt angesehen werden und unterschwellige, aber oft nachhaltige Gegenwehr, auslösen.

Diese Punkte verdeutlichen, dass ein positives Arbeitsklima und eine kooperative Unternehmenskultur wichtige und notwendige Basisvoraussetzungen für Informations-sicherheit innerhalb einer Organisation sind. Den genannten Emotionen sind daher folgende Aspekte entgegenzusetzen, damit Security Awareness funktionieren kann:

• Loyalitätsaspekt (Loyalität und Identifikation der Mitarbeitenden mit der Organisation)
• Kommunikationsaspekt (untereinander funktionierende Kommunikation)
• Motivationsaspekt (Qualität der Aufgabenerledigung in der Informationssicherheit)
• Vertrauensaspekt (die Sicht der externen Partner auf die Organisation)

Am besten lassen sich diese Maßnahmen mit Hilfe einer Awareness-Kampagne umsetzen, um so die Wichtigkeit des Themas in den Vordergrund zu rücken und nicht nebenbei abzuhandeln. Eine Awareness-Kampagne sollte in erster Linie darauf abzielen, Mitarbeiterinnen und Mitarbeiter auf unterschiedlichsten Kommunikationskanälen auf ein Thema aufmerksam zu machen und zum Handeln zu bewegen. Hierbei kommen Medien wie Plakate, Flyer, Videos und Trainings zum Einsatz. Zum Erreichen maximaler Aufmerksamkeit können auch gezielte Attacken auf die Mitarbeitenden mit gefälschten E-Mails durchgeführt werden (Phishing). Hier kann man sich kreativ in allen Richtungen betätigen. Letztendlich geht es aber nicht nur darum, möglichst kreative Einmalaktionen durchzuführen, sondern einen Behavioral Change, also eine dauerhafte Änderung des Verhaltens, möglichst effizient und effektiv einzuleiten.

Fazit

Security Awareness ist in heutigen Unternehmen im Zuge der voranschreitenden Digitalisierung nicht mehr wegzudenken und Mitarbeitende müssen für Risiken im Cyber-Raum sensibilisiert werden. Ganz nach dem Motto „aus Betroffenen Beteiligte machen“ steht der Mitarbeitende dabei im Zentrum und sollte aktiv in die Informationssicherheit des Unternehmens eingebunden werden.

Ihr möchtet erfahren, wie adesso Unternehmen unterstützt, Sicherheitslücken zu analysieren und zu identifizieren? Dann werft auch einen Blick auf unsere Website. Weitere spannende Themen aus der adesso-Welt findet ihr übrigens in unseren bisher erschienen Blog-Beiträgen.