goSecurity BLOG

Cybersecurity ist in aller Munde und so omnipräsent wie wohl nie zuvor. Das ist auch kein Wunder, denn kaum ein Tag vergeht, an dem nicht irgendwo in den Medien von einem Hackerangriff oder einem Datenleck berichtet wird. Unternehmen geben daher heute viel Geld aus für technische Schutzmassnahmen, angefangen von immer ausgefeilteren Firewall-Komponenten und -Services, bis hin zu selbst erlernenden Netzwerk-Überwachungs-Applikationen.

Das ist auch gut so. Schliesslich schützt man sein Zuhause ja auch mit sicheren Schliessmechanismen, und je nach Wohnort vielleicht sogar mit Kameras und Alarmsystemen. Doch reicht es, wenn man im Kampf gegen die Hacker einfach technisch „aufrüstet“? Leider nein, denn die Technik hat ihre Grenzen. Und genau bei diesen Grenzen kommt der Mensch ins Spiel. Um nicht falsch verstanden zu werden: technische Schutzmassnahmen sind sehr wichtig. Aber sie sind kein Allerweltsheilmittel. Im Gegenteil: Wer nur in technische Schutzmassnahmen investiert, lässt einen Angriffsvektor zu, der weit gefährlicher sein kann, als das eine Sicherheitstool, das womöglich noch fehlt. Werfen wir einen Blick auf einige der letzten erfolgreichen Hackerangriffe. Wir nennen keine expliziten Beispiele oder Namen, aber sie haben alle eines gemeinsam: die Hacker knackten weder Firewalls noch komplizierte Verschlüsselungen. Sie nutzten ein viel einfacheres Mittel: ahnungslose Mitarbeitende. In einem Fall waren es ergaunerte Login-Daten eines Mitarbeitenden, mit welchen die Hacker dann in die Systeme eindringen konnten, in einem anderen Fall wurde Schadsoftware durch das Aktivieren eines Links in einem betrügerischen E-Mail aktiviert, was zur kompletten Verschlüsselung der Unternehmensdaten führte – Backup inklusive. Um es kurz zu machen – in beiden Fällen waren alle technischen Schutzmassnahmen praktisch wertlos, egal wie teuer sie waren. Deswegen ist es genauso wichtig, die Awareness der Mitarbeitenden aller Ebenen zu stärken und zu fördern. Eine Frage an Sie: haben Sie den Begriff „Awareness“ schon einmal gehört? Und falls ja – was genau stellen Sie sich unter diesem Begriff vor?

Der Modebegriff „Awareness“

Security Awareness

Wenn man in der IT / Security-Branche von Awareness redet, so ist immer die Security Awareness gemeint; man könnte das auch frei übersetzt „Risiko- und Sicherheitsbewusstsein“ nennen. Was bedeutet denn das nun genau? Awareness alleine kann man mit deutschen Worten wie „Bewusstsein“, „Gewahrsein“, oder auch „Aufmerksamkeit“ gleichstellen (Q1). In Bezug auf die Informationssicherheit (engl. Information Security) bedeutet Awareness also, dass sich jemand bewusst ist, was für Gefahren drohen, was Sicherheit in diesem Kontext bedeutet, und wie man durch Aufmerksamkeit selbst einen Teil zu eben dieser Informationssicherheit beitragen kann.

Und wenn wir nun von „Awareness Förderung“ sprechen, dann ist das Hauptziel, Personen in einer Unternehmung so zu schleifen und schärfen, dass sie die alltäglichen Sicherheitsbedrohungen frühzeitig erkennen und abwehren können. Für Ihre Unternehmung könnte dies bedeuten, dass Ihre Mitarbeitenden auf jeder Stufe des Organigramms für die Themen rund um die Sicherheit der IT-Infrastruktur, Daten und Informationen Ihrer Unternehmung sensibilisiert sind. Alle Mitarbeitenden sollten verstehen, dass der Schutz von Informationen nicht nur den CISO, Datenschutzbeauftragten, oder leitende Angestellte etwas angeht, sondern die Sache jedes einzelnen Mitarbeitenden innerhalb des Betriebes ist!

Social Awareness

Nebst der Security Awareness existiert auch noch der Aspekt der Social Awareness. Die Social Awareness beinhaltet die soziale und emotionale Erkenntnis und Sensitivität, ergänzt durch die soziale Kommunikation. Unter sozialer Sensitivität versteht man die Fähigkeit, sich in einen anderen Menschen hineinzuversetzen (Empathie) und Schlüsse aus seinem Verhalten ziehen zu können. Bei der sozialen Erkenntnis oder Intelligenz spricht man auch über die Fähigkeit, moralische Urteile zu fällen und Situationen schnell verstehen zu können; bei der sozialen Kommunikation ist es dann die Fähigkeit, angemessen mit anderen Menschen zu interagieren. Dabei wird die proaktive Interaktion zur Problemlösung miteingeschlossen. Grundsätzlich empfehle ich jedem, sich mit diesen Begriffen und Fähigkeiten einmal auseinander zu setzen. Betrachtet man die Social und Security Awareness zusammen, so stellt man fest, dass beides miteinander verknüpft ist. Denn die Security Awareness kann zwar auf der einen Seite eingesetzt werden, um Manipulationen frühzeitig zu erkennen, während aber gleichzeitig die Social Awareness ausgenutzt werden kann, um Menschen zu manipulieren. In diesem Zusammenhang spricht man dann auch von Social Engineering, also dem gezielten Ausspionieren von Menschen, um an Informationen zu gelangen, welche nicht für einem bestimmt sind. Fazit: Wer sein Umfeld (z.B. sein Team, seine Mitarbeitenden oder seine Vorgesetzten) gut einschätzen kann, der durchschaut mögliche Angriffe auf Basis des Social Engineerings schneller.

Gezielte Förderung der Awareness

Um nun Ihre Mitarbeitenden optimal zu schulen, ist der Einsatz paralleler Informations-Kanäle empfohlen. Dies können sein:

• Infopanels im Intranet: Veröffentlichen Sie im Intranet regelmässig kurze Infoblocks, die Ihre Mitarbeitenden über ein Thema der Informationssicherheit informieren. Da heute viele Informationen per Email und anderen Kanälen auf Ihre Mitarbeitenden einprasseln, empfehlen wir Ihnen den Block kurz, prägnant und informativ zu gestalten.
• E-Mail-Kampagne: Damit werden die Mitarbeitenden z.B. über ein aktuelles Ereignis in der IT-Sicherheitswelt in Form eines Newsletters informiert. Dies könnte ein E-Mail zum Thema „Passwort-Sicherheit“ oder „Erkennen von Phishing-E-Mails“ umfassen. Ein kurzer Input, der die Mitarbeitenden wieder wachsam macht und eine Synapse verfestigt.
• Schulungen/Workshops/Präsenztrainings: Es gibt viele Varianten, wie man Mitarbeitende im klassischen Sinn schulen kann. Es ist dabei sehr wichtig, möglichst alle Lerntypen anzusprechen, aktuelle Beispiele einzubinden und wenn möglich sogar eine Live-Demonstration zu zeigen. Ein Referent sollte die Sprache der Anwender sprechen. Mit Bildern unterstütze Beispiele können helfen die Komplexität der Themen reduzieren. Falls intern zu wenig didaktisches KnowHow vorhanden ist, empfiehlt es sich, einen externen Spezialisten hinzu zu ziehen, der über gute Erfahrung verfügt.
• Online-Trainings: Mittlerweile gibt es viele Angebote, wie man über webbasierende Trainings das Thema Awareness aufarbeiten und den Mitarbeitenden einen allgemeinen Überblick zu diesem Thema geben kann. Wir haben die Erfahrung gemacht, dass gezielte Awareness-Kampagnen unter Nutzung von verschiedenen Schulungsmedien eine nachhaltigere Wirkung erzielen, als einmalige Schulungsmassnahmen.
• Kurzvideos: Kurze Videos, die ein gezieltes Thema der IT-Sicherheit behandeln, Informationen auf eine lustige oder spannende Art übermitteln und Tipps geben, die ein Mitarbeitender im Alltag umsetzen kann, können im gesamten „Awareness Konzept“ für Erfrischung und bleibende Eindrücke sorgen.
• Der Klassiker: die Phishing-Kampagne. Diese Methode wird in vielen Unternehmungen als Single-Shot einmal im Jahr durchgeführt. Damit die Mitarbeitenden aber daraus den grösstmöglichen Nutzen ziehen können, ist es wichtig, dass anschliessend in einer Präsenz-Schulung darauf eingegangen wird und die erkannten Gefahren und Risiken aufgearbeitet werden.

Das neue Wissen über Informationssicherheit sollte wenn immer möglich in kleinen, gut „verdaulichen“ Happen mitgegeben werden. Der Hang zum Vergessen ist leider tief im Mensch verankert, deshalb werden kleine, dafür regelmässig stattfindende Durchführungen den Mitarbeitern den grössten bleibenden Nutzen bringen.

Ist der Mensch wirklich so ein grosser Risiko-Faktor?

Angenommen, wir verzichten auf die Schulung, vielleicht aufgrund knapper Ressourcen, oder anderer Herausforderungen in meinem Unternehmen. Bedeutet das jetzt wirklich, dass jeder Mitarbeitende in meinem Unternehmen ein grosses Risiko darstellt? Das wäre zwar etwas gar dick aufgetragen, aber je nach Sichtweise ist das möglicherweise nicht weit von der Realität entfernt. Tatsächlich wird heute in fast allen Unternehmen immer noch weit mehr in technische Schutzmassnahmen investiert, als in die Schulung der eigenen Mitarbeitenden. Denn leider verbindet man den Begriff „Hacker“ eben immer noch mit Personen, welche viel Zeit und Energie darin investieren, Firewalls und Router zu hacken.

Dabei geht vergessen, dass auch Hacker letztendlich nur Menschen sind, und somit mit einer uns bestens bekannten Schwäche versehen sind – Bequemlichkeit. Wären Sie ein Hacker: würden Sie dann lieber Stunden und Tage damit verbringen, die Firewall eines Unternehmens auszuhebeln, oder vielleicht mit ein paar wenigen Klicks einige hundert E-Mails mit Schadsoftware auf dasselbe Unternehmen loslassen, wohl wissend, dass sie getreu dem Giesskannen-Prinzip mit Sicherheit den einen User finden werden, der die Schadsoftware dann anklickt? Eben.

Lassen Sie es nicht darauf ankommen!

Vernachlässigen Sie deshalb bitte nicht die Awareness Ihrer Mitarbeitenden! Es wäre schade um das viele Geld, welches Sie in modernste Sicherheitsfeatures investiert haben. Im Gegenteil, bauen Sie die Informationssicherheit Ihres Unternehmens auf den grösstmöglichen Level aus, in dem Sie Ihre technischen Schutzmassnahmen durch gut ausgebildete, bewusste und achtsame Mitarbeitende ergänzen! Für die Schulung der Mitarbeitenden braucht es nicht einmal sehr viel Geld. Und gemessen am Schaden, den Ihnen ein durch ein E-Mail ausgelöster Ransomware-Angriff verursacht, ist der ROI für die Schulung riesig!

goSecurity bietet mit goAware ein tolles Schulungsabonnement an, welches verschiedene Kanäle nutzt, um möglichst jeden „Lerntyp“ erreichen zu können. Da ein regelmässiger Awareness-Prozess gute Vorbereitung und Planung braucht und darin auch viele Ressourcen einfliessen, haben wir uns vor ein paar Jahren entschieden, einen solchen Prozess als Dienstleistung anzubieten. Die Idee dahinter war, auch Unternehmen kleinerer und mittlerer Grösse eine Möglichkeit anbieten zu können, einen umfassenden Awareness-Prozess umzusetzen und nicht den Aufwand betreiben zu müssen, alle diese Inhalte und Systeme selber beschaffen zu müssen. Wenn Sie goAware abonniert haben, müssen Sie nicht viel mehr machen, als unsere vorgeschlagenen Inhalte zu prüfen und uns regelmässig eine aktualisierte Mailing-Liste zur Verfügung zu stellen. Falls wir zusätzliche Informationen brauchen, werden wir Sie immer direkt kontaktieren. Zur Erinnerung: diese Dienstleistung nennt sich goAware (Awareness & Sensibilisierung: Verbesserung der Informationssicherheit). Bei Interesse erklären wir Ihnen diese Dienstleistung gerne im Detail.

Schluss mit der Werbung. Ganz egal, für welche Schulungsmöglichkeit Sie sich entscheiden: tun Sie es einfach! Schulen Sie Ihre Mitarbeitenden, fördern Sie aktiv die Awareness Ihrer Teams. Nicht irgendwann, nicht morgen – beginnen Sie noch heute! Denn eines ist sicher: ebenfalls noch heute werden Sie wieder E-Mails von Hackern empfangen. Und es wäre doch tragisch, wenn diese E-Mail ausgerechnet jetzt bei einem unzureichend ausgebildeten Mitarbeitenden ankommen würde.