Security Awareness in der Informationssicherheit
Ein oft vernachlässigtes und unterschätztes Thema –
Autorin: Carina Stanglmeier, Senior Consultant bei der Secaron AG
Dem Thema Security Awareness kommt in Unternehmen oft eine untergeordnete Rolle zu, da die Bedeutung in den meisten Fällen unterschätzt wird. Die Erfahrung hat jedoch gezeigt, dass technische Maßnahmen nur bis zu einem gewissen Grad die Informationssicherheit verbessern können. Ein großer Teil der zur verbesserten Sicherheit beitragen kann und auch muss ist der Faktor Mensch. Um dies zu erreichen ist es wichtig ein Bewusstsein für Informationssicherheit bei den Mitarbeitern zu schaffen.
Warum Security Awareness?
Wie eingangs schon erwähnt haben technische Lösungen nur begrenzten Erfolg bei der Verbesserung der Informationssicherheit. Zudem gibt es viele Bereiche in denen es nicht möglich beziehungsweise nicht wirtschaftlich sinnvoll ist technische Lösungen zum Schutz von Informationen einzusetzen (zum Beispiel bei der Aus- und Rückgabe von Arbeitsmitteln). Aus diesem Grund bestehen umfassende Programme zur Informationssicherheit aus drei unterschiedlichen Aspekten. Diese sind Technologien, Prozesse und organisatorische Regelungen. Der Erfolg aller drei Aspekte hängt stark vom Wissen und Verhalten der Mitarbeiter ab. Technologien können nahezu wertlos sein, wenn die Mitarbeiter diese nicht oder nicht korrekt verwenden. Prozesse nutzen nur dann, wenn Mitarbeiter diese kennen, verstehen und anwenden. Dies gilt ebenso für organisatorische Regelungen.
Diese Erkenntnisse spiegeln sich auch in international anerkannten Standards wie dem ISO 27001 "Informationssicherheits-Managementsysteme" wieder. Dort wird die "Umsetzung von Programmen für Schulung und Bewusstseinsbildung"1 als relevanter Aspekt für eine erfolgreiche Zertifizierung gefordert. Aus den aufgeführten Gründen ist es sinnvoll und notwendig Mitarbeiter im Umgang mit Informationen umfassend zu schulen und sie über potentielle Gefahren für die Informationssicherheit bei ihrer täglichen Arbeit aufzuklären. Dies führt zu einem deutlich verbesserten Niveau der Informationssicherheit und einer höheren Effizienz von Ausgaben für die Informationssicherheit.
Welche Methoden im Bereich Security Awareness gibt es?
Es gibt zahlreiche Methoden um Mitarbeiter auf Informationssicherheitsaspekte aufmerksam zu machen. Die Tabelle "Security Awareness Methoden" gibt eine Übersicht über eine Auswahl von Methoden und stellt Vorteile und Nachteile dar. Welche Methoden letztendlich ausgewählt werden hängt von der Unternehmenskultur, der bereits bestehenden Infrastruktur für Wissensvermittlung sowie von den finanziellen Mitteln ab. Es sollte jedoch stets darauf geachtet werden nicht nur eine einzige Methode auszuwählen. Dafür gibt es zwei Gründe. Zum einen gibt es unter den Mitarbeitern verschiedene Lerntypen die unterschiedliche Methoden bevorzugen, zum anderen wird durch die Kombination verschiedener Methoden ein höherer, bleibender Lernerfolg erzielt. In der Regel werden die Teilnehmer eines Security Awareness Programms mehr oder weniger gleichmäßig auf die unterschiedlichen Lerntypen verteilt sein. Für Menschen, die etwa lieber konkret und experimentierend lernen, sind abstrakte oder reflexive Methoden weniger gut geeignet. Dies gilt insbesondere für ein komplexes Thema wie die Informationssicherheit. Für eine effektive Wissensvermittlung ist es daher ratsam, möglichst viele der Modi zu kombinieren und für jeden Typ im Lernprogramm etwas bereit zu halten.
Was ist bei der Aufsetzung eines Security Awareness Programms zu beachten?
Die wichtigsten Erfolgsfaktoren für ein Security Awareness Programm sind die Unterstützung durch die Unternehmensleitung, sowie ein auf die Bedürfnisse der Mitarbeiter zugeschnittenes Programm. Ein solches Programm sollte für alle innerhalb des Unternehmens identifizierten Zielgruppen entsprechende Methoden beinhalten. Dies bedeutet, dass gleiche Lerninhalte für unterschiedliche Zielgruppen unterschiedlich aufbereitet werden, aber auch das Lerninhalte von Gruppe zu Gruppe variieren können. Neben der zielgruppenorientierten Aufbereitung von Lerninhalten ist zudem die richtige Kommunikation der Lerninhalte wichtig. Hier sollte auf die unterschiedlichen Lerntypen eingegangen werden. So sollte eine Schulung nach Möglichkeit sowohl optische/visuelle, auditive, haptische und kognitive Elemente beinhalten.
Für die erfolgreiche Durchführung eines Security Awareness Konzeptes ist also neben den Inhalten dementsprechend besonderer Wert darauf zu legen, dass sich die Mitarbeiter verstanden und wertgeschätzt fühlen. Nur wenn diese Punkte beachtet werden ist es möglich den idealen Verlauf der Kommunikation wie in der Abbildung "Kommunikationstreppe nach Bieger" dargestellt zu erreichen. Ziel ist, dass so viele Mitarbeiter wie möglich die Stufen "tun" und "behalten" auf der Kommunikationstreppe erlangen und sich somit eine dauerhafte Verhaltensänderung einstellt.
Was sind Erfolgsfaktoren eines Security Awareness Programms?
Die folgenden Aspekte sind für den Erfolg von Security Awareness Programmen essentiell.
Auf Mitarbeiter eingehen
Das Einbinden von Mitarbeitern, indem man auf sie eingeht, ist wichtig für das Verständnis. Man muss den Mitarbeitern vermitteln, dass jeder einzelne zur Informationssicherheit beitragen kann und muss, da viele Angriffe durch technische Maßnahmen nicht verhindert werden können (z. B. Social Engineering). Um den Mitarbeitern das Verständnis zu erleichtern, müssen technische und komplexe Sachverhalte einfach, plastisch und über Beispiele dargestellt werden.
Mitarbeiter motivieren
Um Mitarbeiter zu motivieren Informationssicherheitsmaßnahmen anzuwenden kann Informationssicherheit beispielsweise zum Gegenstand des Mitarbeitergesprächs und der Zielvereinbarung werden. Dies ist besonders auch bei Mitarbeitern in Führungspositionen relevant, da sie eine Vorbildfunktion erfüllen.
Betroffenheit schaffen
Es ist wichtig Mitarbeitern zu zeigen, dass Angriffe in der Praxis relativ einfach zu realisieren sind. Hierzu sind Beispiele wie die Funktionsweise von Key-Loggern, Phishing-Mails, das Beleuchten aktueller Vorfälle und Live-Hacking sinnvoll. Hierbei ist es wichtig Konsequenzen von Handlungen von Mitarbeitern transparent darzustellen, aber auch Lösungen aufzuzeigen.
Nutzen herausstellen
Es ist sinnvoll den Nutzen von Informationssicherheitsmaßnahmen sowohl für das Unternehmen als auch für die Mitarbeiter privat darzustellen. Beispiele für die private Nutzung sind der Umgang mit Zugangsdaten für E-Mail-Postfächer, Online-Shops, persönliche Daten oder PIN-Nummern von EC-Karten.
Feedback einholen
Diskussionen zu Sicherheits-Themen können zur Vertiefung der Inhalte beitragen und sollten daher unterstützt werden. Kritik und Feedback von Mitarbeitern muss ernst genommen werden und in das Security Awareness Programm mit einfließen.
Kontinuität wahren
Ein weiterer wichtiger Aspekt, ist eine gewisse Kontinuität der Security Awareness Maßnahmen. In der Praxis ist oft zu beobachten, dass Awareness Kampagnen als Projekte mit begrenzter Laufzeit aufgesetzt werden. Die Erfahrung hat gezeigt, dass die Erkenntnisse die Mitarbeiter aus diesen Projekten ziehen relativ schnell wieder vergessen werden. Aus diesem Grund sollten Awareness-Maßnahmen kontinuierlich fortgeführt werden, dabei kann natürlich in der Intensität variiert werden. Es ist also durchaus sinnvoll initial umfassende Schulungen und Veranstaltungen in Form eines Projekts zu planen und im Anschluss daran Maßnahmen, die die Themen aus den initialen Veranstaltungen immer wieder aufgreifen zu initiieren. Generell müssen die Maßnahmen zum Schutz der Informationssicherheit bei den Mitarbeitern in Fleisch und Blut übergehen.
Security Awareness Methoden
Was sind die Ziele von Security Awareness?
Die Schaffung von Security Awareness hat zum Ziel die Aufmerksamkeit und das Interesse von Mitarbeitern zum Thema Informationssicherheit zu wecken. Zusätzlich soll Grund- und Praxiswissen verständlich vermittelt werden. Das übergreifende Ziel ist eine nachhaltige Veränderung des Verhaltens der Mitarbeiter hin zu mehr Informationssicherheit zu erreichen.
Fußnote:
1 Vgl. DIN ISO/IEC 27001:2005 Kapitel 4.2.2 e)