SO STÄRKEN SIE DAS BEWUSSTSEIN FÜR SICHERHEIT IM UNTERNEHMEN.
WAS SIE AUS DIESEM ARTIKEL MITNEHMEN:
Was ist Security Awareness?
Effektive Umsetzung von Security Awareness
Gratis Ratgeber "Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks" zum Download
WAS IST SECURITY AWARENESS?
Security Awareness ist das Bewusstsein für Sicherheit. Es lässt sich gut als eine Art “Grundbauchgefühl” beschreiben in Bezug auf:
Was sind Sicherheitsbedrohungen
Was sind keine Risiken und
Wie handelt man optimal, um sich selbst und andere zu schützen
Informationssicherheit zielt auf die Sicherung aller Informationen ab, online sowie offline. Hier entsteht oft eine Verwechslung mit der Datensicherheit, die sich nur auf Daten in Verbindung mit Personen bezieht. Beide Bereiche, wie Sie sich sicher denken können, sind eng miteinander verknüpft. Aus Sicht der Information Security gelten Menschen als das schwächste Glied und die primäre Sicherheitsanfälligkeit im privaten sowie beruflichen Kontext.
Cybersicherheit oder auch IT Security Awareness beschreiben das IT Security Bewusstsein der Endnutzer wie beispielsweise Mitarbeitende eines Unternehmens oder einer Organisation. Hierbei ist die Rede von Bewusstsein hinsichtlich der vorherrschenden Sicherheitsbedrohungen im Zusammenhang mit IT-Anwendungen sowie der spezifischen Unternehmensrichtlinien und -prozesse. Cyber Security Awareness ist also ein Bestandteil der Schaffung des Bewusstseins für Informationssicherheit.
Schon allein die Unterscheidung der verschiedenen Begrifflichkeiten verdeutlicht, dass das keine einfache Angelegenheit ist. Nichtsdestotrotz führt für Unternehmen kein Weg daran vorbei. Die meisten Arbeiten in Organisationen stehen heutzutage in direktem Zusammenhang mit Informationstechnologie. Vor diesem Hintergrund ist vor allem die Stärkung des Cyber Security Bewusstseins des Personals wichtig.
Was also machen, wenn die meisten Mitarbeitenden bereits beim Hören der Begriffe schreiend davonlaufen? Schulungsmaßnahmen helfen bei der Sensibilisierung für Themen rund um die Sicherheit. Security Awareness Trainings unterrichten zudem über die spezifischen Unternehmensrichtlinien und -prozesse zur Informationssicherheit. Auch das Aufzeigen der Cybersicherheitsbedrohungen durch sogenannte Phishing-Tests ist ein beliebtes Mittel der Wahl. Aber ist das ausreichend, um das komplexe Thema Security Awareness zu etablieren?
UMSETZUNG VON SECURITY AWARENESS.
Oftmals wird davon ausgegangen, dass die Mitarbeitenden keinen großen Einfluss auf die IT-Sicherheit eines Unternehmens oder einer Organisation haben. Aber ganz im Gegenteil, eine zum Beispiel mit Schadsoftware versehene E-Mail kann schnell mal nicht wahrgenommen werden und ein Virus kann sich ausgesprochen unauffällig im IT-Netzwerk einschleusen. Dies hat meist verheerende und kostspielige Folgen.
Das Problem ist, dass Antiviren- und Anti-Malware-Lösungen in fast jedem Unternehmen oder jeder Organisation vorhanden sind. Mangels Awareness Kampagnen und Schulungen ist jedoch die IT Sicherheit noch nicht effektiv genug aufgestellt, da weiterhin ein massives Sicherheitsrisiko durch die Mitarbeitenden gegeben ist.
Kurz gesagt die (Schutz-)Softwarelösungen sind gegeben, aber mangels Human-Centered-Design wird nicht auf die Nutzer:innen eingegangen. Ohne Awareness Etablierung arbeiten die Enduser somit gegen die IT-Security und nicht mit ihr zusammen.
WER IST FÜR DIE UMSETZUNG VON SECURITY AWARENESS VERANTWORTLICH?
Die Hauptverantwortung der Umsetzung von Awareness für Informationssicherheit trägt der/die Chief Information Security Officer (CISO) eines Unternehmens oder einer Organisation.
Ein:e CISO ist dazu verpflichtet nach der Norm „ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirement“ (kurz: ISO 27001) zu operieren. Im ISO 27001 ist das ToDo, Awareness zu schaffen, verankert. Jedoch wird dabei nicht beschrieben wie genau das zu erfolgen hat. Das führt zu vielen Fragen bei den Anwendern wie CISO, Information Security Officer (ISO) oder Leiter der IT-Abteilung. Leider wissen diese oftmals nicht wie Awareness effizient und effektiv implementiert wird.
Ein weiterer relevanter Standard ist der „NIST Special Publication 800-50, Building an Information Technology Security Awareness and Training Program“ (kurz: NIST 800-50) vom National Instiute of Standard and Technology (NIST). Der NIST 800-50 wird schon etwas konkreter. Hierbei werden drei wesentliche Elemente in Bezug auf das Etablieren und Verankern von Awareness betrachtet:
Sensibilisieren
Wissen vermitteln und
Wissen trainieren
Diese Angaben liefern zwar noch keine konkreten Hinweise wie genau das Bewusstsein für Informationssicherheit gestärkt werden kann, aber es ist ein Anhaltspunkt.
AWARENESS IST NICHT NUR E-LEARNING UND PHISHING-TEST
Haben Sie schon mal Information Security Awareness gegooglet? Sie finden dort erstmal 10 bis 15 Anbieter für E-Learning und Phishing Tests bevor die eigentlichen Informationen zum Thema aufgelistet werden. Die beiden Methoden sind sicherlich hilfreich zum Vermitteln von Wissen, jedoch wird dabei der inhaltliche Umfang von Security Awareness unterschätzt, denn es ist komplexer als man denkt.
Ein einmaliges Training oder ab und zu ein Phishing Test, um den aktuellen Status der Awareness zu messen, sind eher wie eine Check-Liste abarbeiten für das Security Audit. Die entscheidende Frage ist jedoch, wie sich die Mitarbeitenden nach dem absolvierten Training verhalten.
Hat sich das Wissen wirklich verankert? Die Antwort ist Nein. Das Wissen wurde zwar vermittelt, aber es hat sich nicht bei Endnutzer:innen manifestiert. Allein der über Jahre etablierte Standardweg ist hier nicht ausreichend. Es ist ein Wandel des Verständnisses von Awareness Bildung notwendig.
Der Hauptaspekt, der bei klassischen Awareness Kampagnen außer Acht gelassen wird, ist, dass es um die Interaktion zwischen Mensch und Maschine geht. Es ist also kein rein technisches Problem. Es geht um Menschen. Hier hilft kein einmaliges „Schema F“, was überall gleich funktioniert und zum Erfolg führt.
Nur allein die beiden Maßnahmen – E-Learning und Phishing-Test – greifen zu kurz, um wirklich nachhaltig das Bewusstsein für Informationssicherheit zu etablieren. Unternehmen und Organisationen sollten sich bei dem Thema Cyber Security Awareness eher in der Vermittler Rolle gegenüber ihren Mitarbeitenden sehen und müssen dafür Sorge tragen, dass sie bezüglich ihres IT-Security-Bewusstseins gestärkt werden.
EFFEKTIVE UMSETZUNG VON SECURITY AWARENESS
Wie bei allen Vorhaben, Projekten, Strategien muss man sich zuallererst die Frage stellen: Was will ich denn eigentlich erreichen?
Das Primärziel ist nicht einen Haken auf der ToDo-Liste zu setzen, sondern Mitarbeitende sollen sich sicherer verhalten und so dabei das Unternehmen schützen. Doch dieses Primärziel kann nur durch Unterziele wie
Routinen durchbrechen
Benefits erklären
Positives Image schaffen
Bewusstsein etablieren, dass verantwortungsvolles Handeln einen Effekt hat
und noch viele mehr
erreicht werden. Dabei gilt für jedes dieser Ziele: Nicht nur trainieren, sondern auch kommunizieren!
Dabei sind die folgenden sechs Grundprinzipien zu beachten und der Erfolg von Security Awareness kommt automatisch:
1. Von Beginn an einbeziehen.
Wenn alle Stakeholder inklusive der Endnutzer:innen von Beginn an einbezogen werden und nicht erst im Nachhinein, ist eine gute Entwicklung der Sicherheit im Unternehmen garantiert und die IT-Security gesichert. Doch oftmals sind die Lösungen hierzu in der IT Abteilung verankert und finden nicht einmal ihren Weg in andere Bereiche, nämlich die die es eigentlich betrifft. Tauschen Sie sich verstärkt mit anderen Abteilungen wie Kommunikation, Marketing, Change Management, Vertrieb oder auch der Geschäftsführung und allgemein Führungskräften aus. Bitten Sie um Unterstützung. So bekommen Sie gebündeltes Wissen und gleichzeitig entsteht ein Multiplikatoren Netzwerk.
2. Interdisziplinäre Umsetzung.
Bei dem Schaffen von Bewusstsein für Informationssicherheit findet ein Veränderungsprozess statt. Es soll das Verhalten der Mitarbeitenden verändert werden. „Awareness für Awareness schaffen“, so lautet in diesem Fall bei jeder Kampagne die Mission. Dies geschieht nicht mit technischen, sondern mit persönlichkeitsgestützten Themen. Doch ohne interdisziplinäre Zusammenarbeit wird das nicht funktionieren. Vor diesem Hintergrund sollte die Nutzung von Change Management Methoden und die Anwendung von Erkenntnissen aus der Psychologie selbstverständlich sein.
3. Zielgruppenspezifisch.
Jeder tickt anders, egal ob Jurist, im Marketing oder in der Produktion. Es benötigt auch nicht jede Person die gleichen Informationen. So sind IT-Systemadministratoren stärken zu schulen als Kolleg:innen im Marketing. Bieten Sie am besten eine schlanke Basis Schulung allen zum Einstieg an und dann geht es zielgruppenspezifisch je nach Bedarf ins Detail.
4. Regelmäßig, wiederkehrende Maßnahmen.
Um für ein starkes Bewusstsein für Informationssicherheit der Mitarbeitenden zu sorgen, sind regelmäßige „Awareness Kampagnen“ notwendig. Das führt dazu, dass sich eine extrinsische und intrinsische Motivation bei den Endnutzer:innen entwickelt und diese somit äußerst effektiv sensibilisiert sind. Dies trägt auch dazu bei, dass die unbewusste Kompetenz in den Köpfen dauerhaft greift.
5. Verschiedene Kanäle.
Wie schon erwähnt sind die Verkaufsschlager E-Learnings und Phishing Tests. Sie behandeln die Wissensvermittlung und das Trainieren von Themen. Das Problem dabei ist, dass wir hier mit Menschen arbeiten, die unterschiedliche Bedürfnisse, Bildung, Affinitäten für Medien oder gar verschiedene Zugangsvoraussetzungen zu online Inhalten haben. Ein alleiniger Rollout von technikbasierten Anwendungen ist somit völlig ungenügend. Deshalb ist es ratsam diverse Kanäle – online, offline, print, gaming etc. – zu nutzen, um alle Beteiligten zu erreichen.
6. Methodenmix.
Der Aufbau von Security Awareness kann neben E-Learning und Phishing-Test beispielsweise mithilfe von „Lunch & Learn-Events“, regelmäßig kommunizierten Handlungsempfehlungen auf Security-Postern oder Events zu spezifischen Sicherheitsthemen erfolgen. Für weitere Anregungen laden Sie sich gerne den kostenlosen re4ming Ratgeber „63 ultimative Awareness Hacks“ herunter.
LASSEN SIE UNS ZUSAMMENARBEITEN.
Haben Sie Fragen zu effektiven und kostengünstigen Awareness Kampagnen? Fordern Sie noch heute eine kostenlose Erstberatung über das Formular auf meiner Website an, senden Sie mir eine E-Mail an hallo@re4ming.com oder melden Sie sich telefonisch +49 (0) 201 458 456 82. Ich freue mich auf Ihre Nachricht.
Alternativ halte ich Sie gerne mit Themen auf meinem Blog auf dem Laufenden. Hier berichte ich über aktuelle Trends, Best Practices und meine Learnings in den Bereichen Sensibilisierung für Fachthemen, E-Learning Prozesse, Projekt Management und Change Management sowie die Entwicklung von re4ming.
Folgen Sie re4ming auf den folgenden Plattformen, um keinen Beitrag zu verpassen: