Security Awareness

Kurz erklärt

Security Awareness bezeichnet das Sensibilisieren der Mitarbeiter eines Unternehmens rund um das Thema Sicherheit der IT-Systeme mit dem Ziel, die durch Mitarbeiter versursachten Gefahren zu minimieren. Siehe auch Cybercrime.

Expertenbericht

Bereit für mehr Sicherheit?

Nicht nur IT-Infrastruktur ist bedroht. Die Anzahl der Fälle von Informationsdiebstahl durch Wirtschaftsspionage, Patentstreitigkeiten und gezielte Mitarbeiterabwerbung steigen weiter an. Auch wenn technische Schutzmaßnahmen immer besser werden: Menschen verarbeiten Informationen. Kriminelle nutzen dies als Schwachstelle aus. Technik alleine kann daher keinen 100-prozentigen Schutz bieten. Ein bewusster und offener Umgang mit dem Thema Sicherheit hilft, Gefahren zu meiden.
Erreichen können Sie dies durch eine individuelle Sicherheitsstrategie. Das Ziel ist eine nachhaltige Änderung des Verhaltens aller Beteiligten hin zu mehr Sicherheitsbewusstsein. Durch zielgruppenorientierte, unterhaltsame Sicherheitskampagnen mit hohem Wiedererkennungswert vermitteln und trainieren Sie sicheres Handeln.


Internetkriminalität nimmt zu

Cyberkriminalität kommt in vielen Ausprägungen vor. Von der Erpressungssoftware bis hin zur reinen Schadsoftware, die maximalen Schaden anrichten soll. Im Fall der Firma Maersk waren das geschätzte 300 Mio. Euro durch die Software NotPetya. Hinzu kommt der Reputationsverlust.


Klassische Angriffe

Kriminelle setzen dabei immer weniger auf das klassische Hacken von Systemen. Stattdessen nutzen sie menschliche Schwachstellen aus. Zielgerichtete Betrugsemails zum Diebstahl von Zugangsdaten, infizierte Dateien, die Schadsoftware installieren oder gefälschte Rechnungen sind einige der Methoden, wie Kriminelle Ihre Mitarbeiter als unfreiwillige Mittäter einsetzen.


Die Schwachstelle Mensch

Der ideale Mitarbeiter - intelligent, motiviert, hilfsbereit - ist auch der ideale Mittäter der Kriminellen. Wird mal eben dem "neuen Kollegen" am Telefon geholfen? Um im Anschluss das infizierte Dokument, das von dem neuen Kontakt kommt, zu öffnen? Oder um Zugriff auf Dokumente zu ermöglichen, die intern bleiben sollten?
Auch wenn außergewöhnliche Rechnungen via E-Mail oder schlecht verständlicher Telefonverbindung zur Zahlung angewiesen werden, sollten Rückfragen immer gestellt werden. Führungskräfte und die Geschäftsführung müssen diese einfordern und mit gutem Beispiel vorangehen.
Die Täter spekulieren auf die Hilfsbereitschaft Ihrer Mitarbeiter und schüren die Angst vor Konsequenzen. Gleichzeitig tarnen sie ihre Betrugsversuche als Alltagsgeschäft und bauen darauf, bei Routinetätigkeiten durchzurutschen. Die Hilfsbereitschaft zu erhalten und die Ängste zu nehmen, ist Teil der Unternehmenskultur und wichtige Voraussetzung für gelebte Sicherheit. Um aber Betrugsversuche richtig erkennen und angemessen reagieren zu können, ist eine nachhaltige Verhaltensänderung notwendig. Diese kann nicht nur Betrugsversuche verhindern.


Informationen sind das neue Gold

Informationsdiebstahl ist die größere Gefahr. Werden Ihre Forschungsprojekte der Konkurrenz frühzeitig bekannt? Ihre besten Mitarbeiter von Headhuntern abgeworben? Ihre internen Entscheidungsstrukturen öffentlich? Unbedarfter Einsatz von Clouddiensten kann Ihre geheimen Informationen der Konkurrenz in die Hände spielen. Nutzen Ihre Mitarbeiter Online-Übersetzungen, z.B. für die Antwort an den Patentanwalt? Oder werden internetbasierte Projektplanungstools verwendet?
Welche Auskunft geben Ihre Mitarbeiter am Telefon? Nennt man dem externen Vertriebsmitarbeiter den Namen potentiell interessierter Kollegen und Themen? Wie aussagekräftig sind die privaten Online-Profile Ihrer Mitarbeiter? Kann man daraus deren Verantwortung im Unternehmen ableiten? Und wird dem Headhunter bei der Frage nach der Expertise von Kollegen geantwortet?
Einmal durchschaut, erkennt man leicht den Versuch, Informationen gewinnen zu wollen. Eine Rückfrage bei Vorgesetzten oder Kollegen klärt dann schnell, ob und wie man darauf sinnvoll antwortet.


Schulung statt Veränderung?

Klassische Schulungen helfen nicht, etablierte Muster zu durchbrechen. Einmalige Veranstaltungen mit identischem Inhalt für alle Mitarbeiter lassen die alten Verhaltensweisen schnell wieder zum Vorschein kommen. Was bleibt, sind fehlendes Sicherheitsbewusstsein, Unverständnis für die Schutzmaßnahmen und Unsicherheit. Erst eine individuelle Sicherheitsstrategie ermöglicht dauerhafte Veränderungen.


Ihre individuelle Sicherheitsstrategie

Um das Sicherheitsniveau Ihres Unternehmens dauerhaft zu heben müssen Sie Ihre Schutzziele kennen. Basis dafür sind z.B. die zu schützenden "Kronjuwelen" Ihres Unternehmens,  die Zielgruppen, die darauf Zugriff haben und das angestrebte Verhalten. Die erforderlichen Maßnahmen zur Erreichung Ihrer Ziele können Sie dann durch Kampagnen kommunizieren und umsetzen.
Wichtig für eine erfolgreiche Sicherheitsstrategie ist die Bereitschaft Ihrer Organisation. Wollen Sie, dass Ihre Mitarbeiter beim Kunden wegen einer vermeintlich zurückgesandten Rechnung nachfragen, bevor sie diese öffnen? Sind Sie bereit für Rückfragen Ihres Sekretariats zu einer ungewöhnlichen E-Mail in Ihrem Namen?
Die wichtigsten Beiträge zu gelebter Sicherheit leisten die Geschäftsführung und die Führungskräfte. Als Vorbilder, Ansprechpartner und Multiplikatoren benötigen sie ein fundiertes Verständnis des richtigen Verhaltens und die Offenheit, das Thema Sicherheit mit den Mitarbeitern zu diskutieren. Entsprechend gut sollte die Führungsebene auf die anstehenden Veränderungen vorbereitet sein.


Sicherheitskampagnen

Mit Sicherheitskampagnen vermitteln Sie das gewünschte Verhalten und leben es vor. Wichtig ist dabei, auf das Vorwissen und das individuelle Bedrohungsprofil der Zielgruppen einzugehen. Verständnis und Änderungsbereitschaft erreichen Sie erst durch Beispiele aus dem Arbeitsalltag.
Das Controlling und das Sekretariat sind durch CEO-Betrug bedroht. Die Personalabteilung muss den sicheren Umgang mit E-Mails und Dokumenten verinnerlichen, während in der Entwicklungsabteilung die Vertraulichkeit von Informationen dominiert.
Durch Posteraktionen, Gewinnspiele und Einsatz von Maskottchen peppen Sie Ihre Kampagnen auf. An die Teilnehmer angepasste Schulungen vermitteln das gewünschte Wissen, das dann im Alltag trainiert wird und in Fleisch und Blut übergeht.
Test-Angriffe, Befragungen und Feedback-Bögen erlauben Ihnen eine kontinuierliche Erfolgsmessung und dort gegenzusteuern, wo noch nicht der erwünschte Zielzustand erreicht ist.


Sicherheit mit Strategie

Dauerhafte Veränderungen erreichen Sie nur durch eine auf Ihr Unternehmen angepasste Sicherheitsstrategie und durch Kampagnen, die auf die Bedürfnisse Ihrer Mitarbeiter eingehen. Das Ergebnis ist eine gelebte Sicherheitskultur. Diese spart Geld durch weniger Zwischenfälle und erhöht die Sicherheit im Unternehmen deutlich. Ein nachhaltiges Sicherheitsbewusstsein und der offene Umgang mit Sicherheitsfragen können helfen Angriffe und Informationsdiebstahl zu verhindern, wo Technik alleine versagt.


Autor

Symalla
Dr. Michael Symalla ist Physiker, Datenschutzbeauftragter und zertifizierter Security Awareness Koordinator. Unter www.michael-symalla.de unterstützt er Unternehmen darin, Sicherheit im Alltag zu leben. Sein Bestreben für mehr Sicherheit und Privatsphäre vermittelt er in der "Datenwache" als Blogger und Podcaster (www.datenwache.de).