Ein Mitarbeiter sitzt am Laptop, auf diesem ist symbolisch ein Schloss für IT-Sicherheit abgebildet
© Shutterstock / Den Rise

Wie Sie Ihre Mitarbeiter für IT-Sicherheit sensibilisieren

Sieben Empfehlungen für Informationssicherheitsbeauftragte

Sie sind Informationssicherheitsbeauftrage(r) und haben daher die Aufgabe, Ihre Kollegen und Kolleginnen, deren primäres Ziel nicht Informationssicherheit ist, für das Thema Informationssicherheit zu sensibilisieren? Dann haben wir in diesem Beitrag einige Tipps und Empfehlungen – aus Praxis und Wissenschaft – zur Planung und Ausgestaltung Ihrer Security Awareness Maßnahmen.

Melanie Volkamer

Benjamin Bachmann

Empfehlung 1: Klarheit erlangen und Ziel festlegen

Es existieren verschiedene Security Awareness Definitionen, zum Beispiel

  • Bewusstsein für Angriffe schaffen
  • Bewusstsein schaffen, dass jeder mithelfen muss, damit ein angemessenes Schutzniveau für die eigene Organisation erreicht werden kann
  • Wissen vermitteln, wie Angreifer vorgehen beziehungsweise wie man sich schützen kann
  • Wissen vermitteln, wie man mit (erkannten) Angriffen umgehen soll
  • Vermitteltes Wissen und gestellte Situationen trainieren
  • Anwenden des erlernten Wissens im Arbeitsalltag

Entsprechend ist es wichtig, dass Sie sich im Klaren sind, was Ihr Ziel ist und welche Aspekte Sie mit den Maßnahmen abdecken möchten.

Gute Security Awareness Maßnahmen führen dazu, dass Mitarbeiterinnn und Mitarbeiter aufmerksamer und vorsichtiger werden.
© Shutterstock / Gorodenkoff

Empfehlung 2: Erst technische Maßnahmen und Security Policies auf den aktuellen Stand bringen

Ein adäquater Schutz vor Cyber-Angriffen ist nur dann möglich, wenn die technischen Schutzmaßnahmen ausgereizt sind, die Security Policies dem aktuellen Stand der Technik entsprechen und die verbleibenden Einfallstore durch geeignete Security Awareness-Maßnahmen adressiert werden.

Beispielsweise sind die technischen Schutzmaßnahmen noch nicht ausgereizt, wenn

  • Betriebssystem und/oder Software nicht auf dem aktuellen Stand sind
  • Anhangstypen wie .exe in E-Mails nicht geblockt werden
  • (externe) USB-Geräte einfach verwendet werden können
  • Geräte nicht nach kurzer Zeit der Nicht-Benutzung automatisch gesperrt werden

So ist Ihre Password Policy nicht auf dem aktuellen Stand der Technik, wenn diese verlangt, dass Passworte regelmäßig geändert werden müssen oder Passworte mit sechs Stellen erlaubt sind.  

Weiterhin empfiehlt es sich zu prüfen, ob genügend technische Unterstützung für die Umsetzung von Policies geboten wird. Als Beispiele: Sind Password Manager im Einsatz? Werden Links in E-Mails automatisiert geprüft?

Es ist wichtig, dass technische Maßnahmen und Security Policies klar definiert sind und Ihnen bekannt ist, auf welche Annahmen an das Nutzerverhalten Sie beruhen, denn dann können Sie zielgenaue Security Awareness Maßnahmen definieren.

Empfehlung 3: Einführung eines Frage- bzw. Meldewesens für Informationssicherheit

Gute Security Awareness Maßnahmen führen dazu, dass Ihre Kolleginnen und Kollegen aufmerksamer und vorsichtiger werden beziehungsweise eher merken, wenn sie potentiell auf einen Angriff reingefallen sind oder sich unsicher verhalten haben. Daher ist es wichtig, dass vor dem Start der eigentlichen Security Awareness Maßnahme ein entsprechendes Frage- und Meldewesen eingerichtet und etabliert ist. Sprich, es muss jedem klar sein, wann wo nachfragt beziehungsweise wann wo gemeldet werden kann. Es ist auch wichtig, dass sich niemand beim Nachfragen und Melden unwohl fühlt, weil Konsequenzen drohen. Im Gegenteil, es ist gewünscht, dass offen über das Thema Informationssicherheit geredet wird.

Empfehlung 4: Die Chef-Etage ist an Board

Wie bei allen Maßnahmen ist es entscheidend, dass die Chefetage diese unterstützt und ohne Ausnahme teilnimmt, um anhand ihrer Unterstützung zu zeigen, wie wichtig das Thema für die Organisation ist.

Chefs, die Trainings selbst nicht machen und die Ausnahmeregelungen von den Security Policies haben, sind kein Vorbild, sondern im Gegenteil eine Sicherheitslücke.

Um einen breiten Schutz vor Cyper-Angriffen zu gewährleisten, ist ein weit aufgespannter Schirm an Maßnahmen erforderlich
© Shutterstock / lucadp

Empfehlung 5: Inhaltliche Ausgestaltung im Einklang mit Adressaten, Technik, Arbeitsabläufen und Security Policies

Bei der inhaltlichen Ausgestaltung ist es zunächst wichtig, die Ausgangslage der Adressaten zu kennen – sprich: Welche mentalen Modelle und welches Wissen haben diese im Bezug auf Informationssicherheit, wo brauchen sie Unterstützung und wie stehen sie allgemein zum Thema Informationssicherheit. Daraus resultierend wird es unterschiedliche Maßnahmen für unterschiedliche Gruppen in der Organisation geben.

Die Inhalte sollten unbedingt im Einklang mit der eingesetzten Sicherheitstechnik und den Security Policies stehen, als Beispiele: Das Passwort-Training sollte nicht empfehlen, auf sehr lange statt sehr komplexe Passwörter zu setzen, wenn die Passwort-Richtlinie sich mit 6 Zeichen zufrieden gibt. Es ist auch nicht zielführend, in den Awareness Maßnahmen daraufhinzuweisen, dass man pro Dienst ein anderes Passwort verwenden soll, wenn Passwort Manager verboten oder nicht unterstützt werden.

Achten Sie weiterhin darauf, dass die vermittelten Inhalte konkret sind und die verschiedenen Angriffsarten abdecken. Es sollte nicht nur vermittelt werden, dass man wegen Phishing-E-Mails vorsichtig mit Anhängen und Links sein sollte, sondern auch welche Kanäle für Phishing genutzt werden und woran man erkennen kann, dass das Öffnen eines Anhangs beziehungsweise das Klicken eines Links gefährlich ist.

Meist stellt sich auch die Frage: Mit welchem Thema sollte ich beginnen? Was hat die höchste Priorität? Hier gibt es kein One-size-fits-all. Entscheidend ist es hier, risikobasiert entsprechend des jeweiligen Behördenprofils zu handeln.

Empfehlung 6: Vielfalt an Medien

Ihre Kolleginnen und Kollegen werden unterschiedliche Vorlieben für unterschiedliche Medien haben, zum Beispiel eLearnings, Podcasts, Interivews, Erklärvideos, Serious Games (online wie auch offline), Studium der Policies (oder einer Empolyee-Summary) in Papierform, als PDF oder als Präsentation.

Security Awareness Maßnahmen sind am effektivsten, wenn für jeden was dabei ist. Das Thema Informationssicherheit sollte möglichst breit platziert werden. So sollte die Hauptmaßnahme möglichst mit kleinen Angeboten erweitert werden, etwa mit entsprechenden Give-Aways, thematisch passenden Poster als Erinnerung oder als Challenge, das Wissen gerade auf die Probe zu stellen, Security-Stammtische für Beginners.

Empfehlung 7: Messen Sie die Effektivität

Nachdem die Vorbedingungen für effektive Security Awareness Maßnahmen durch die ersten vier Empfehlungen gegeben sind und Sie auch bei Inhalten und Ausgestaltung den Empfehlungen gefolgt sind, stehen die Chancen gut, dass die entwickelten Maßnahmen auch wirklich effektiv sind. Was mit „effektiv“ genau gemeint ist, hängt von dem definierten Ziel ab. Bevor Sie damit allerdings an alle Kolleginnen und Kollegen herantreten und diese dafür wertvolle Arbeitszeit investieren, sollte sichergestellt sein, dass die geplanten Maßnahmen auch wirklich effektiv sind. Dies kann entweder geschehen, weil Sie die Maßnahme erst für einzelne Kolleginnen und Kollegen evaluieren oder – im Fall, dass Sie die Maßnahmen einkaufen –, dass der Anbieter Ihnen einen Nachweis gibt, dass die Maßnahme in ähnlichen Organisationen effektiv mit Bezug zu den von Ihnen definierten Zielen war.

Weiterführende Empfehlungen

Weitere wichtige Themen in diesem Zusammenhang sind

  • Kolleginnen und Kollegen die Zeit für die Teilnahme an den Security Awareness Maßnahmen zu geben
  • Ihnen die Zeit im Arbeitsalltag für Security zu geben
  • das Auffrischen des Wissens nach einer gewissen Zeit – und nicht indem das gleiche Training einmal im Jahr durchlaufen werden soll; hierzu ist es nötig, die Effektivität auch über die Zeit beurteilen zu können
  • das On-Boarding neuer Kolleginnen und Kollegen.

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.