Syda Productions - stock.adobe.c
Wie Unternehmen mehr mit Security-Schulungen erreichen
Jährliche Schulungen zur IT Security tragen wenig zur Verbesserung der Sicherheit bei. Dabei könnten die richtigen Trainings dabei helfen, Unternehmen weniger anfällig zu machen.
Unternehmen können so viele Security-Lösungen einsetzen, wie sie wollen, tatsächlich sind sie immer nur so sicher wie ihr schwächstes Glied: Menschen.
Laut dem „2022 Ponemon Cost of Insider Threats Global Report“ sind Insider-Bedrohungen für bis zu 60 Prozent aller Datenschutzverletzungen verantwortlich. Dabei wurden 56 Prozent der Vorfälle von fahrlässigen Anwendern verursacht. Zu den fahrlässigen Insidern gehören Mitarbeiter, die unsichere Geräte verwenden, Security-Richtlinien ignorieren oder nicht befolgen, sowie Geräte und Software nicht patchen oder aktualisieren. Zu den anderen Insider-Bedrohungen zählen beispielsweise böswillige Akteure zu 26 Prozent und zu 18 Prozent diejenigen, deren Zugangsdaten entwendet wurden und so nur indirekt als Insider in Aktion treten. Vielmehr werden deren Zugangsdaten für die weniger redliche Aktivitäten missbraucht.
„Cyberkriminelle sind Experten im Social Engineering und verleiten Mitarbeiter dazu, auf bösartige Links zu klicken, die Angriffe initiieren“, sagt William Candrick, Director Analyst bei Gartner. „Obwohl Sicherheitsexperten wissen, dass Social Engineering ein hohes Risiko ist, tun sich viele immer noch schwer damit, Mitarbeiter davor zu bewahren, getäuscht zu werden.“
Um Insider-Bedrohungen entgegen zu wirken, setzen Unternehmen oftmals auf Schulungen zum Thema Cybersicherheit. Die Effektivität und Wirksamkeit dieser Schulungen wird jedoch häufig in Frage gestellt, da immer deutlicher wird, dass viele Schulungen zum Thema Cybersicherheit nicht das gewünschte Ergebnis erzielen.
Warum hapert es an der Wirksamkeit von Security-Schulungen?
Viele Unternehmen führen jährlich Schulungen zum Sicherheitsbewusstsein durch. Diese Schulungen sollen zwar das Risiko verringern und die Sicherheit verbessern, doch allzu oft werden sie nur durchgeführt, um eine Vorgabe abhaken zu können. Da geht es um die Erfüllung von Standards und Vorschriften wie ISO/IEC 27002, Datenschutz-Grundverordnung (DSGVO) oder NIST 800-53 oder um Bestimmungen im Rahmen des Versicherungsschutzes zu erfüllen.
„Ein Schulungsmodul, das einmal im Jahr stattfindet, wird die Risikolage nicht verändern“, sagt Candrick und fügt hinzu, dass ein solcher Ansatz wenig dazu beiträgt, das Verhalten der Mitarbeiter zu ändern.
Einfach ausgedrückt: Die Mitarbeiter haben Schwierigkeiten, das in sporadischen Schulungen Gelernte zu behalten und im Arbeitsalltag anzuwenden. Darüber hinaus enthalten die meisten Schulungen veraltete, langweilige und uninteressante Präsentationen und sind oft nicht spezifisch genug auf die individuellen Aufgaben der Mitarbeiter innerhalb ihres Unternehmens zugeschnitten.
„Es ist, als ob man eine Sprache lernt und sie nie übt“, so Johna Till Johnson, CEO und Gründerin von Nemertes Research.
Diese Ansichten decken sich mit den Ergebnissen eines Usenix-Berichts über die Wirksamkeit von Schulungen, um Anwender in Sachen Phishing zu sensibilisieren. Die Teilnehmer wurden gebeten, bösartige E-Mails in verschiedenen Zeitabständen nach einer Sicherheitsschulung zu identifizieren, und zwar vor und direkt nach der Schulung sowie vier, sechs, acht und 12 Monate danach. Die Erkennungsraten waren im vierten Monat hoch, gingen aber nach sechs Monaten deutlich zurück, was darauf schließen lässt, dass Sicherheitsschulungen am effektivsten sind, wenn sie zwei- bis dreimal pro Jahr durchgeführt werden.
Security-Schulungen verbessern und optimieren
Das Schulungen in Sachen Sicherheitsbewusstsein nicht immer die gewünschte Wirkung erzielen, ist kein Grund darauf zu verzichten, ganz im Gegenteil, es kommt darauf an, was man daraus macht.
Schließlich sind Security Awareness Trainings der Moment, in dem das Security-Team für die gesamte Belegschaft sichtbar tätig wird und eine Verbindung aufgebaut werden kann. Das klappt allerdings nicht mit langweiligen Stockphotos von Hackern im Kapuzenpulli und anderen Stereotypen, die wenig mit der Alltagsrealität der Anwender zu tun haben.
Damit die Schulungen zum Sicherheitsbewusstsein jedoch informativ sind und bei den Mitarbeitern auch nach der Schulung noch nachwirken, ist es wichtig, dass sich die Unternehmen von den auf der Einhaltung von Vorschriften basierenden Schulungen wegbewegen und sich auf die menschlichen Verhaltensweisen und die Schaffung einer Sicherheitskultur konzentrieren.
So kann es sinnvoller sein, eher die Verhaltensergebnisse als Aktivitäten zu überprüfen. Kennzahlen wie die Anzahl der absolvierten Phishing-Simulationen oder Schulungsmodule, die jedes absolviert werden, geben nicht das sich verändernde Verständnis der Mitarbeiter für Risiken wieder. Die Veränderungen beim Verhalten, etwa Melderaten bei Phishing-Tests geben jedoch Aufschluss über den Erfolg eines Security-Programms eines Unternehmens. Und auch darüber, wo eventuell noch Verbesserungen vorgenommen werden sollten.
Verhaltensmetriken erlauben Modelle zur Quantifizierung menschlicher Risiken - Prozesse, die Sicherheitsteams dabei helfen, Lücken zwischen Wissen und Verhalten zu identifizieren und das potenzielle Risiko bestimmter Handlungen für die Cybersicherheitslage eines Unternehmens zu berechnen. Letztendlich mindern Unternehmen das Risiko, indem sie risikobehaftete Handlungen reduzieren. Mit einem besseren Verständnis für Sicherheit werden Anwender eher Tools wie Passwort-Manager einsetzen, oder es vermeiden riskante Handlungen vorzunehmen, die Security-Lösungen umgehen.
Modelle zur Quantifizierung menschlicher Risiken gewinnen an Bedeutung. Einige Unternehmen haben begonnen, Modelle zur Risikoquantifizierung einzusetzen, um riskantes Verhalten zu erkennen. Dies erlaubt es, mit individuellen Schulungen auch spezifischen Risiken wesentlich besser zu begegnen. So können Schulungen explizit auf die jeweiligen Umstände zugeschnitten werden.
Über automatisierte Schulungen hinaus werden Automatisierungs- und Analysetools für die Sicherheit auch in Zukunft die Praktiken zur Prävention und Sensibilisierung für Cyberrisiken prägen.
Wenn eine Automatisierung sinnvoll ist und einen Prozess optimiert, ist nicht immer eine Schulung oder Wissensvermittlung erforderlich. „Banken hätten Hunderte von Millionen Dollar ausgeben können, um die Leute zu schulen, ihre Karten nicht in den Geldautomaten zu lassen, aber stattdessen haben sie die Automaten so verändert, dass die Leute ihre Karten nehmen müssen, bevor sie Bargeld bekommen können.“, so Johna Till Johnson.
Unternehmen können einen ähnlichen Ansatz für die Security wählen. Wenn ein Unternehmen seinen Mitarbeitern beispielsweise die Verwendung von USB-Sticks untersagt, kann es dies per allgemeinen Konfigurationsrichtlinien festlegen, dass dies mit Systemen nicht funktioniert oder entsprechende Geräte abgelehnt werden.
Menschliche Firewalls und Sicherheitskultur stärken Unternehmen
Trotz automatisierter Leitlinien liegt es in der Verantwortung der Mitarbeiter, zum Schutz ihres Unternehmens beizutragen. Viele Mitarbeiter verstehen jedoch nicht, wie sich ihre Rollen oder Aufgaben auf die Cybersicherheit des Unternehmens auswirken (können).
Menschliche Firewalls helfen, diese Lücke zu schließen (siehe auch Kostenloser E-Guide: Eine menschliche Firewall bilden). Ein entsprechendes Schulungsprogramm umfasst spezielle Übungen, die den Mitarbeitern Security-Verhaltensweisen vermitteln, die auf ihre Rolle und ihre täglichen Routinen zugeschnitten ist. Menschliche-Firewall-Schulungen sollten auch die Mitarbeiter mit Hilfe von Kennzahlen und Anreizen in ihrer Eigenverantwortung stärken.
Das Etablieren einer Sicherheitskultur kann auch dazu beitragen, Schulungen individueller und ansprechender zu gestalten. Bei diesem Ansatz wird eine breit angelegte Umfrage an alle Mitarbeiter verschickt, die eine Reihe von Fragen enthält, darunter die folgenden: Wie sehen Sie das eigene Verhältnis zur IT-Sicherheit? Wie wahrscheinlich ist es, dass Sie mit dem Sicherheitsteam zusammenarbeiten? Wie wahrscheinlich ist es, dass Sie bestimmte Richtlinien übernehmen? Die Sicherheitsteams können die Umfrageergebnisse nutzen, um bestimmte Teams, Personen und Abteilungen gezielt anzusprechen.
Gamification, etwa das Sammeln von Punkten oder Wertungen, und die Erstellung von qualitativ hochwertigen Sicherheitsvideos können die Mitarbeiter noch stärker in die Schulung einbinden. Zudem erwarten die Experten für die Zukunft einen vermehrten Einsatz von realen Reaktionsszenarien.