Rawpixel.com - stock.adobe.com
IT-Security-Awareness für Mitarbeiter: Weniger ist mehr
Gut geschulte Mitarbeiter sind ein Aktivposten. Trotz zunehmender Gefahrenlage sollten Firmen aber nicht in Aktionismus verfallen, sondern ihre Schulungen mit Bedacht ausspielen.
Einer Studie der National Cybersecurity Alliance (NCA) zufolge werden 82 Prozent der Cybersicherheitsvorfälle durch menschliches Fehlverhalten verursacht. In den Unternehmen nutzen Social-Engineering-Angreifer bevorzugt die Mitarbeiter als Schwachstelle aus, da dies erheblich weniger Expertise und Aufwand erfordert als das Hacken technischer Sicherheitslücken. So handelt es sich bei den Nutzern häufig um unbedarfte Laien, die sich mithilfe psychologischer Tricks leicht hereinlegen lassen – ob die Kriminellen nun an die Hilfsbereitschaft, Angst, Autoritätshörigkeit oder Neugier ihrer Opfer appellieren.
IT-Sicherheitsverantwortliche vor Qual der Wahl
Die zugespitzte Gefahrenlage erfordert verstärkte Security Awareness Trainings – und stellt die IT-Sicherheitsverantwortlichen vor die Qual der Wahl. So sind aktuell zahlreiche Programme, Methoden und Werkzeuge auf dem Markt, um die Mitarbeiter für die wachsenden Cyberrisiken zu sensibilisieren und ihr Sicherheitsverhalten zu stärken. Doch Vorsicht: Unternehmen sollten ihre Mitarbeiter nicht mit Informationen und Trainingsmaßnahmen überfrachten, da dies meist nur Abwehrreaktionen und inneren Widerstand hervorruft.
Darunter fällt unter anderem auch die Nutzung von IT-Sicherheitslösungen. Zwar sind die Unternehmen gut beraten, ihre Systeme umfassend mit den neuesten technischen und organisatorischen Sicherheitsmaßnahmen zu schützen. Dennoch brauchen die Mitarbeiter nicht bis ins Detail zu verstehen, wie E-Mail-Verschlüsselung, Firewalls oder Netzwerk- und Daten-Überwachungstools funktionieren. Hier genügt es, die Nutzer mit der Bedienung der Sicherheitstools vertraut zu machen, die sie im Alltag verwenden sollen, und ihr IT-Sicherheitsverhalten in diesen Bereichen langfristig zu trainieren und zu fördern. Auch sollten die Werkzeuge – zum Beispiel die Nutzung eines Passwort-Managers oder das Melden einer verdächtigen E-Mail mittels Reporter-Button – einfach zu handhaben sein und eine sichere IT-Nutzung erleichtern.
Zu den wichtigsten Gewohnheiten zählt der vorsichtige Umgang mit den eigenen Passwörtern. Daher sollte ein Fokus auf der Förderung der Passworthygiene liegen. Dazu zählen die Erstellung eindeutiger und separater Passwörter für sensible Online-Konten, die Passwort-Verwaltung mithilfe von eigenständigen Anwendungen. Auch sollte den Mitarbeitern die Multi-Faktor-Authentifizierung (MFA) geläufig sein, die zwei oder mehr verschiedene Informationen erfordert, um sich bei einem Konto anzumelden. Des Weiteren sollten die neuesten Updates stets zeitnah installiert und sämtliche Daten regelmäßig gesichert werden.
Phishing beliebteste Angriffsart
Um eine nachhaltige Sicherheitskultur zu etablieren, müssen die Unternehmen den Hebel bei den Nutzergewohnheiten ansetzen, die am anfälligsten für Cyberattacken sind. Dabei stellt Phishing die geläufigste Form des Social Engineering dar. Es reicht von wahllosen Massenaussendungen bis zu personenbezogenen Spear-Phishing-Mails. Gemäß dem Cyber Security Report 2023 (PDF) von Hornetsecurity stellen bereits über 40 Prozent des gesamten E-Mail-Verkehrs eine potenzielle Bedrohung dar. Mit der Ausbreitung generativer KI-Modelle, wie ChatGPT, dürfte diese Quote noch steigen, da sich die Spear-Phishing-Angriffsketten damit komplett automatisieren und deutlich vereinfachen lassen.
Daher sollten die Unternehmen den Schwerpunkt auf Sicherheitstrainings legen, bei denen die Mitarbeiter neben den oben genannten Gewohnheiten vor allem auf Phishing-Angriffe vorbereitet und zum vorsichtigen Umgang mit eingehenden E-Mails motiviert werden. Neben klassischen Methoden der Wissensvermittlung – wie E-Learnings und Webinare – bieten sich praxisnahe Spear-Phishing-Simulationen an. Hier ist es jedoch wichtig, die Mitarbeiter im Vorfeld über das Programm zu informieren. So fühlen sie sich abgeholt und gehen wachen Auges an die Aufgabe.
Schnelle Entscheidungen im Visier
Nachgestellte Phishing-Angriffe verwenden Unternehmens- und Mitarbeiterinformationen beispielsweise aus Jobportalen oder beruflichen und sozialen Netzwerken, um die Simulationen realitätsnah zu personalisieren. Damit kann das in den klassischen Lernformaten erworbene Wissen nahtlos in den Arbeitsalltag der Nutzer transferiert werden. Fallen Mitarbeiter auf eine gefälschte E-Mail herein, werden sie direkt zu einer erklärenden Website weitergeleitet. Dort erfahren sie anhand von detaillierten Informationen, auf welche verdächtigen Merkmale sie hätten achten sollen: von Buchstabendrehern in der Absenderadresse über Fake-Subdomains bis hin zu verdächtigen Links.
Phishing-Simulationen sind besonders effektiv, um anhaltende Verhaltensänderungen zu bewirken und sichere Nutzergewohnheiten zu etablieren. Dies liegt vor allem daran, dass sie die schnellen, impulsiven Entscheidungen der Nutzer fördern. Nachgestellte Phishing-Mails nutzen den „Most teachable Moment“ von Mitarbeitern, indem sie sie genau im richtigen Augenblick über ihr potenziell schadhaftes Verhalten aufklären. Dadurch lernen sie, nicht mehr automatisch eine E-Mail zu öffnen, auch wenn diese geschickt ihre spontanen Gefühle anspricht.
„Phishing-Simulationen sind besonders effektiv, um anhaltende Verhaltensänderungen zu bewirken und sichere Nutzergewohnheiten zu etablieren. Dies liegt vor allem daran, dass sie die schnellen, impulsiven Entscheidungen der Nutzer fördern.“
Dr. Yvonne Bernard, Hornetsecurity
Stattdessen wird es den Mitarbeitern zur Gewohnheit, eingehende E-Mails prinzipiell auf ihre Authentizität und Plausibilität zu hinterfragen. Sie lassen sich auch in hektischen Situationen nicht unter Druck setzen und überprüfen die Nachrichten auf mögliche Phishing-Anzeichen. Erscheint eine Transaktion oder Anfrage als fragwürdig, fragen sie lieber nochmals nach und klären die Richtigkeit des Anliegens gegebenenfalls über einen zusätzlichen Kommunikationskanal. Erhärtet sich der Verdacht, melden sie den Vorfall oder die E-Mail zum Beispiel über eine im E-Mail-Programm integrierte Meldeschaltfläche an die IT-Sicherheitsabteilung weiter – auch wenn damit das Eingeständnis eigenen Fehlverhaltens verbunden ist.
Standardisierte Messverfahren vonnöten
Laut einer Studie des US-amerikanischen National Institutes of Standards and Technology (NIST) fällt es Unternehmen noch schwer, die Effektivität von Maßnahmen zur Förderung des Sicherheitsbewusstseins zu messen. So werden die Schulungserfolge oft an den Abschlussquoten, im Fall von Phishing-Simulationen an den Klickraten festgemacht. Standardisierte Messverfahren erlauben es Unternehmen anhand verlässlicher Kennzahlen, einzelne Mitarbeitergruppen miteinander zu vergleichen und den gezielten Einsatz weiterer Phishing-Simulationen abzuleiten.
So ist es den IT-Sicherheitsverantwortlichen möglich, das Sicherheitsverhalten der Mitarbeiter im Rahmen des Security-Awareness-Trainingsprogramms anhand der geöffneten Phishing-Mails laufend zu messen. Dadurch lassen sich die Phishing-Simulationen und die E-Trainings individuell anpassen, sodass jeder Nutzer in seinem perfekten Lerntempo mit den anvisierten Verhaltensmustern geschult werden kann.
Damit der Lerneffekt anhält, sollten die simulierten Spear-Phishing-Angriffe kontinuierlich wiederholt werden. So lässt sich verhindern, dass einmal erlerntes Wissen nicht binnen kürzester Zeit wieder vergessen wird. Stattdessen kann das Thema Security Awareness im Langzeitgedächtnis der Teilnehmer verankert werden. Auch machen es die permanenten Wiederholungen möglich, immer wieder neue Mitarbeiter in die Trainings einzubinden.
Fazit
Der wachsende Markt für IT-Security konfrontiert die IT-Sicherheitsverantwortlichen mit ständig neuen Schulungsangeboten für die Mitarbeiter. Sie müssen eine klare Auswahl treffen, um die Nutzer nicht heillos zu überfordern. Auf dem richtigen Weg ist, wer sich auf Security Awareness Trainings und organisatorische Maßnahmen zur Abwehr von Social Engineering fokussiert, das heute zu den größten Sicherheitsbedrohungen für die Unternehmen zählt. Damit können sich die Nutzer auf die wichtigsten Verhaltensänderungen und Gewohnheiten im Umgang mit E-Mails und Fake-Telefonaten konzentrieren. Wichtig ist, dass die IT-Sicherheitsverantwortlichen den Mitarbeitern ausreichend Zeit geben und nicht alles auf einmal verlangen, um sie nicht zu überfrachten. Wer Fehlverhalten bestraft, riskiert, die Mitarbeiter zu verängstigen und zu schikanieren. Das kann im schlimmsten Fall eine Abwehrhaltung gegen die Notwendigkeit bedingen, das eigene IT-Sicherheitsverhalten zu überdenken und zu ändern.
Ein zusätzlicher Ansporn für die Mitarbeiter: Wer am Arbeitsplatz Vorsicht walten lässt, wird auch im privaten Umfeld dafür belohnt und geht böswilligen Phishing-Angreifern auch hier nicht so leicht auf den Leim.
Über die Autorin:
Dr. Yvonne Bernard ist CTO bei Hornetsecurity. Hornetsecurity ist ein Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.