Sergey Nivens - Fotolia
Wichtige Schritte zum Aufbau einer menschlichen Firewall
Wenn Firmen die Mitarbeiter bei dem Aufbau einer Sicherheitsstrategie richtig einbeziehen, verhindert dies nicht nur effektiv viele Angriffe, sondern stärkt die gesamte Security.
Die stetige Zunahme von Security-Vorfällen, sollte die Verantwortlichen in Unternehmen dazu veranlassen, die Grenzen der Technologie zu analysieren und die Rolle des Menschen neu zu bewerten.
Trotz der beeindruckenden Fortschritte bei der Bedrohungsabwehr als auch bei den Penetrationstests haben Studien ergeben, dass menschliches Versagen nach wie vor das schwächste Glied bei der Sicherstellung der IT Security ist. Für schätzungsweise 90 Prozent der Angriffe auf Unternehmensnetzwerke war ein Phishing-Vorfall verantwortlich. Die weniger redlichen Akteure führen immer raffiniertere Social-Engineering-Angriffe durch. Dabei werden oftmals die Schwachpunkte, Emotionen und auch Ängste von Menschen ausgenutzt. Daher ist die Investition in den Faktor Mensch genauso wichtig wie die in reine Technologie.
Von der IT-Firewall zur menschlichen Firewall
Um den Risikofaktor Mensch besser zu berücksichtigen, sollten Sicherheitsverantwortliche IT-Konzept in analoge Denkweisen übersetzen. Rund um ihre technischen Anlagen haben Unternehmen schon lange Firewalls eingerichtet. Dieses Prinzip müssen sie nun auf Menschen anwenden und eine Verteidigungslinie aus Menschen einrichten. Diese menschliche Schutzschicht ist eine verinnerlichte Denkweise, die sich durch Ausbildung und Anreize fördern lässt. Und diese erstreckt sich über alle Teams und Geschäftsfunktionen im gesamten Unternehmen.
Bewährte Vorgehensweise für Schulungen in Sachen menschliche Firewall
Ein Kulturwechsel ist meist keine einfache Angelegenheit, und besonders nicht in großen Organisationen. Im Gegensatz zur technischen Firewall erfordert die Konfiguration der menschlichen Firewall Änderungen an der Sicherheitskultur des Unternehmens. Dazu gehört auch, die Denkweise und das Verhalten der Mitarbeiter zu berücksichtigen.
Nachfolgend haben wir fünf Best Practices mit der sich eine menschliche Firewall erfolgreich trainieren lässt:
Führungskräfte müssen mit gutem Beispiel vorangehen
Geschäftsleitung, Führungskräfte und leitende Angestellte sind Schlüsselfaktoren, um die strategischen Zusammenhänge für Verhaltensänderungen zu kommunizieren. Sie sind auch maßgeblich daran beteiligt, Veränderungen in den Sicherheitspraktiken zu unterstützen. Und zwar auch indem sie bestimmte Abteilungen direkt mit Investitionen und Integration verbinden. Führungskräfte sollten:
- Sicherheitsschulungen von Mitarbeitern gleichrangig wie Investitionen in Security-Technologien behandeln;
- die Ressourcen der angrenzenden Säulen wie Personalabteilung oder Marketing in eine entsprechende Security-Strategie einbinden;
- die kulturellen Hemmschwellen für Sicherheitsdenken und -praktiken identifizieren, da diese mit hoher Wahrscheinlich in verschiedenen Teams nicht identisch sind.
Fortlaufende Schulungen und dynamische Anpassungen sind unerlässlich
Viele Security-Bedrohungen und Schwachstellen sind für die meisten Menschen nicht offensichtlich. Da jedoch Social Engineering und menschliches Fehlverhalten vielen Sicherheitsvorfällen zugrunde liegen, ist die Schaffung eines entsprechenden Security-Bewusstseins essenziell. Das entsprechende Verinnerlichen dieses Wissens ist für die Verteidigung eine ebenso wichtige Grundlage für die Verteidigung wie die Technologie. Das Training der menschlichen Firewall muss umfassend und dennoch verständlich sein – konkret und dennoch fortlaufend. Diese Ausbildung sollte:
- die Zusammenhänge für Mitarbeiter verständlich machen, in dem transparent über Risiken, Auswirkungen und Kaskadeneffekte schlechter Sicherheitshygiene informiert wird;
- die Bedrohungslandschaft nachvollziehbar darstellen, und zwar nicht nur für die Unternehmensumgebung, sondern auch im Hinblick auf Drittanbieter oder Fernarbeit-Tools;
- Lehrpläne so gestalten, dass sie über Präsentationen, Passworttipps und jährliche Abfragen hinausgehen, indem sie stets aktualisierte und für den einzelnen Mitarbeiter nachvollziehbare Beispiele und Anleitungen enthalten;
- Klarheit im Hinblick über die Feedback-Mechanismen zu Verbesserung der Security-Kultur, -prozesse und -Tools gewährleisten.
Funktionsübergreifende Verbindungspersonen identifizieren
Angesichts der Vielfalt an Bedrohungen, Endpunkten und Schwachstellen sollten Unternehmen eine multidisziplinäre Task Force zusammenstellen. Diese kann sich der Stärkung der Organisation widmen. Wichtig ist auch, dass die Mitarbeiter sich bei den entsprechenden Schulungen willkommen und gestärkt fühlen, anstatt eingeschüchtert zu sein. Funktionsübergreifend agierende Personen können dabei helfen:
- Risiken und Chancen zu identifizieren;
- Security-Prioritäten über verschiedene Gruppen hinweg zu setzen, beispielsweise für Vertrieb und Support oder IT und Betriebstechnik;
- dass jeweils Gelernte in die Weiterentwicklung des Lehrplans einfließen zu lassen;
- Bereiche mit Lücken oder auch Redundanzen in Tools, Dienstleistungen und Produkten von Anbietern bewerten;
- Spezifische Schutzmaßnahmen zu entwickeln, die in allen Geschäftsfunktionen, Teams und Produkten eingesetzt werden; und
- Das gesamte Ökosystem auf branchen- oder produktspezifische Security-Praktiken zu analysieren und diese auf ihre Teams zu übertragen.
Relevanz und Nachvollziehbarkeit sicherstellen
Die Entwicklung einer menschlichen Firewall ist eine umfassende Aufgabe. Schließlich ist die Sicherheit einer Organisation nur so stark wie ihr schwächstes Glied. Aber sie muss auch auf die verschiedenen Rollen und Bedürfnisse zugeschnitten sein.
Es ist von entscheidender Bedeutung, dass die Mitarbeiter verstehen, wie ihre Rollen und Verhaltensweisen die gesamte Sicherheitsstruktur des Unternehmens unterstützen oder auch behindern können. Dazu zählen auch die spezifischen Verantwortlichkeiten zur Risikominderung. Wichtig ist auch die Entwicklung von Sicherheitsverfahren, die sich in ihre täglichen Arbeitsroutinen und -abläufe integrieren lassen, anstatt umständliche und radikale Verhaltensänderungen zu verlangen.
Metriken sind ebenfalls wichtige Faktoren. Verwenden Sie Kennzahlen, um der Unternehmensführung den Nutzen für weitere Investitionen zu demonstrieren und die Mitarbeiter zu motivieren, sich kontinuierlich zu verbessern. Ziehen Sie folgende Maßnahmen in Betracht, um die Relevanz von Firewall-Schulungen für Mitarbeiter zu erhöhen:
- mit Lernwerkzeugen und Schulungsstilen experimentieren, um die Inhalte zu personalisieren;
- integrieren Sie Szenarien, die auf Resonanz stoßen, zum Beispiel die Schritte vor der Freigabe von Code für Entwickler oder einschlägige Problemlösungen für Support-Mitarbeiter;
- Wettbewerbe, Schnelltests und Spiele während und nach den Schulungen einbinden, um zu beobachten, welche Module Anklang finden und welche konkreten Verhaltensweisen hängen bleiben; und
- verknüpfen Sie Metriken mit Produktivitätssteigerungen oder Mitarbeiteranreizen, um Möglichkeiten zur Kompetenzentwicklung zu schaffen.
Das Menschliche ist wichtig
Bei einer Unternehmenskultur geht es auch darum, wie sich die Menschen fühlen, einschließlich ihrer Überzeugungen und ihres allgemeinen Engagements für das Unternehmen und seiner wahrgenommen Werte. Damit sich die Sicherheitskultur eines Unternehmens verbessert, sollten sich Mitarbeiter nicht schlecht fühlen, wenn sie einmal einen Fehler machen. Und sie sollten zuversichtlich sein, wenn einmal ein Vorfall eintritt. Die Mitarbeiter sollten ein positives Gefühl haben, zur Cybersicherheit des Unternehmens beizutragen. Dabei können folgende Aspekte hilfreich sein:
- die Zugänglichkeit in den Mittelpunkt stellen, damit Menschen aus verschiedenen Teams, Regionen und Sprachen, demografischen Gruppen und mit unterschiedlichen Fähigkeiten inspiriert und befähigt werden, einen Beitrag zu leisten;
- sicherstellen, dass die Lernmodalitäten Spaß machen, Geschichten erzählen, die Interaktion fördern und verschiedene Arten des Erfahrungslernens einbeziehen, einschließlich Spiele, Simulationen, Rollenspiele und Anerkennung; und
- die technischen und emotionalen Schwachstellen, die von böswilligen Akteuren ausgenutzt werden, anzusprechen. Diese Transparenz ist eine Chance die Gesamtsicherheit und das Vertrauen zu verbessern.