Im Zuge des 43. CMG Action Group Sicherheit Sensibler Systeme am 4. April 2022 wurde das Thema “Security Awareness Strategie 2022” durch 29 motivierte IT-Security und Informationssicherheits-Experten entwickelt. Unter der Leitung des Themenpanelleiters Andreas Schuster wurde bei dem Arbeitsgruppentreffen mit Hilfe einer Mindmap von einem minimalen Security Awareness Grundgerüst begonnen und dieses um die wesentlichsten Aspekte für eine erfolgreiche unternehmensweite Security Awareness Kampagne erweitert.
Im folgenden werden die Erkenntnisse aus dem Arbeitsgruppentreffen vorgestellt und zur freien Nutzung sowohl für CMG Mitglieder, als auch durch andere Unternehmen empfohlen.
Die Elemente einer Security Awareness Strategie 2022
Bei der Überlegung wie man eine Security Awareness Strategie für das laufende Jahr und auch zukünftige Jahre plant, wurden folgende Schwerpunkte gesetzt die von den zahlreichen Teilnehmern befüllt wurden:
- Strategien der Wissensvermittlung
- Welche Gefahren gibt es und welche sollten tatsächlich geschult werden?
- Wie kann man effizient die wesentlichen Themen schulen?
- Was bringen die Schulungen und kann man einen ROI erkennen?
- Ideensammlung für Tipps und Tricks und zukünftige Vorschläge
In den folgenden Abschnitten werden die Erkenntnisse der 5 Schwerpunkte präsentiert und priorisiert.
Strategien der Wissensvermittlung
Bei den Strategien der Wissensvermittlung wurden drei wesentliche Ausprägungen identifiziert, die in allen Security Awareness Konzepten berücksichtigt werden können.
Wissen über Angriffe vermitteln
Dies erfolgt typischerweise, oft in Kombination mit Angst machen indem man möglichst bedrohliche Beispiele liefert, was passiert wenn Unternehmen gehackt werden und wie perfide die Hacker die MitarbeiterInnen hereinlegen. Das reine Vermitteln dieses Wissens wird vom Arbeitskreis als keine gute Idee angesehen, weil die Personen nicht erlernen sich richtig gegen die Angriffe zu schützen.
Rein technische Lösungen (aber mit Überwachung)
In diesem Szenario werden MitarbeiterInnen permanent überwacht und periodisch auch automatisch geprüft. Beispielsweise werden regelmäßig Phishing Nachrichten generiert und an einzelne MitarbeiterInnen versandt. Sobald die MitarbeiterInnen auf die Phishing hereinfallen, werden sie zu Erklärungsvideos umgeleitet und nachgeschult oder für Nachschulungen vorgesehen. Der Vorteil dieser Methode ist eine permanente Schulung der MitarbeiterInnen über lange Perioden.
Verhalten ändern
Im optimalen Fall wird die Strategie dahin ausgelegt, dass das Sicherheitsbewusstsein der MitarbeiterInnen geändert wird und ein gesundes Misstrauen bei E-Mail-Anfragen, Anrufen und Besuchern geweckt wird. Unter dem Motto “welche Informationen gibt man preis und wem kann man wirklich vertrauen” sollten alle MitarbeiterInnen erlernen persönliche Informationen als auch die Informationen des Unternehmens zu schützen. Gespickt mit Wissen um die Gefahren bei der Nutzung von E-Mail, Internet, WLAN, unsicheren Endgeräten und dem richtigen Umgang mit Passwörtern wird das Cybersecurity-Risiko durch das eigene Personal nachhaltig reduziert.
Welche Gefahren gibt es und welche sollten tatsächlich geschult werden?
Es wurden zahlreiche Gefahren identifiziert, die man in Security Awareness Schulungen schulen und trainieren kann. Da die Zeit für solche Schulungen jedoch typischerweise auf 1 bis 1,5 Stunden limitiert wird, wurde vom Arbeitskreis eine Priorisierung durchgeführt.
Gute Idee!
Der Gewinner in der Priorisierungsklasse “Gute Idee!” ist die Schulung von Phishing-Angriffen, optimal in Kombination mit simulierten Phishing-E-Mail Kampagnen. Zuverlässige Quellen behaupten, dass rd. 80% aller Cyberangriffe mit einer erfolgreichen Phishing-Attacke gestartet werden und dann der Hacker beginnt den PC und dann das Netzwerk zu übernehmen. Erklären Sie Ihren MitarbeiterInnen E-Mails sorgfältig zu prüfen, bei Aufforderungen mit Zeitdruck doppelt nachzudenken und alle Links durch Mouse-Over zu lesen, bevor man unbedacht Zugangsdaten oder Informationen preisgibt.
Durch Regelungen zur Cloud-Nutzung, nämlich klare Vorgaben und auch technische Maßnahmen welche Cloud-Dienste im Unternehmen genutzt werden dürfen, reduzieren sich die Anwendungen in denen MitarbeiterInnen vertrauliche Informationen des Unternehmens verarbeiten. In der Praxis hat sich die Erstellung einer White-Liste (Cloud-Anwendungen die explizit lizensiert und vom Unternehmen freigegeben sind) einer Gray-Liste (Cloud-Anwendungen wie kostenfreie Dienste die unter bestimmten Bedingungen genutzt werden dürfen) und einer Black-Liste (Cloud-Anwendungen die verboten sind, aus Informationssicherheitsgründen oder aufgrund des Datenschutzes) bewährt.
BenutzerInnen sollten trainiert werden bei Cloud-Dienste immer die Zwei-Faktor-Authentisierung zu aktivieren. Sobald die MitarbeiterInnen das Verständnis aufgebaut haben, dass ein Passwort oftmals nicht ausreicht, erhöht sich auch das Verständnis für die Multi-Faktor Authentifizierung bei allen externen Diensten des Unternehmens.
Das erkennen und Melden von Sicherheitsvorfällen ist ein wesentlicher Baustein einer funktionierenden Informationssicherheit. Nur wenn BenutzerInnen über die verschiedenen Arten von Sicherheitsvorfällen Bescheid wissen und auch akzeptieren, dass auch einen möglicher Datenverlust bereits eine Sicherheitsvorfall ist, werden Sicherheitsvorfälle erkannt und gemeldet. Wichtig in diesem Zusammenhang ist ein möglichst kollegialer Umgang bei einer Meldung mit positiver Wortwahl und voller sachlicher Unterstützung.
Welche Informationen gibt man Preis und wem vertraut man? Diese Frage sollte auf jeden Fall ein elementarer Teil einer Security Awareness Schulung werden. Dabei geht es primär darum, dass MitarbeiterInnen ein Verständnis für schützenswerte Informationen entwickeln und immer darauf achten, ob und mit wem sie diese Informationen teilen möchten. Dazu gehört aber auch ein gesundes Misstrauen gegenüber Kontakten zu entwickeln, die anonym per Email oder Telefon an die MitarbeiterInnen herantreten.
Sichere Nutzung von E-Mail und Internet sowie die Mehrfachnutzung von Passwörtern: Dieser Themenbock umfasst mehrere Punkte. Zum einen wieder das Misstrauen gegenüber E-Mailanfragen, aber auch die Fähigkeit E-Mails auf Echtheit zu prüfen und mit der Mouse-Over Funktion die eingebetteten Links zu prüfen. Zum anderen aber die sorgsame Nutzung von Internet, wo man achtsam sein muss bei Downloads oder Softwarequellen und seine Zugangsdaten nur auf den jeweils richtigen Webseiten eingeben darf. Hierbei ist besonders wichtig, dass man bei unterschiedlichen Webanwendungen (Cloud-Diensten) immer unterschiedliche Passwörter verwendet, um bei einem Verlust eines Passwortes einer Webanwendung nicht auch weitere Zugangsdaten zu verlieren.
Keine hohe Priorität
Wissenstransfer zu der SMS Phishing Form „Smishing“ wie in der Regel darauf abzielt, dass Adressaten sich eine Malware App installieren und so Daten oder Accounts kompromittiert werden, hat 2022 keine hohe Priorität in Security Awareness Kampagnen. Warum? Weil diese Angriffe primär auf Privatnutzer abzielt und fast alle Berufstätigen diese Art von Phishing schon vielfach erlebt haben.
Auch der Umgang mit Passwörtern wurde in den vergangenen Jahren ausreichend geschult und nahezu alle IT-Dienste haben heute umfangreiche, technische Passwort-Einstellungen um die Länge und Komplexität der genutzten Passwörter umfangreich zu prüfen.
Die Sicherheit auf Reisen verliert seit COVID an Bedeutung und betrifft auch nur gewisse MitarbeiterInnen Gruppen. Effizienter ist der lückenlose technische Schutz von Endgeräten durch starke Benutzeridentifizierung und Vollverschlüsselung, als Aufklärung wie man Unternehmensdaten auf Reisen schützt.
Die Maßnahme Public WLAN verboten kann Teil einer Security Awareness Schulung sein, aber viele Unternehmen erlauben öffentliche Hotspots für den Internetzugang. Durch die aktive Personal Firewall auf allen Endgeräten und eine aktuelle Virenschutzlösung am Notebook sind die Gefahren von Public WLANs in den letzten Jahren gesunken.
Da auch Vishing von CxO Fraud nur keine Benutzergruppen betrifft, ist es nicht empfehlenswert diese Angriffsszenarien mit allen MitarbeiterInnen zu thematisieren. (Vishing = Voice Phishing, also Abfragen von Daten oder Zugangsdaten per Telefonanruf)
Mit der Sensibilisierung zu lokalen Rechten und Sicherheitswarnungen erreicht man nur BenutzerInnen-Gruppen wie IT-Admins oder Entwickler, da der Großteil der MitarbeiterInnen heute mit normalen Rechten arbeitet und ohnehin keine Möglichkeit haben Software selbst zu installieren oder Sicherheitseinstellung zu verändern oder zu umgehen.
Schlechte Idee!
Natürlich ist es wichtig, dass MitarbeiterInnen die aktuellen Richtlinien des Unternehmens kennen, akzeptieren und befolgen. In einer Security Awareness Schulung ist es jedoch eine schlechte Idee die Richtlinien “herunterzubeten”, also diese Absatz für Absatz zu predigen und jeweils die Einhaltung einzufordern. Nehmen sie besonders wichtige Punkte der Richtlinie und erklären sie an Praxisbeispielen warum diese Vorgaben die Informationssicherheit des Unternehmens stärkt.
Was bringt eine gute Security Awareness Strategie 2022?
Folgende Vorteile können Unternehmen mit eine optimierten Awareness Strategie erreichen:
- Das Sicherheitsverhalten der MitarbeiterInnen schrittweise antrainieren, wichtig hierbei ist eine jährliche aktualisierte Schulung mit aktuellen Beispielen und Inhalten zu schulen
- MitarbeiterInnen lernen eine positive Fehlerkultur im Unternehmen kennen, da Sicherheitsvorfälle nicht totgeschwiegen werden sollen, sondern als Chance einer Verbesserung der Informationssicherheit akzeptiert werden
- Indem Sie Cyber Security Awareness etablieren, aktivieren Sie die Human Firewall des Unternehmens
- Ein Schutz vor Cyberangriffen wird durch die Aufklärung aktueller Security Risiken und die Schulung der Informationssicherheitsvorgaben des Unternehmens erzielt
- Speziell wenn eine Grundsensibilisierung/Grundimmunisierung oft noch nicht vorhanden ist, erzielen Sie mit einer optimierten Security Awareness Kampagne schnell den gewünschten Erfolg
- Das Risikomanagement in Bezug auf die Informationssicherheit kann und soll nach Unternehmenstyp angepasst
