Was ist das grösste Sicherheitsrisiko? Eine komplexe Frage, auf die uns die Google-Suche eine scheinbar einfache Antwort gibt: Der Mensch.

Auch Umfragen unter Security-Expertinnen und -Experten zeigen seit Jahren immer wieder, dass der Faktor Mensch als hohes Risiko wahrgenommen wird. Die Expertenwelt ist sich einig, es muss etwas getan werden.

Die erste Hürde besteht darin, dass die gewohnte Herangehensweise von IT-Security-Mitarbeitenden – technische Implementation, Anpassung bestehender Systeme und Prozesse – nur unzureichend wirkt. Für den Faktor Mensch gibt es keine technologische Lösung, keinen Patch.

Will man das Verhalten eines Menschen langfristig verändern, muss man ihn davon überzeugen und dazu befähigen, dies zu tun. Im Allgemeinen wird diese Aufgabe dem Fachbereich Security Awareness zugeteilt. Um das Ziel zu erreichen, müssen Security Awareness-Aktivitäten erstens Interesse für das Thema wecken, zweitens Wissen vermitteln und drittens das Erlernte regelmässig trainieren. Und damit verlassen wir langsam aber sicher die Komfortzone der meisten Security-Fachpersonen.

Das Fachgebiet Security Awareness ist in der IT angesiedelt, obwohl es ein hohes Mass an Kommunikationskompetenz erfordert. Gemeint ist damit das Fachwissen, Informationskampagnen, die aus Massnahmen zur Sensibilisierung, Ausbildung und Training der Zielgruppen bestehen, zu planen und umzusetzen. Die wenigsten Personen, die Security Awareness-Massnahmen planen müssen, verfügen gemäss SANS Security Awareness Report über diese Kompetenzen.

Einige Organisationen gehen daher mittlerweile dazu über, dediziertes Personal für das Thema Security Awareness einzustellen. Meist sind diese Personen hierarchisch nah oder in der Security-Abteilung aufgehängt. So gut wie immer besitzen sie vorrangig die angesprochenen Kommunikationskompetenzen, haben also eine Ausbildung in Kommunikation, Marketing, Psychologie.

Um auf der Suche nach einer geeigneten Kandidatin oder einem Kandidaten eine Orientierung zu bieten, stellt SANS Security Awareness mit NIST NICE eine Rollenbeschreibung für die Position einer/eines Awareness und Communication Managerin/Managers zur Verfügung. Organisationen, die sich eine eigene Stelle für Security Awareness nicht leisten können, wird geraten, die Zusammenarbeit mit den internen Abteilungen, beispielsweise Kommunikation, Marketing oder Weiterbildung, zu suchen.

Aus der oben erläuterten Sachlage ergibt sich dann ein logischer Schluss. Massnahmen, die technisch umsetzbar sind und "harte" Zahlen liefern, sind heissbegehrt. Phishing-Simulationen oder Phishing-Tests sind mit Abstand die weit verbreitetsten Massnahmen, die zum Einsatz kommen.

Einmal implementiert ist man "Security aware". Dabei wird hier und da vergessen, dass es bei Informationssicherheit nicht nur um Phishing geht und auch nicht darum, die höchste beziehungsweise niedrigste Klickzahl zu erzielen, also die Mitarbeitenden zu testen, sondern darum, diese zu sensibilisieren und zu informieren.

Mitarbeitende lassen sich nicht gerne einfach so testen oder zu Handlungen überreden, deren Sinnhaftigkeit ihnen nicht verständlich erklärt wurde. Nur wenn ich als User verstehe, warum mir mehr Sicherheitsbewusstsein Nutzen bringt, bin ich auch motiviert, mein Verhalten zu ändern.

Deshalb sind Phishing-Tests vor allem sinnvoll im Rahmen einer Awareness-Kampagne als praktische Anwendung des theoretisch vermittelten Wissens. Regelmässig durchgeführt, können Phishing-Simulationen das gelernte Wissen trainieren und nachhaltig verankern. Auch bei einem schwer zu überzeugenden Management kann die Klickrate das Sicherheitsrisiko deutlich aufzeigen und als Argumentation für mehr Budget dienen.

Ein guter Plan für Security Awareness besteht nicht nur aus der Durchführung einer Phishing-Simulation, aber eine Phishing-Simulation kann durchaus Teil eines guten Plans für Security Awareness sein.

Ein guter Security Awareness-Massnahmenplan umfasst mehrere aufeinander abgestimmte Aktivitäten. Themen müssen verständlich und attraktiv verpackt, in regelmässigen Abständen angesprochen und wiederholt werden.

Wer sich regelmässig Gedanken über mögliche Schwachstellen in seinem Arbeitsalltag macht, wer lernt wie Angreifende zu denken, kann sich besser vor ihnen schützen und sogar die Security-Expertinnen und -Experten mit Hinweisen auf mögliche Szenarien unterstützen.

Der Arbeitsalltag der meisten Mitarbeitenden wird nicht von "Security" bestimmt, sondern von anderen Verantwortlichkeiten und Aufgaben entsprechend der individuellen Rolle und Position. Aber natürlich müssen alle Nutzerinnen und Nutzer ihren Beitrag leisten. Security Awareness-Massnahmen müssen also derartig gestaltet sein, dass sie sicheres Verhalten unterstützen, möglich machen und vor allem stetig dazu motivieren.

Effiziente Security Awareness hört niemals auf. Die Zielgruppen nachhaltig zu informieren bedeutet regelmässige Wiederholung der relevanten Themen – am besten eingebettet in eine Kommunikationskampagne. Einmal ist nicht genug.

Die Nutzerinnen und Nutzer werden weiterhin wichtig bleiben für die Informationssicherheit. Um das Informationsbedürfnis abzudecken, müssen Security Awareness-Initiativen noch viel professioneller und vor allem präsenter werden. Dabei ist auch zu beachten, dass das ganze Thema natürlich nicht nur innerhalb einer Organisation adressiert, sondern vielmehr als gesamtgesellschaftliches Anliegen gedacht werden muss. Hier und da sind die ersten Schritte gemacht, aber es bleibt noch ein langer Weg. (Katja Dörlemann)