Security Awareness: Das Patentrezept
Man nehme eine Prise Motivation, Zwei Löffel Schulung und eine gute Portion Einbindung
Sie verstehen das Rezept nicht? Weil es kein echtes Patentrezept gibt. Es gibt aber sehr wohl einige wertvolle Hinweise und Anregungen. Um nachhaltig die Sensibilität Ihrer Anwender zu erhöhen, bedarf es mehrerer Stufen.
Wie diese Stufen umgesetzt werden hängt maßgeblich von der Zielgruppe ab. Die Kultur des Unternehmens, die Unternehmensgröße und natürlich auch das verfügbare Budget stellen hier die wesentlichen Eckpfeiler.
Zutat 1: Motivation schaffen
In einem mittelständischen Betrieb aus dem Bereich Maschinenbau wäre hier beispielsweise folgendes Szenario denkbar: Während der Mittagspause wird ein schwerer Tresor auf einem Hubwagen durch die Kantine transportiert. Tags darauf wird per Plakat oder Rundmail auf den Diebstahl eines Tresors hingewiesen. Bei diesem Szenario ist der Vorteil, dass ein sehr großer Teil der Belegschaft betroffen ist: Alle haben gesehen wie der Tresor entwendet wurde.
In einem Unternehmen mit vorwiegend „Schreibtisch-Tätern“ könnten fingierte E-Mails mit eingebautem Click-Counter verwendet werden, um die Betroffenheit möglichst weit zu ziehen. Im Nachgang könnte dann eine Statistik veröffentlicht werden: Wir haben 500 E-Mails versendet und 60 mal wurde geklickt.
Eine der erfolgreichsten Methoden in dieser Phase ist nach meiner Erfahrung übrigens das Live Hacking (Sie wissen nicht was das ist? Sprechen Sie mich an. Ich werde sicher auch dazu bald einen Blog Eintrag verfassen). Hier werden konkrete Angriffe live vorgeführt und die Anwender können erkennen, was überhaupt ein Trojaner ist und wie er funktioniert.
So schafft man Betroffenheit bei einem Großteil der Belegschaft und sorgt für die notwendige Erkenntnis und damit Motivation.
Zutat 2: Schulung
Auch in diesem Bereich bieten sich verschiedene Möglichkeiten an. Von der klassischen Frontalschulung über e-Learnings und Workshops. Warum aber nicht mal aus dem Schema ausbrechen und die Belegschaft mit kurzweiligen Videos schulen? Wie immer ist auch hierbei die Unternehmenskultur und das Budget eine wesentliche Kenngröße.
Wenn sich Ihre Organisation mit dem Thema Change Management beschäftigt, können Sie aus diesem Bereich sicher auch einige interessante Anregungen erhalten. Es geht schließlich darum, die Mitarbeiter zum „Umdenken“ zu bewegen.
Zutat 3: Einbindung
Danach ist es natürlich wichtig, die Mitarbeiter bei der Stange zu halten. Das funktioniert mit regelmäßigen E-Mails eher nicht besonders gut. Diese eignen sich zwar um vor aktuellen Bedrohungen zu warnen (bspw. Crypto-Trojaner etc.). Besser ist es aber echte Anreize zu schaffen:
- Plakatwettbewerbe
- Incentives für den besten Security-Vorschlag bereitstellen
- interne Hacker-Challenges
- „Finde den Spion“
- etc.
Gamification ist dabei ein erfolgreiches Instrument. Dazu gibt es beispielsweise hier viele verschiedene Anregungen.
Fazit
Wenn Ihre Mitarbeiter einen Tick sensibler sind und eben nicht sofort auf jeden Link klicken, sondern Betriebsfremde ohne Ausweis ansprechen und aktiv an der Steigerung des Sicherheitsniveaus mitwirken, dann haben Sie und Ihr Unternehmen einen echten Vorsprung in Sachen Informationssicherheit. Aber das Versprechen aus der Überschrift: „Security Awareness: Das Patentrezept“ kann ich leider nicht pauschal abgeben, denn: Jede Organisation hat andere Ansprüche und Voraussetzungen…
Interessanter Artikel.
Bin aber der Meinung, mit der „internen Hacker Challange“ mehr Schaden als Nutzen bringt wird.
Ich denke da an Script Kiddies, welche einfach gefundene Tools ausprobieren und mit DoS oder ähnliches ein halben Betrieb lahm legen.
Hallo Carlos,
das ist natürlich richtig. Ich habe das leider mißverständlich formuliert.
Natürlich wäre es fatal eigene Mitarbeiter zum „Hacken“ der Firmeninfrastruktur aufzufordern.
Gemeint ist damit eher eine spielerische Form, etwa in der Art wie man sie von „Capture The Flag“ Spielen kennt. Natürlich auch auf dedizierten Systemen.
Hinzu kommt auch, dass dies zum Unternehmen passen muss.