Das folgende «Cyber-Security-Awareness-Bingo» ist eine fiktive Sammlung von Aussagen verschiedenster Sicherheitsexpert*innen, IT-Verantwortlichen und CI(S)Os. Dies ist weder eine Anschuldigung noch Anklage, sondern eine Hilfestellung für Verantwortliche, um die Mitarbeitenden und den Menschen an sich wertzuschätzen sowie in das Sicherheitsdispositiv zu integrieren.
«Das habe ich denen schon zweimal erklärt.»: Tatsächlich fällt der Satz, dass Verhaltensweise X oder Thema Y schon mehrfach erklärt wurde, in Unternehmen öfters. Zweifel kommen auf, ob die bisherigen zwei Newsletter überhaupt gelesen wurden. Die Krux: Selbst, wenn der Lerninhalt verständlich vermittelt wurde, bewirkt dies nicht automatisch eine Verhaltensänderung bei den Mitarbeitenden.
«Klar haben wir einen Passwort-Manager. Den kann sich jeder selbst downloaden.»: Bei Awareness-Kampagnen wird ein wichtiger Schritt oft vernachlässigt, denn hierzu gehören nicht nur Massnahmen, welche die Mitarbeitenden direkt betreffen, sondern auch technische Vorkehrungen. Passwort-Manager müssen zur Verfügung gestellt, auf den Endgeräten installiert und der Umgang in einer Schulung geübt werden. Wichtig ist, dass die Schulung nicht auf eine reine Wissensvermittlung abzielt, sondern die Teilnehmenden einen Grossteil ihrer Passwörter gleich ändern und in den Passwort-Manager einpflegen.
«Die klicken doch eh – immer!»: Unbestritten wird die Phishing-Klickrate, resp. die Rate an schädlichen Aktivitäten, bei Phishing-Simulationen und realen Phishings nicht dauerhaft bei 0.00 % liegen. Da eine Risikoeliminierung technisch nicht möglich ist, muss das Risiko eines erfolgreichen Phishing-Angriffs mit zusätzlichen flankierenden Massnahmen vermindert werden. Somit ist die genannte Aussage nicht falsch, vermutlich aber die Motivation dahinter.
«Awareness, was bringt das denn?»: Die simple Antwort darauf ist eine Verminderung des Risikos von Informationssicherheits-nonkonformem Handeln. Es gibt nicht wenige Personen, welche den Sinn von Awareness-Massnahmen in Frage stellen. Daraus können jedoch durchaus spannende Diskussionen mit wertvollen Inputs entstehen, bei denen weitere Aspekte der Awareness zum Vorschein kommen, z.B. der Meldeprozess, die Akzeptanz gegenüber technischen Massnahmen wie MFA, die interne Position der Cyber-Security-Abteilung und der private Nutzen des Themas.
«Schulung fürs private Umfeld? Wir wollen eine Schulung fürs Geschäftliche!»: Private Handlungen und Angewohnheiten werden auf den Berufsalltag übertragen. Beim Versuch, den Fokus von Awareness-Schulungen auf die private Nutzung zu setzen, wird oft mit der genannten Aussage gegengehalten. Die Praxis zeigt jedoch, dass ausserberufliche Themen bei Schulungen einen auffallend hohen Lerneffekt erzielen. Zum einen überschneiden sich viele Aspekte ohnehin, zum anderen können Verhaltensweisen einfach vom privaten auf das geschäftliche Umfeld übertragen werden.
«Das ist doch offensichtlich ein Phishing!»: Beim Skizzieren eines Szenarios für eine Phishing-Simulation möchte das Gegenüber meist einen hohen Schwierigkeitsgrad. Wieso? Wer sich mehrere Minuten mit der E-Mail befasst, erkennt die Indizien wie eine falsche Absenderadresse leicht. Im Alltag fehlt dafür jedoch oft die Zeit und Indizien werden übersehen. Daher sind Phishing-Simulationen wertvoll, da in einer Testsituation nach Fehlern gesucht und die E-Mail im Alltag bearbeitet wird.
«Vorfälle melden? Klar, einfach eine E-Mail schreiben an EINEVIELZULANGEUNDKOMPLIZIERTEEMAIL@COMPANY.COM»: Vielleicht ist diese Aussage etwas gar plakativ, aber hier geht es erneut um technische Massnahmen. Es muss kinderleicht sein, vermutete Phishing-E-Mails – am besten via Button – und effektive Vorfälle an eine einfach zu merkende E-Mail-Adresse UND via Telefon melden zu können. Letzteres ist für den Worst Case im Falle, dass die E-Mail-Infrastruktur nicht verfügbar und/oder kompromittiert ist.
Autor: Daniel Keller, Cyber Security Consultant, InfoGuard AG
Über InfoGuardDie InfoGuard AG ist spezialisiert auf umfassende Cyber Security. Zu den Kompetenzen zählen massgeschneiderte Dienstleistungen im Bereich der Sicherheitsberatung und Security Audits sowie in der Architektur und Integration führender Netzwerk- und Security-Lösungen. Cloud-, Managed- und SOC-Services erbringt der Schweizer Cyber-Security-Experte aus dem ISO 27001 zertifizierten und ISAE 3000 Typ 2 überprüften InfoGuard Cyber Defence Center in der Schweiz. InfoGuard hat ihren Hauptsitz in Baar / Zug und Niederlassungen in Bern, München und Wien. Ihre 200 Sicherheitsexpert*innen sorgen tagtäglich für die Cyber Security bei über 400 Kunden in der Schweiz, Deutschland und Österreich. InfoGuard ist ISO/IEC 27001:2013 zertifiziert, Mitglied bei FIRST (Global Forum of Incident Response and Security Teams) und BSI-qualifizierter APT-Response-Dienstleister in Deutschland.
https://www.infoguard.ch