Menü
IT Sicherheit ist ein Weg, kein Ziel!

Security Awareness

Status Quo


IT Sicherheit besteht aus unterschiedlichen Komponenten. Neben Software und Hardware ist es auch der Mensch beziehungsweise Mitarbeiter, der eine wichtige Funktion einnehmen soll. Denn für manche Bedrohungen, wie ein Telefonanrufer, der versucht, vertrauliche oder betriebsintern Daten zu erschleichen, kann eine Software (noch) nicht helfen.

Hier ist es der Mensch, der einen Betrugsversuch erkennen muss und abwehren. Aber es sind nicht nur Anrufe, sondern diverse Arten der Kommunikation, die Cyberkriminelle als Eintrittstür missbrauchen. Ebenso beliebt sind E-Mails, die eine Situation vorgaukeln, die einen dringenden Handlungsbedarf erfordern und so dem Eindringling Tür und Tor öffnen.

Lösungsweg

Als probates Mittel um Mitarbeiter bzgl. Cyberkriminalität zu sensibilisieren, werden Security Awareness Aktivitäten empfohlen, die den Mitarbeiter befähigen sollen, IT Bedrohungen zu erkennen.
Security Awareness für MenschenIm Ansatz eine gute Idee und durchaus zielführend! Jedoch bleibt die Wirksamkeit mitunter auf der Strecke und man muss sich fragen, ob an der Behauptung „Security Awareness ist Zeitverschwendung“   etwas dran ist. Denn oft werden die Maßnahmen zur Mitarbeiter-Sensibilisierung per Gießkannenprinzip ausgebracht, ohne auf individuelle Bedürfnisse Rücksicht zu nehmen. Dabei ist eine Ausrichtung am Wissensstand der Mitarbeiter ebenso wichtig, wie auch eine Berücksichtigung des Geschäftsmodelles des Unternehmens.

Der Bedrohungsfaktor ist variabel – die Maßnahmen zur Mitarbeiter-Sensibilisierung sollten es ebenso sein. 0815-Kampagnen, die beispielsweise mit bunten Flyer für Security Awareness (SecAware) werben, mit „kreativen“ Give-Aways (Tasse, Aufkleber, Schlüsselanhänger etc.) die Erinnerung daran wachhalten unterstützt von einer schriftlichen Willensbekundung der Security-Beauftragten sind nicht mehr unbedingt zeitgemäß.

SecAware muss die Mitarbeiter ansprechen und die gelingt nur, wenn:

  1. Die Kommunikation in einer verständlichen Sprache erfolgt (Kein Experten-Chinesisch)
  2. Wohldosiert und zielführen ist (Keine Überhäufung)
  3. Praxisnah ausgerichtet ist (Beispiele aus dem eigenen Umfeld bringen)
  4. Die Personen direkt mit einbezogen werden (Spaßig, unterhaltsam, neugierig machend!)
  5. Wenn der Hintergrund dargestellt wird, weshalb die Mitarbeiter unterstützen sollen

Erfolgreicher wird das Ganze, wenn man dem Mitarbeiter vermittelt, dass er als Privatperson ebenso vom erlernten profitieren kann. Denn Identitätsdiebstahl, Online-Betrugsversuche und andere Cyberdelikte bedrohen auch ihn, als Privatmensch.

Mehrwert

Was ist nun aber die optimale Security Awareness Schulung? Auf jeden Fall ein durchdachtes Konzept und keine Maßnahme von der Stange. Dies beginnt mit der Auswahl des geeigneten Trainers, geht über visuelle Motive und PR-Maßnahmen bis hin zur Background-Informationen (Weshalb Security Awareness?) und der Festlegung von Themenfeldern, bei denen der Mitarbeiter unterstützen muss. Denn Bedrohungen wie beispielsweise ein Hacker-Angriff oder ein DDOS-Angriff liegt üblicherweise außerhalb der Kompetent eines einzelnen Mitarbeiters. Hier greift die Security-Abteilung mit Ihrem Fachwissen und technischem Equipment.

Jetzt agieren

Angriffe auf die Struktur der Informationstechnik (IT) werden zunehmen. Eine funktionierende Umsetzung von SecAware-Maßnahmen sind daher zwingend erforderlichen! Heute mehr denn je!

Lesen Sie beispielsweise bei Security Insider mit, um sich mit aktuellen Informationen zur Bedrohungslage zu versorgen und mit praxisnahen Ratschlägen, wie Sie Ihre Security Awareness verbessern können und wo für Sie Handlungsbedarf besteht. Den SecAware ist ebenso wie die IT selbst, ein höchst dynamische Thema.