10 Phasen der organisatorischen Security Awareness

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem die OECD hatte von Awareness für Risiken im Zusammenhang von Informationssystemen 1992 in seinen Guidelines für the Security of Information Systems gesprochen. Nach mehr als 10 Jahren Erfahrung bei der Bereitstellung von Schulungsmaterialien für Security Awareness und durch das Feedback von zehntausenden Kunden über unsere Plattform haben wir im Laufe der Zeit einen gewissen Fortschritt bei der organisatorischen Security Awareness beobachtet.

Die Geschwindigkeit dieses Fortschritts ist je nach Größte der Organisation, Ort und Branche unterschiedlich, aber es lassen sich ähnliche Muster feststellen. In bestimmten Fällen werden einige Schritte ausgelassen. In anderen Fällen werden dafür ein paar Schritte gleichzeitig unternommen. Letztendlich steht am Ende für die meisten Organisationen das gleiche Szenario. Die organisatorische Security Awareness lässt sich in 10 Phasen unterteilen und anhand de

1) Erhöhtes technisches Bewusstsein für Informationssicherheits- und IT-Experten

Informationssicherheits- und IT-Experten gehören zu den ersten Betroffenen. Infizierte Workstations und Ransomware-Angriffe machen ihnen das Leben schwer. Viele dieser Fachleute sehen die Notwendigkeit in der Vermittlung von Security Awareness, werden aber manchmal durch die nicht praktikable, altmodische Praxis entmutigt, Benutzer durch 15-minütige, auf Compliance ausgerichtete Schulungen zu schicken. Darüber hinaus verstehen diese Fachleute die Risiken, wenn man sich nur auf IT-gestützte IT-Sicherheit verlässt.

2) Bereitstellung von Awareness-Inhalten für Endanwender

Zu den ersten Maßnahmen gehören vor allem PowerPoint-Präsentationen in abgedunkelten Schulungsräumen. Die Ergebnisse dieser Art von Wissenstransfer ist in aller Regel wenig zielführend, wird aber als erster wichtiger Schritt angesehen, um zumindest ein paar Grundlagen zu schaffen.

3) Plattform-Automatisierung ermöglicht Compliance-Anforderungen

Die Automatisierung der Prozesse zur Bereitstellung von Schulungen durch ein (internes oder externes) Learning Management System (LMS) ist ein zweiter Schritt und markiert die dritte Phase. Compliance-Anforderungen lassen sich dadurch leichter erfüllen. Dies hängt stark von der Größe der Organisation ab; größere Unternehmen haben ein On-Premise- oder Cloud-basiertes LMS, das für allgemeine Schulungszwecke verwendet wird.

4) Kontinuierliches Testen

Diese Phase zeigt eine deutliche Verschiebung in Richtung des „Zero Trust“-Modells. Mitarbeiter werden nach der Schulung häufig getestet, um sicherzustellen, dass das erworbene Wissen tatsächlich haften geblieben ist.

5) Unterstützung durch Technologie

In dieser Phase werden „Phish-Alarm-Buttons“ in den E-Mail-Clients der Endbenutzer bereitgestellt, damit diese alle Phishing-E-Mails an das Incident Response-Team oder das SOC melden können, die dann wiederum Gegenmaßnahmen ergreifen können. Technologie zur Unterstützung der Mitarbeiter dient in diesem Fall als Werkzeug, nur wer es richtig bedienen kann, kann es auch nutzen. Auch hierfür ist eine Schulung notwendig und die Mitarbeiter müssen ihre Erfahrung im Umgang machen, um es richtig einsetzen zu können. Am Ende aber muss immer der Mensch selbst entscheiden, die Technologie nimmt ihm das nicht ab.

6) Sicherheits-Orchestrierung

In der nächsten Phase werden diese gemeldeten E-Mails in einen Sicherheits-„Workstream“ integriert, der schnell das Risikoniveau bewertet. Im Falle einer Bedrohung kann dann automatisiert in den Posteingang aller Benutzer eingegriffen werden, um bösartige Nachrichten unschädlich zu machen, bevor weiterer Schaden entsteht.

7) Fortschrittliches Management des Benutzerverhaltens

Mit detaillierten Risiko-Metriken sowohl über einzelne Benutzer als auch über Benutzergruppen können Unternehmen nun maßgeschneiderte Kampagnen erstellen, die auf beobachtetem Risikoverhalten basieren. Ein Beispiel dafür ist das Scannen des Dark Web nach gekaperten Anmeldedaten. Darüber hinaus wird in dieser Phase auf falsches Passwortverhalten hingewiesen und individuelle Trainingsmodule an identifizierte Hochrisiko-Mitarbeiter versendet.

8) Adaptive Lernerfahrung

Die nächste Phase besteht darin, dass der Endbenutzer eine lokalisierte Benutzeroberfläche erhält, auf der er seinen individuellen Risiko-Score sehen, Auszeichnungen erhalten und an Schulungen teilnehmen kann. In dieser Phase ermöglichen fortschrittliche Metriken auch ML- und KI-gesteuerte Kampagnen, bei denen jeder Benutzer ein hochgradig individualisiertes Security Awareness-Training erhält.

9) Aktive Beteiligung des Mitarbeiters an der Gesamtsicherheitslage

Hier wird sich der Benutzer seiner Rolle in der Verteidigung seines Unternehmens bewusst und entscheidet sich aktiv für zusätzliche Schulungen, um seinen Risiko-Score zu reduzieren. Mitarbeiter nehmen an Security Awareness-Kampagnen teil und werden zu einem lokalen Awareness-Champion. Am Ende steht die Erkenntnis, dass man selbst zum Endpunkt geworden ist.

10) Der Mitarbeiter als menschliche Firewall

Jeder Mitarbeiter ist sich der Risiken im Zusammenhang mit der Cybersicherheit ausreichend bewusst und trifft jeden Tag intelligente Sicherheitsentscheidungen, die auf einem klaren Verständnis dieser Risiken basieren. Die aktuelle Work From Home-Situation hat die Notwendigkeit dieses Ziel bei möglichst vielen Mitarbeitern zu erreichen, deutlich beschleunigt.

Mehr über Security Awareness erfahren Sie hier: https://blog.knowbe4.com

Pressekontakt

Kafka Kommunikation GmbH & Co. KG

Dr. Bastian Hallbauer-Beutler
Ursula Kafka
Mark Geiger
Malte Redlin
Lukas Reck

Telefon: 089 747470580
E-Mail: KnowBe4@Kafka-kommunikation.de

Zurück