Pro und Contra Security Awareness (Teil 4/4)

Im abschließenden Teil lassen wir auch die Kritiker von Security-Awareness-Schulungen zu Wort kommen, die die dafür notwendigen Gelder lieber in eine sichere Software-Entwicklung, bessere Security-Schnittstellen und eine gute Nachsorge stecken würden. Haben die am Ende Recht? Ist der IT-Anwender tatsächlich die letzte wirksame Verteidigungslinie?

In den letzten drei Folgen unserer kleinen Serie zum Thema Security Awareness haben wir uns unter anderem mit den Themen „Was ist #SecAware überhaupt?“, „Wie wird sie am besten vermittelt?“ und „Welche Rolle spielt der Chef bei all dem?“ Und sind dabei stets von der Prämisse ausgegangen, dass Security-Awareness-Schulungen erstens überaus nützlich und deshalb zweitens unabdingbar sind. Nun wollen wir aber auch nicht verhehlen, dass es da durchaus auch kritische Stimmen zu dem Thema gibt. 

Anzeige

Durch Datendiebstahl oder Sabotage entstand der deutschen Wirtschaft 2018 ein Schaden von 102,9 Milliarden Euro, berichtete unlängst der Digitalverband Bitkom; das ist fast doppelt so viel wie noch 2017. Umfang und Qualität der Angriffe auf Unternehmen habe dramatisch zugenommen, erklärte Bitkom-Präsident Achim Berg; etwa 70 Prozent der befragten deutschen Unternehmen seien in den beiden vergangenen Jahren von digitalen oder analogen Attacken betroffen gewesen. Bei jedem fünften Unternehmen erbeuteten die Angreifer sogar sensible Daten.

Für die einen ist das ein sicheres Indiz dafür, dass die Anstrengungen bei der Security-Awareness-Schulung noch immer nicht ausreichen und verstärkt werden müssen. Für andere wiederum ist das der beste Beweis dafür, dass die Stärkung des Sicherheitsbewusstseins der Mitarbeiter zwecklos sei und man stattdessen besser in sichere Security-Software und in bessere Security-Schnittstellen investieren solle. Besonders gern zitiert wird in diesem Zusammenhang der US-amerikanische Sicherheitsexperte Bruce Schneier, auf den sich die meisten Kritiker der SecAware-Schulungen beziehen

Security Awareness Training ist Zeitverschwendung

“I personally believe that training users in security is generally a waste of time, and that the money can be spent better elsewhere.” – schrieb Bruce Schneier im März 2013 in seinem Blog. Ein bis heute viel zitierter Artikel, der zeitgleich auch auf der Plattform darkreading.com veröffentlicht wurde und seitdem immer wieder angeführt wird. Seine zentrale These: „We should be designing systems that won’t let users choose lousy passwords and don’t care what links a user clicks on.“ – eine ausgereifte und sichere Software soll menschliche Fehler von vornherein unmöglich machen. Eine These, die er drei Jahre später in seinem Artikel „Security Design: Stop Trying to Fix the User” noch einmal wiederholt: „The problem isn’t the users: it’s that we’ve designed our computer systems’ security so badly that we demand the user do all of these counterintuitive things.“ Nutzbare Sicherheit bedeute nicht, „Menschen dazu zu bringen, etwas zu tun, was wir wollen“, sondern vielmehr „eine Sicherheit zu schaffen, die funktioniert trotz dem, was Menschen tun.“ Einem Kollegen gegenüber präzisierte er später, dass es nicht seine Absicht gewesen sei zu sagen, dass man Menschen nicht schulen solle, sondern vielmehr, dass die Technik so perfektioniert werden müsse, dass eine Schulung überflüssig werde. Schon im ursprünglichen Blog schrieb er aber auch (bezugnehmend auf die „Folk Models of Home Computer Security“ von Rick Wash): „This points to a possible way that computer security training can succeed. We should stop trying to teach expertise, pick a few simple metaphors of security, and train people to make decisions using those metaphors.”

Anzeige

Allerdings hält Bruce Schneier – der übrigens als „Chief Security Technology Officer“ bei BT Managed Security Solutions arbeitet, ein Unternehmen, das Security-Software für IT-Netzwerke verkauft – Menschen in vielen Situationen grundsätzlich für unbelehrbar. Zum Beleg führt er mehrere Beispiele an, wie etwa die Gesundheitsvorsorge oder die Hygiene. Wir alle wüssten, dass wir uns gesund ernähren, viel bewegen und oft die Hände waschen sollten, würden es aber nicht tun; zum einen, weil die Konsequenzen daraus nicht unmittelbar seien, zum anderen, weil der schnelle Lustgewinn (z.B. Chips essen auf dem Sofa vor dem Fernseher) unmittelbare Befriedigung versprechen und langfristige Überlegungen da hintenan stünden.

Und das ließe sich auch auf die Security-Awareness-Schulungen übertragen: Mitarbeiter sehen den unmittelbaren Nutzen nicht, sind auch technisch gar nicht ausgebildet, um sich mit Security-Maßnahmen sinnvoll beschäftigen zu können und würden sich daher auch nicht dafür zuständig fühlen.

Die Sache mit der Handlungsmotivation

Nun, in einem haben Schneier und die anderen Kritiker der Security-Awareness-Schulungen recht: Es ist nicht leicht, Mitarbeiter zu motivieren, etwas zu tun, von dem sie nicht überzeugt sind. Wie Sie bereits im letzten Teil der Serie dazu gelesen haben: „Der Mensch an sich ist nun mal ein bequemes Wesen, das in erster Linie nicht das macht, was man ihm sagt, sondern das, was ihm persönlich a) am meisten nützt und b) am wenigsten Anstrengungen bereitet“. So weit, so richtig. Aber trotzdem irrt sich Schneier: Es bedeutet nämlich nicht, dass es völlig unmöglich ist, sondern nur, dass es besonderer Anstrengungen bedarf. Mit einer Gießkannen-Folien-Frontal-Schulung wird man da sicherlich niemanden begeistern können; wer die Mitarbeiter aber mitnimmt, sie zum Teil der Unternehmenskultur macht und ihnen zeigt, dass das Gelernte auch in ihrem privaten Bereich von Belang sein kann, der wird keine Probleme haben, die Security Awareness nachhaltig zu verankern. Um auf Schneiers Beispiel mit der Gesundheitsvorsorge zurückzukommen: Auch hier wird die von ihm angesprochene Trägheit bereits durchbrochen. Beispiel Zahnvorsorge: Niemand geht gerne zum Zahnarzt. Wer es aber trotzdem mindestens einmal im Jahr macht, bekommt beim teuren Zahnersatz höhere Zuschüsse – weshalb sich die meisten dann doch bequemen, auch wenn die Konsequenzen nicht unmittelbar sind. Inzwischen bieten viele Krankenkassen auch Boni bei nachgewiesener Mitgliedschaft in einem Sportverein oder bei Teilnahme an Vorsorgeuntersuchungen an. Und schließlich haben auch die Nichtraucher-Kampagnen der Regierungen der Länder deutliche Erfolge verzeichnen können. Verhaltensmuster lassen sich also sehr wohl durchbrechen, wenn der Ansatz und der Anreiz stimmen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Alles eine Frage der Technik?

Der Wunsch, die Sicherheitssysteme in Unternehmen so auszulegen, dass die Nutzer gar nicht mehr zum Sicherheitsrisiko werden können – eben, weil ihnen alle sicherheitsrelevanten bzw. risikobehafteten Aktionen verwehrt sind – wird wohl auf ewig ein frommer Wunsch bleiben, da er aus gleich mehreren Gründen scheitert.

Wie Bruce Schneier selbst ganz richtig schreibt: „The threats change constantly“ – die Bedrohungen ändern sich ständig. Die Erfahrung hat gezeigt, dass bisher noch jedes System, jede Sicherheitsmaßnahme früher oder später (meist früher) wieder ausgehebelt wird; den ewigen Wettlauf zwischen IT und Hackern kann die IT nicht gewinnen. „Die Freizeithacker von früher haben sich zu gut ausgerüsteten und technologisch oft sehr versierten Cyberbanden weiterentwickelt – zuweilen mit Staatsressourcen im Rücken“ schreibt der Digitalverband Bitkom. Beispiele dafür finden sich in anderen Bereichen: So galt der Kopierschutz von Denuvo bei Videospielen lange Zeit als absolut sicher; im August 2019 dann wurde der Denuvo-Schutz des Spiels „Wolfenstein: Youngblood“ bereits 21 Tage nach Release geknackt.

Des Weiteren kann selbst eine (theoretisch) perfekte Technik Menschen nicht davon abhalten, zum Sicherheitsrisiko zu werden. Am Firmeneingang installierte ausgereifte Sicherheitssysteme nutzen wenig, wenn arglose Mitarbeiter Unternehmensfremden Einlass gewähren („Tailgating“), die beste Firewall ist machtlos, wenn Angestellte auf eine Mail oder einen Anruf des vermeintlichen Chefs Geheimnisse preisgeben oder Geld überweisen („Fake President“, siehe auch fortgeschrittene Deep Fakes mittels KI – und dass Social Engineering-Attacken mehr und mehr auch im privaten Bereich der Mitarbeiter stattfinden, um so durch die Hintertür ins Unternehmen zu kommen, kann die ausgereifteste Firmen-IT nicht verhindern. Und spätestens beim Innentäter, der die IT aus dem Unternehmen heraus attackiert wird die Technik weitestgehend die Segel streichen müssen. Das kommt nicht vor? Doch – 33 Prozent der von Bitkom befragten Unternehmen sagte aus, dass sie von ehemaligen Mitarbeitern geschädigt wurden.

Heißt: Entweder die Technik kommt der Bedrohungslage nicht nach – dann ist der Nutzer tatsächlich die letzte Verteidigungslinie – oder der Nutzer wird aus Unwissenheit zum Sicherheitsrisiko, ohne dass die Technik eingreifen kann. In beiden Fällen ist eine auf Nachhaltigkeit angelegte und langfristige Schulung die einzige Möglichkeit, dem wirkungsvoll zu begegnen.

Weitere Argumente gegen Security-Awareness-Schulungen

Natürlich ist Bruce Schneier nicht der einzige Kritiker von Security-Awareness-Schulungen, doch zumindest einer, auf den sich viele andere beziehen. Doch es finden sich im Netz auch andere Argumente gegen SecAware-Trainings:

  • Der Erfolg derartiger Schulungen ist nicht messbar

Das ist grundsätzlich richtig: Es lässt sich schwer mit Zahlen belegen, wie viele Nutzer denn nun nach einer Schulung keine infizierten Email-Anhänge mehr geöffnet haben. Bzw. ob der Rückgang der Attacken über infizierte Anhänge wirklich auf die Schulungen zurückzuführen ist oder andere Ursachen hat. Allerdings könnte man mit demselben Argument auch die Verkehrserziehung von Vorschulkindern ad acta legen.

  • Schulungen kosten wertvolle Arbeitszeit

Auch das ist möglich, vor allem, wenn die Schulungen extern abgehalten werden. Es gibt inzwischen aber auch Online-Schulungen, die zeit- und ortsunabhängig abgehalten werden.

  • Zwangsmaßnahmen führen immer zur Ablehnung und sind deshalb erfolglos

Stimmt – werden Mitarbeiter gezwungen, an SecAware-Veranstaltungen teilzunehmen, wo sie sich mit einer ihnen völlig fremden und unverständlichen Materie beschäftigen müssen, ist die Erfolgsquote gering. Hier bedarf es umfassender Aufklärung schon im Vorfeld, um Verständnis zu wecken.

Fazit

Selbst bei einer perfekten Technologie wird der Nutzer das schwächste Glied in der Sicherheitskette bleiben, den man nicht einfach aus der Rechnung herausdividieren kann. Solange Menschen in Unternehmen arbeiten, kann man diese beeinflussen. Und man kann nur versuchen, diesen Menschen ein Verständnis der Angriffsmethoden und ein (gesundes) Misstrauen mitzugeben.

Dass man sie mit kurzfristigen, unvorbereiteten Schulungsmaßnahmen, die nicht auf sie speziell zugeschnitten sind, nicht erreichen kann, ist unbestritten. Nicht nur die Technik, sondern auch die Security Awareness-Trainings müssen sich ständig den veränderten Gegebenheiten anpassen, sich bemühen, die Mitarbeiter aus der „Das geht mich alles nichts an“-Komfortzone zu holen und im aktiven Dialog glaubhaft vermitteln, dass jeder Einzelne ein wichtiger Teil der Sicherheitskultur seines Unternehmens ist – nur dann kann das was werden. Dann werden derart geschulte Mitarbeiter zu einem Sicherheitsmechanismus, der verdächtige Vorfälle, Angriffe und Hacks zuverlässiger meldet als jede präventiv arbeitende Technologie. Wie schrieb Bruce Schneier bereits 2007: „The key difference is expertise. People trained to be alert for something hinky will do much better than any profiler, but people who have no idea what to look for will do no better than random.” 

Lesen Sie auch die anderen Beiträge dieser Serie:

Teil 1: Security Awareness: Definition und Bedeutung

Teil 2: Methoden der Security Awareness Vermittlung

Teil 3: Führungskräfte und Security Awareness

Teil 4: Pro und Contra Security Awareness 


Die SKYTALE Online-Akademie für IT-Sicherheit bietet staatlich zugelassene Online-Kurse für IT-Sicherheit und Datensicherheit – als zertifiziertes Fernstudium sowie als eLearning.

Das Kursangebot umfasst zertifizierte Weiterbildungen für IT-Experten sowie Fortbildungen für Mitarbeiter und Führungskräfte.

Die Online-Schulungen zur IT-Sicherheit werden auf einer Lernplattform sowie als App zur Verfügung gestellt und sind als nebenberufliches Studium oder in Vollzeit möglich.

https://skytale.academy


 

Max

Ziegler

Akademieleiter & Dozent

Skytale | Online Academy for IT-Security

Max Ziegler verfügt über langjährige Erfahrung bei der Durchführung von Sicherheits-Überprüfungen, Pen-Tests und Audits sowie der Konzeption und Beratung im Bereich IT- und Informationssicherheit.Dieses umfangreiche Fachwissen hat er bereits als Trainer in Security-Kursen und als Dozent an mehreren deutschen Hochschulen mit Begeisterung mit anderen geteilt.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.