Security Awareness ist längst fester Bestandteil eines IT-Sicherheitskonzepts. Doch was tun, wenn das IT-Personal zur Umsetzung fehlt?
Das Systemhaus Krämer IT Solutions legt den Bereich IT-Security vertrauensvoll in die Hände seines Partners und MSSP Network Box in Köln. Wie die Zusammenarbeit abläuft und warum davon alle Parteien nachweislich profitieren, erfahren Sie in diesem Beitrag.
Die Sachlage: Den größten Anteil bei Cyberattacken macht sowohl bei kleinen als auch großen Unternehmen neben Schadsoftware die Angriffsart Phishing in all seinen Varianten per E-Mail, QR-Code, SMS oder Social Media aus. Ein klares Zeichen dafür, dass die größten Sicherheitsrisiken durch Fehlverhalten und schwach ausgeprägtes IT-Sicherheitsbewusstsein der Mitarbeitenden entstehen. Weit über 80% aller erfolgreichen Cyber-Angriffe resultieren aus menschlichem Fehlverhalten. Hier kommt es zu Klicks, Downloads und Informationsweitergabe.
Win-Win-Win-Situation
Den meisten Organisationen ist diese Sachlage bewusst, daher wird die Nachfrage nach Security Awareness Trainings immer größer. Was einerseits erfreulich für IT-Systemhäuser ist, wäre da nicht andererseits der nicht enden wollende IT-Fachkräftemangel. Also was tun, wenn das IT-Personal fehlt, um Security Awareness Maßnahmen anzubieten? Das Systemhaus Krämer IT Solutions aus dem Saarland holte sich einen Partner ins Boot, der den Bereich IT-Sicherheit ganzheitlich übernimmt: Managed Security Service Provider Network Box aus Köln. „So können wir uns weiterhin auf unsere Kernkompetenz IT-Infrastruktur und IT-Services konzentrieren und decken gleichzeitig den Bereich IT-Security professionell ab“, erklärt Dominik Carl, Geschäftsführer der Krämer IT Solutions GmbH. Eine Win-Win-Win-Situation für Systemhaus, MSSP und Endkund:in.
Für mehr als 500 Systemhauspartner deutschlandweit bietet der IT-Sicherheitsspezialist Network Box seine Lösungen als Security as a Service an, dazu gehören neben der Managed Firewall UTM auch Managed Security Awareness Trainings. Das IT-Systemhaus entscheidet selbst, ob sie die Kundenkorrespondenz übernehmen möchten und Network Box komplett im Hintergrund agiert, oder ob der MSSP – wie bei der Zusammenarbeit mit Krämer IT Solutions – neben der Umsetzung der Security Awareness Trainings auch direkt mit dem Endkunden bzw. der Endkundin kommuniziert. „Ziel der Zusammenarbeit ist stets, unseren Systemhauspartnern Arbeit abzunehmen, damit sie trotz Fachkräftemangel ganzheitliche IT-Sicherheit anbieten können“, so Dariush Ansari, Geschäftsführer der Network Box Deutschland GmbH.
Der Ablauf
In der Umsetzung sieht das Ganze dann so aus: In Absprache mit Krämer IT Solutions führt Network Box im ersten Schritt ein Onboarding-Gespräch mit dem Kunden bzw. der Kundin, um den Ist-Zustand des Unternehmens zu erfassen. Wie ist die Unternehmenskultur, welche Arbeitsabläufe gibt es, welche Altersstruktur herrscht unter den Mitarbeitenden. Diese Analyse dient als Grundlage für die späteren Reportings zur Messbarkeit der Ergebnisse. Außerdem werden hier mögliche Bedenken und Fragen geklärt und ein Awareness-Lehrplan für das Unternehmen entwickelt. Im zweiten Schritt erfolgt die Phishing-Simulation, bei der Network Box täuschend echte Phishing-E-Mails an die Mitarbeitenden im Unternehmen versendet. Diese können aus dem Alltag bekannte Mails von Paketzustellern („Ihr Paket ist da!”) sein, aber auch E-Mails vermeintlich im Namen der Geschäftsführung an die Belegschaft (CEO-Fraud). Die Vorlagen werden aus echten Cyberangriffen nachempfunden und regelmäßig angepasst, damit sie realitätsgetreu aktuelle Gefahren aufzeigen.
Im Anschluss versendet Network Box an seine Ansprechpartner:in im Unternehmen anonymisierte oder auch abteilungsbezogene Auswertungen mit den Ergebnissen und Handlungsempfehlungen. Über eine eigens entwickelte eLearning-Plattform erhalten die Mitarbeitenden Zugang zu Schulungsvideos und interaktiven Awareness Modulen zu aktuellen Bedrohungen und Themen wie Sicherheit am Arbeitsplatz, Homeoffice Awareness, Social Engineering, Passwortschutz und anderen immer wechselnden Themen. Teilnahmezertifikate dienen als Nachweis im Rahmen der DSGVO, ISO-Zertifizierungen, ISMS oder für Cyberversicherungen. Abgerundet werden die Trainings durch Awareness-Newsletter und Materialien am Arbeitsplatz.
Messbare Erfolge
Grundvoraussetzung für die Messbarkeit der Erfolge von Awareness Trainings sind Regelmäßigkeit und Aktualität der Trainings. Denn nur so lässt sich vergleichen, ob sich die Rate der angeklickten Links und geöffneten schadhaften Anhänge oder die Teilnahmequote der eLearnings verbessert hat. Weiterhin gibt Network Box den Mitarbeitenden ein Outlook-Plugin an die Hand, mit dem sie Spam und Phishing-Mails markieren können. Steigen die Markierungen, ist das ein Beleg dafür, dass die Menschen aktiver und aufmerksamer hinterfragen. „Wenn wir über einen längeren Zeitraum sehen, dass zum Beispiel immer im Juli mehr Markierungen stattfinden, kann das darauf deuten, dass das Unternehmen in diesem Zeitraum im Fokus steht“, ergänzt Ansari. „Dann können wir vorher gezielt auf das Thema schulen.“
Allgemein ist Network Box wichtig zu vermitteln, dass Security Awareness mehr als nur Phishing-Simulationen oder eLearnings sind. Es geht darum, dass alle Mitarbeitende im Unternehmen verstehen, dass sie ein wichtiger Teil des Ganzen sind, welche Risiken entstehen, wie sie Angriffe erkennen und was sie tun müssen, wenn etwas schiefgeht. „Als Experten lesen wir zwischen den Zeilen und messen auch, wie viele Mitarbeitende sich, nachdem sie auf einen Link in einer Simulationsmail geklickt haben, an einen IT-Verantwortlichen gewendet haben“, so Ansari. „Dies zeugt von einer offenen Fehlerkultur. Ein ganz wichtiger Punkt, um die Awareness nachhaltig auf einen guten Stand zu bringen.“
Worauf achten bei Managed Security Awareness?
Ein guter Managed Security Service Provider agiert wie ein Teil des Teams und übernimmt den Bereich IT-Sicherheit eigenverantwortlich. Das gilt auch für die Managed Security Awareness Trainings. Zur Einschätzung helfen Erfahrungen und Referenzprojekte sowie Prozesse und Zertifizierungen wie TÜV-geprüfter Awareness-Beauftragter oder ISO27001. „Für uns ist es wichtig, dass wir ein gesundes Vertrauensverhältnis zu unserem Partner haben“, ergänzt Dominik Carl. „Grundlage sollte für uns immer eine faire, unkomplizierte Zusammenarbeit auf Augenhöhe sein.