Security Awareness stand lange Zeit im Schatten anderer eher technischer Themen, dabei sind Phishing-E-Mails seit Jahren eine der wichtigsten Hacking-Methoden und zielen auf Menschen ab, nicht auf die Technik um ihn herum. In den letzten Jahren hat sich dieses Nischen-Dasein in der Nische Cybersecurity jedoch grundlegend verändert.
Genauso wie IT-Sicherheit sich aus der Nische der IT in das Rampenlicht gearbeitet hat, hat sich auch die Security Awareness aus der Nische der Profession ins vorderste Glied der IT-Sicherheitsstrategie entwickelt. Oft sah die Schulung jedoch eine rasche Umsetzung des gelernten vor, das funktionierte jedoch oft nicht, weil die Geschulten nicht verstanden hatten, worauf sie achten sollten oder aber kein Feedback mehr erhielten. Vergleichen lässt sich dies mit dem Führerschein, wer Autofahren will, muss auch eine theoretische und praktische Prüfung bestehen, die so vergleichbar ist, dass die Anzahl der Unfälle und Probleme im Straßenverkehr reduziert wurde.
Unternehmen verstanden Security Awareness zumeist als Teil der Compliance und als Anforderung, die sich mit dem Arbeitsschutz vergleichen ließen: Eine lästige Pflicht, die es nachzuweisen galt, die jedoch keine besondere Anstrengung bedarf. Die Anzahl der Cyberattacken und die Vielzahl der betroffenen Organisationen veränderten diese Haltung jedoch. Die Gefahr eines Ausfalls wichtiger IT-Services und die Androhung von Strafen durch den Verlust von Daten via DSGVO haben das Thema IT-Sicherheit auf die Geschäftsführungsebene gehoben. Security Awareness als ausdrücklich nicht technisch beladenes Thema, eignet sich besonders gut allen Mitarbeitern eines Unternehmens die Besonderheiten eines Cyberangriffs zu vermitteln, so auch der Geschäftsleitung. Budgets wurden erhöht, Trainer intern oder extern gesucht und engagiert. Erste Schulungen wurden Abteilungsübergreifend eingeführt und regelmäßig mit Anreizen durchgeführt. Die Inhalte wurden immer professioneller. Dennoch fehlte es, denn zielgenaue Inhalte und erste Phishing-Tests wurden in der Regel von IT-Fachleuten zusammengestellt, was vielfach für Überforderung sorgte.
In den letzten fünf Jahren, haben sich die Trainings, vor allem in Bezug auf die theoretischen und praktischen Grundlagen deutlich modernisiert und wurden effektiver. Darüber hinaus wurde verstanden, dass die Inhalte nicht technischer Natur sein müssen, um auch wirklich alle Mitarbeiter zu erreichen. Die Intensität und die Schulung per Frontalunterricht haben sich zu interaktiveren Seminaren in kleineren Gruppen entwickelt, ähnlich von Fortbildungsmaßnahmen. Gründe dafür sind die bessere wissenschaftliche Erfassung von menschlichem Verhalten und deren Messbarkeit sowie die bessere Erkennung von Phishing-Trends durch automatisierte Analysen. Verändert hat sich auch die Herangehensweise an die Security Awareness. Security Awareness wird mehr und mehr als ein Dreiklang betrachtet, bestehend aus „Awareness“, „Behavior“ und „Culture“.
Definition: Was ist Awareness?
Awareness sollte dazu dienen, dass Mitarbeitende intelligentere Security-Entscheidungen treffen. Der Begriff Awareness meint, dass ein Mitarbeitender verstanden hat, dass ein vermitteltes Thema wichtig für seine Firma, aber auch ihn selbst ist. Die Geschulten sind in der Lage eine Phishing-E-Mail zu erkennen, anhand ihres erlernten Wissens durch Schulungen und anhand von Erfahrungen durch simuliertes Phishing. Am besten kann Awareness erreicht werden, wenn die Schulungen in der Muttersprache stattfinden und die Mitarbeitenden mal auditiv, mal visuell, mal ernsthafter, mal spielerisch über verschiedenste Inhaltsformen hinweg mit einem Thema konfrontiert werden. Comics, Poster, ein Quiz oder aber ein Erklärvideo helfen bei der Wissensvermittlung. Wichtig sind die Qualität und nicht die Quantität der Trainings, unwichtig ist der Ort des Trainings. Es gibt Mitarbeitende, die werden über ein Präsenztraining erreicht, es gibt jedoch auch Mitarbeitende, die sich im Home Office am besten weiterbilden und bei Rückfragen lieber mit den Verantwortlichen chatten oder telefonieren wollen. Am Ende entscheidet das Ergebnis, dass sich über simulierte Phishing-Tests in Kombination mit der Auswertung der absolvierten Schulungen am besten messen lässt.
Definition: Was ist Behavior also Verhalten?
Verhalten meint im Kontext von Security Awareness, dass Mitarbeitende die Awareness haben, ihr Verhalten den Anforderungen der Security Awareness entsprechend anzupassen. BJ Fogg, Verhaltenswissenschaftler an der Stanford University, schreibt in seinem „Fogg Behavior Model“: „Verhalten entsteht, wenn Motivation, Fähigkeit und eine Aufforderung im selben Moment zusammenkommen.“ Die Betrachtung des Verhaltens war der nächste logische Schritt bei der Weiterentwicklung der Security Awareness. Allein betrachtet bringt es jedoch nichts das Verhalten individuell zu messen und zu verändern. Es geht darum, dass die Geschulten das Erlernte in intelligente Entscheidungen umzusetzen. Mitarbeitende mit intrinsischer Motivation zu erfüllen, dass sie einen Mehrwert sehen, sich in diesem Bereich fortzubilden und ihr Verhalten zu verändern, ist eine der zentralen Aufgaben der Trainer. Messen lässt sich Security Awareness mit simuliertem Phishing, Umfrage, einem Quiz oder anderem Content.
Definition: Was ist Culture?
Die Security-Culture umfasst laut Definition die Ideen, Eigenheiten und sozialen Verhaltensweisen einer Gruppe, die ihre Sicherheit beeinflussen. Culture ändert das und löst diese Problematik der fehlenden Vergleichbarkeit des Verhaltens auf. Eine Möglichkeit die Security Culture zu messen und mit anderen Unternehmen zu vergleichen besteht in der jährlichen Umfrage zum Security Culture Report. Im letzten Jahr wurde mit dem „Security Culture Maturity“-Modell ein erstes Reifegradmodell der Branche, das speziell auf die Messung der Sicherheitskultur (Security Culture) ausgerichtet ist, veröffentlicht.
Fazit
Die Grundidee hinter den ABCs der Security Awareness ist, dass die Awareness nachhaltiger wird, wenn sich das Verhalten ändert und die Kultur sorgt für eine Unternehmensweite Änderung der Einstellung gegenüber der Security Awareness. Alle im Verbund lassen sich messen und mit anderen Unternehmen vergleichen.