CYBER SECURITY AWARENESS – WIE ANWENDER, IT UND MANAGEMENT GEMEINSAM FÜR MEHR SICHERHEIT SORGEN

Security Awareness Architect, Organisationsentwickler & Spezialist für interne und interkulturelle Kommunikation bei der Swisscom AG Marcus Beyer hat sich zur Aufgabe gemacht, Menschen für Cyber Risiken zu sensibilisieren und durch mehr Awareness für mehr IT-Sicherheit im Unternehmen zu sorgen. Der Confare-Blog wollte wissen, welche Awareness Massnahmen etwas bringen und welche nur als Feigenblatt wirken.

Wie sexy ist im Digitalen Zeitalter das Thema Cyber Security?

Die Frage ist weniger, wie sexy ist das Thema, sondern wie notwendig. Und da kommen 3 wichtige Themen ins Spiel:

Zum 1. müssen natürlich die technischen Vorkehrungen und Voraussetzungen geschaffen werden. Viele Dinge bewegen sich von onpremise Lösungen in die Cloud.  Aber wo liegen dann die Daten und vor allem, welche Daten liegen dann ausserhalb Europas und dürfen sie das aus datenschutzrechtlichen Gründen, regulatorischen Vorgaben des jeweiligen Landes und in Kundenverträgen festgehaltenen Vorgaben überhaupt? Und wie sicher sind die Daten in der Cloud dann tatsächlich? Das sind Dinge, die natürlich eine hohe Priorität haben. Und wie ausfallsicher und redundant sind die Systeme in der Cloud – natürlich abhängig von ihrer Nutzungsbestimmung. Das Thema Verfügbarkeit bekommt hier einen neuen und wichtigen Stellenwert. Aber auch Fragen, wie bewegen sich die User dort? Wie sicher sind die Administratorenpassworte auf dem Demo-Server, auf den man möglicherweise sensible Testdaten aus bestehenden Kundendatenbanken und Systemen überspielt hat? Sind sie verschlüsselt übertragen und gespeichert? Und dann bleibt natürlich das Endgerät des Users als relevantes Eingangstor für Angreifer. Wie bin ich da geschützt? Habe ich dort alles im Griff? Nur wenn ich diese Fragen guten Gewissens beantworten kann, habe ich die technischen Faktoren gut im Griff.

Zum 2. habe ich natürlich auch prozessuale und organisatorische Themen. Da gefällt mir die Aussage früheren Vorstandsvorsitzenden der Teléfonica Deutschland, Thorsten Dirks, sehr gut: „Wenn Sie einen scheiss Prozess digitalisieren, haben Sie einen scheiss digitalen Prozess“. Genau das höre ich sehr oft aus Unternehmen, die sich auf die digitale Transformationsreise bewegen. Das Business steuert und will umsetzen, technisch bekommt man das ganz gut hin, aber der Prozess hinkt der Umsetzung nach – und eine Veränderungskultur hin zu einem digital transformierten Unternehmen ist noch lange nicht gestartet. Dabei ist die Kultur so wichtig in Transformationsprozessen.

Und da komme ich grad zu meinem 3. wichtigen Faktor: Der Change in Kultur, Organisation und Prozessen. Und da hapert es aus meiner Sicht am stärksten. Zum einen fehlt es oft an einem Umsetzungswillen. Viele Unternehmen kommen aus Linienorganisationen, die sich dann agil aufstellen wollen, ohne dass das Management die Führung ebenso agil gestalten will. Das beisst sich natürlich enorm. Und dann sind oftmals die Teams mit der Agilität allein. Da muss man sich erstmal reinfinden, sich konstituieren, es fühlbar und spürbar umsetzen, Gärtchendenken aushebeln usw. Dafür braucht es Coaches, Begleiter und Transformatoren, die eben parallel unterstützen und die richtigen Prozesse aufgleisen. Es braucht das agile Umfeld, rein physisch, raus aus dem Einzelbüros aber auch raus aus den unitbezogenen Grossraumbüros. Kollaboration und agiles Zusammenarbeiten braucht ein ebenso agiles Arbeitsumfeld – und trotzdem möchten Mitarbeitende nicht rund um die Uhr erreichbar sein und arbeiten. Auch Rückzugsmöglichkeiten aus der digitalen Welt sind wichtig und notwendig.

Der Anwender ist das Einfallstor Nummer 1 für Angreifer – wo liegen hier die grössten Probleme?

Einfallstor sicherlich, allerdings nicht das grösste Risiko. Sie sind aber auf jedem Fall das wichtigste und höchste Gut in einem Unternehmen was es zu schützen gilt. Schieben wir mal bitte nicht alles auf den Mitarbeitenden als Schwachstelle ab. Die Probleme beginnen viel früher. Oftmals sind Systeme fehleranfällig, die Usability und Nutzbarkeit lassen zu wünschen übrig, Prozesse – wie oben schon beschrieben – sind oft nicht klar und Risiken werden eher sehr highlevel betrachtet und erklärt. Erst dann kommt der Mitarbeitende als Anwender. Und wir haben natürlich unsere eigenen menschlichen Schwachstellen, Mental Shortcuts die wir nutzen und uns dadurch – jeder in seiner eigenen Weise – manipulierbar machen. Und natürlich spielt auch Unwissenheit eine grosse Rolle.

Ein eLearning zu Jobstart in der Unternehmung und dann jährlich die gleichen eLearnings stumpfen ab. Viele eLearnings sind zudem auch wenig attraktiv, eher als Compliance-Erfüller gedacht. Die ISO 27001 unterstützt uns dabei eben auch nicht wirklich. Dort geht es um die Einhaltung der Controls unter A.7.2.2 die nichts mehr sagen als: Du musst deine Mitarbeitenden sensibilisieren und schulen und du musst nachweisen, dass du es auch getan hast. Hier geht’s aber nur um ein kurzeitigen Wissenszuwachs, nicht aber um das Verstehen der Inhalte geschweige dann um die Entwicklung einer unbewussten Kompetenz im Umgang mit Sicherheitssystemen, -Prozessen und -Risiken. Und da hilft auch ein Phishing-Test wenig – wenn er rein aus Assessment—Gründen einmalig durchgeführt wird. Und ja, mehr als 85% aller Angriffe auf Unternehmen starten via E-Mail. Aber bereits davor stehen IT-Systeme, die das verhindern sollten. Und nur geschulte und sensibilisierte Mitarbeitende erkennen – möglicherweise und hoffentlich – auch Phishing-Mails. Aber eben auch nicht immer. Und bereits da sehe ich in vielen Unternehmen schon zwei Kulturthemen: Wertschätzung und Fehlerkultur.

Wenn ich als Mitarbeitende eine Phishing-Mail melde, aber kein Feedback im Prozess auf meine gemeldete Phishing-Mail erhalte, dann überlege ich mir sicher, ob ich das ein nächstes Mal auch wieder tue. Es ändert sich ja bei mir nichts. Es sagt niemand Danke. Ich habe zudem das Gefühl, es kümmert sich ja eh niemand darum. Und zum zweiten erlebe ich es immer wieder, dass über harte Sanktionen eher gesprochen und diskutiert wird, als über Unterstützung. Ich habe es schon erlebt, dass Führungskräfte gefeuert wurden, weil in ihrer Organisationseinheit CEO-Fraud gegriffen und leider funktioniert hat. Darüber redet man allerdings nur via Flurfunk. Denken Sie, dass dort noch irgendjemand etwas Verdächtiges meldet? Das heisst nicht, dass man nicht sanktionieren muss. Das passiert auf der anderen Seite auch viel zu wenig. Es muss eben transparent gemacht werden. Aus Fehlern lernen, oder?

Wie geht man wirkungsvoll mit dieser „Schwachstelle“ um?

Den Mitarbeitenden erstmal nicht als Schwachstelle sehen und Wertschätzung üben, das wäre schon mal ein guter Ansatzpunkt. Und dann natürlich Trainings in einer vernünftigen und attraktiven Art und Weise mit Blick auf Ressourcen- und Zeitpensum. Eine transparente Kommunikation von Risiken und  – ja – auch Vorfällen, von denen man lernen kann. Und Sanktionierungen, die spürbar, gerechtfertigt und nachvollziehbar sind. Aber das hatte ich ja vorhin schon beschrieben. Ich finde, Sicherheit muss lebbar und erlebbar werden. Sicherheit die nur dann gut ist und wirkt, wenn sie nicht bei den Mitarbeitenden gespürt wird, wurde schon vor vielen Jahren durch die tiefenpsychologischen Studien der Experten von known sense widerlegt. Mitarbeitende wollen wissen, wer sie schützt und wie sicher das Unternehmen an sich ist, wie hoch die Maturität ist um sich selbst einschätzen und das eigene Handeln reflektieren zu können. Gute Security Awareness Programme, die nicht als Projekt, sondern als Prozess gesehen werden, können da sehr wirkungsvoll unterstützen. Aber das 56igste eLearning zum Thema Sicherheit bringt da sicher nicht den gewünschten Erfolg. Und auch kein Phishing-Test des Phishingswillen wegen. Gamification ist da ein Schlagwort, adaptives Lernen – eben Attraktivität und Spannung gegenüber dem Thema schaffen. Wertschätzen, das eigenverantwortliche Handeln unterstützen, Security als Coach… so etwas ist aus meiner Sicht sehr wirkungsvoll.

Wie kann eine Zusammenarbeit zwischen Anwendern, IT und Management aussehen, um gemeinsam die Cyber Security des Unternehmens verbessern?

Der Dialog ist wichtig, mal über Sicherheit zu reden. Das geht im beruflichen Alltag meist unter oder spielt eine Nebenrolle. Aber darum geht’s. Der Blick muss mehr in Richtung der Anwender gehen. Was brauchen unsere Leute um sicher arbeiten zu können und nicht, was geben wir vor dass sie machen müssen. Ich stelle dann immer sofort die Frage nach dem Warum. Wenn mir ein Sicherheitsbeauftragter sagt, wir müssen unsere Mitarbeitende mit einem eLearning auf dieses und jenes Thema schulen… Warum ein eLearning und z.B. ein Webinar, Intranet-News, ein Factsheet oder eine Lunch’n’learn Session und warum müssen wir das? Hat es Compliance-relevanz und ist es damit verpflichtend, oder können wir Inhalte zu diesem Thema “hübsch aufbereitet” auch zum Selbstlernen zur Verfügung stellen? Aber auch hier brauchts den Dialog. Die Stakeholder fragen, sie in Prozesse aktiv integrieren und das geht auch  in agilen Teams – in das DevOps-Modell noch die Komponente Sec zu DecvSecOps integrieren, aber diese dann auch als Speerspitze und erste Ansprechperson zu Sicherheit in den agilen Teams aufbauen und trainieren. Sowas funktioniert gut.

Welche Massnahmen führen dabei zum Erfolg?

Erfolg liegt immer im Auge des Betrachters oder in den gesetzten KPIs, die man sich zur Messung gegeben hat. Ich habe sehr gute Erfahrungen gemacht mit spielerischen Ansätzen in Security Awareness Massnahmen. Brettspiele zum Thema Sicherheit im Management, LEGO® Serious Play® in Entwicklerteams, der Mix aus visuellen digitalen Inhalten wie kurzen Videos, Learningnuggets statt Klick-eLearnings, Gamification als Wettbewerbskomponente – Dinge eben die anders sind. Spielen tun wir alle sehr gern. Das tut gut, lockert auf, fördert den Teamgeist und das Wir-Gefühl im Unternehmen. Und wenn dann solche Dinge aus der IT- oder Sicherheitsabteilung kommen, erntet man noch ein Wow aus den Reihen der Mitarbeitenden. Es überrascht, begeistert und hätte man so nicht erwartet. Also was will man mehr? Messung bekommt mit Gamification neue KPIs und die Wirkung und die Begeisterung zum Thema ist bei attraktiven und neuen Dingen sensationell hoch. Perfekt.

Quelle & Original unter: https://confare.at/swisscom-security-awareness/

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s