Security Awareness in der praktischen Umsetzung
Wie eine Sicherheitskultur in Unternehmen wächst
Security Awareness ist eine Daueraufgabe. Wie es Unternehmen gelingen kann, eine Verhaltensänderung bei ihren Mitarbeitenden herbeizuführen und ein Sicherheitsbewusstsein zu entwickeln, erläutern zwei Fachleute. Sie geben einen Einblick in die Awareness-Praxis.
Text: Andreas Heer, Bilder: Swisscom
26. September 2023
Die Sicherheitskultur in Unternehmen hat selbst einen Kulturwandel durchgemacht. «Noch vor ein paar Jahren haben Unternehmen Awareness-Massnahmen rein aus Compliance-Gründen gemacht», erinnert sich Marcus Beyer, Security-Awareness-Verantwortlicher bei Swisscom. Entsprechend ging es darum, dass Mitarbeitende ein jährlichen Awareness-Trainings absolvierten. Der Nachweis genügte oft schon, um Zertifizierungsansprüche zu erfüllen. Ein nachhaltiger Effekt für den Schutz des Unternehmens ist hier eher bescheiden.
Die Sicherheitskultur reift
Heute steht dagegen die Wirkung der Awareness-Programme im Vordergrund, zum Beispiel bei Raiffeisen Schweiz. Monika Geitlinger ist als Information Security Officer bei der Bank für das Security-Awareness-Programm zuständig: «Ziel ist nicht, einfach einen ‹Compliance-Haken› setzen zu können. Wir möchten erreichen, dass unsere Mitarbeitenden Risiken im Cyberumfeld besser einschätzen und damit umgehen können.» Und auch Marcus Beyer betont die Bedeutung im Geschäftsalltag: «Ich gehe immer ein Stück weiter und sage, ich möchte eine Verhaltensänderung herbeiführen.»
«Eine funktionierende Fehlerkultur ist uns enorm wichtig.»
Monika Geitlinger, Raiffeisen Schweiz
Will heissen, dass die Mitarbeitenden ein Sicherheitsbewusstsein entwickeln, dass sie bei ihrer täglichen (Bildschirm-)Arbeit anwenden. Das geht über ein reines Erkennen von Phishing-Mails hinaus, so Marcus Beyer: «Ziel ist, dass sich die Mitarbeitenden bewusst oder gar unbewusst sicher verhalten, indem sie beispielsweise Dokumente beim Speichern klassifizieren oder sie nicht als Anhang, sondern nur als Link via Mail versenden.» Das wäre dann auch gleich ein Beispiel, wie Mensch und Technik in der Cybersecurity zusammenarbeiten: Der Mensch klassifiziert und die Technik ergreift die passenden Schutzmassnahmen.
Um einen solchen Reifegrad in der Security Awareness zu erreichen, braucht es aber die entsprechenden personellen Ressourcen, da sind sich Monika Geitlinger und Marcus Beyer einig. Das ist auch eins der Erkenntnisse der Befragung von Awareness-Fachleuten im SANS 2023 Awareness Report: je grösser die Unterstützung durch das Management und je höher die verfügbaren Stellenprozente, desto reifer das Awareness-Programm in Unternehmen.
Aktivierende Awareness-Massnahmen
Um den gewünschten Reifegrad und damit eine entsprechende Wirkung im Alltag zu erzielen, setzen beide Awareness-Fachleute auf eine breite Palette an verschiedenartigen Massnahmen über das ganze Jahr hindurch. «Generell stellen wir Informationen über unterschiedliche, wo möglich interaktive Kanäle zur Verfügung: Schulungen in Form von E-Learnings, Lunch and Learns, Live Streams, ein Blog sowie ab und an einen Security Escape Room», beschreibt Monika Geitlinger die verschiedenen Aktivitäten.
Marcus Beyer setzt auf ähnliche Formate. Beim Training zur Erkennung von Phishing-Mails hat er gute Erfahrungen mit Gamification gemacht, indem sich Mitarbeitende bei der Erkennung spielerisch Zusatzpunkte verdienen können. «Die Leute finden es cool», so seine kurze Erklärung.
Marcus Beyer porträtiert zudem im Intranet in einer Videoserie regelmässig Cybersecurity-Fachleute aus verschiedenen Berufsbildern. «Die Mitarbeitenden wollen wissen, wer uns schützt», sagt er. «Und sie orientieren sich auch am Verhalten der porträtierten Personen.» Und so trägt diese Vorbildfunktion auch ihren Teil zur Verbesserung der Cybersicherheit bei.
Auch Monika Geitlinger hat positive Erfahrungen mit der Personalisierung der Cybersecurity gemacht. «Mittlerweile kommen die Mitarbeitenden auf uns zu, wenn sie uns beispielsweise in der Kaffee-Ecke sehen. Das führt zu spannenden Diskussionen.» Und am Ende zu sichtbaren Effekten in der Security-Awareness der Mitarbeitenden.
Sicherheitskultur ist Fehlerkultur
Natürlich bietet auch das ausgeklügeltste Phishing-Training keinen absoluten Schutz davor, dass jemand auf die betrügerische Anfrage hereinfällt. In einer solchen Situation sind die technischen Schutzmassnahmen gefragt sowie die Cybersecurity-Fachleute. Umso wichtiger ist es, dass Mitarbeitende verdächtige Vorfälle und Missgriffe melden. Denn diese Informationen erleichtern die Incident Response wesentlich und helfen, grösseren Schaden zu vermeiden.
«Die Mitarbeitenden finden Gamification cool. Das verstärkt die Motivation und damit die Wirkung von Sensibilisierungsmassnahmen.»
Marcus Beyer, Swisscom
Das bedingt eine Fehlerkultur, in der die Mitarbeitenden dazu motiviert werden, solche Ereignisse zu melden. «Eine funktionierende Fehlerkultur ist uns enorm wichtig. Wir sind darauf angewiesen, dass unsere Mitarbeitenden Vorfälle melden, auch wenn bereits etwas geschehen ist», betont Monika Geitlinger. Den Mitarbeitenden die Angst davor zu nehmen, ist ein wesentlicher Bestandteil einer Sicherheitskultur. Das bestätigt auch Marcus Beyer: «Die Mitarbeitenden sollen Vorfälle ohne Angst und schlechtes Gewissen melden können, weil sie wissen, dass sie damit sich und dem Unternehmen helfen.»
Awareness geht in die Tiefe
Die Entwicklung dieser Sicherheitskultur ist nie abgeschlossen, wie Monika Geitlinger betont: «Cyberkriminelle finden immer neue Wege und neue technische Möglichkeiten, mit denen sie uns angreifen können. Das bedeutet, dass wir das Ziel nie wirklich erreichen können, da es sich kontinuierlich verschiebt. Unsere Anstrengungen müssen wir dementsprechend auch künftig fortlaufend anpassen, um in diesem Wettlauf nicht an Boden zu verlieren.»
Dabei geht es darum, die Mitarbeitenden aus allen Bereichen eines Unternehmens mitzunehmen. Das bedeutet, auch neue Entwicklungen in einem Unternehmen zu berücksichtigen – wobei «Entwicklungen» hier durchaus wörtlich zu verstehen sind: «Mit der digitalen Transformation beschäftigen Unternehmen vielleicht plötzlich Software-Entwickler. Und hier braucht es ein Awareness-Training, damit diese Mitarbeitenden Cybersecurity schon bei der Entwicklung von Code berücksichtigen.» Oder, das Awareness-Programm bezieht die IT-Fachleute mit ein und befasst sich mit Themen wie der sicheren Konfiguration von Systemen und Cloud-Plattformen. Ein Thema, das mit hybriden und immer komplexeren Umgebungen an Bedeutung gewinnt.
Der Kulturwandel in der Sicherheitskultur ist also mit einem höheren Reifegrad nicht zu Ende. Genauso wenig wie die Arbeit von Monika Geitlinger und Marcus Beyer.
Im Podcast «Security Awareness Insider» hat Marcus Beyer einen vertieften Einblick in seine Arbeit bei Swisscom gegeben.