Der Feind in den eigenen Reihen
Effizientes Training
Ein Weg zur Sensibilisierung sind firmenspezifische Schulungen, in denen auf mögliche Social-Engineering- und Deepfake-Angriffe eingegangen wird. Allgemeine Awareness-Trainings dagegen werden von den Mitarbeitern oft als lästige Pflichtübung betrachtet und erzielen bestenfalls mässigen Erfolg. Viele Firmen setzen nach wie vor auf den Angstfaktor. Erfolgversprechender ist es, die positiven Auswirkungen eines korrekten Verhaltens hervorzuheben.
Bei Security-Awareness-Training sollte es nicht einfach darum gehen, Wissen zu vermitteln, sondern Verhalten zu verändern. Das gelingt am besten mit Emotionen. Es muss den Mitarbeitern Spass machen, sicherheitsbewusstes Verhalten zu erlernen. Die Schulungsplattform KnowBe4 etwa arbeitet auch mit Comics und Netflix-ähnlichen Videoserien. Cliffhanger sorgen dafür, dass die Nutzer von sich aus mehr davon haben wollen. Auch Gamification-Elemente wie zu gewinnende Badges oder Wettkämpfe zwischen mehreren Teams eines Unternehmens sorgen spielerisch für Sensibilisierung.
Christopher Schmid teilt eine Awareness-Schulung in drei Teile ein: die Phase des Wachrüttelns, die Phase der Inhaltsvermittlung und die Phase der Einübung, bei der Inhalte, zum Beispiel mit Hilfe von E-Learning, kontinuierlich wiederholt werden. Gutes Training sollte sich Schmid zufolge an einigen Prinzipien orientieren: Augenhöhe statt Bevormundung – also nicht mit Konsequenzen drohen, aber Konsequenzen von falschem Verhalten trotzdem aufzeigen – , dabei aktuelle und verständliche Fallbeispiele nutzen und Handlungsanweisungen in das Training einbauen.
“Teure Tools zu implementieren reicht nicht aus und vermag fehlende Security Awareness nicht zu kompensieren. Vor allem KMUs haben bei dem Thema einen großen Nachholbedarf. „
Christopher Schmid, Senior Vice President und Head of IT Security DACH bei NTT Data
Bitdefender-Mann Botezatu kennt kein allgemeingültiges Patentrezept. «Wir sind der Meinung, dass alle Unternehmen oder Betriebe ihr Bedrohungsmodell evaluieren und ihre Mitarbeiter entsprechend schulen müssen. Wenn Sie zum Beispiel eine Buchhaltungsfirma sind, die von Ransomware betroffen sein könnte, dann sollten Sie Ihre Schulung wahrscheinlich so anpassen, dass die Mitarbeiter bösartige Anhänge in E-Mails erkennen. Wenn Sie im Finanzwesen tätig sind und viel mit CEOs oder CFOs zu tun haben, sollten Sie Ihre Mitarbeiter darin schulen, die Finanztransferprotokolle gewissenhaft zu befolgen und nie von den Regeln abzuweichen.»
Hoffungsträger KI
Künstliche Intelligenz dringt in immer mehr Bereiche vor. Womöglich ist auch ein Einsatz beim Human Learning denkbar. Christopher Schmid sagt dazu: «Grundsätzlich ja. Wenn aus Daten, ermittelt aus internen Sicherheits-Appliances, sinnvolle Erkenntnisse gewonnen werden können, mag dies ein Unternehmens-Awareness-Programm positiv beeinflussen, aber weniger das Lernverhalten des einzelnen Mitarbeiters. Wenn Mitarbeiterverhalten direkt analysiert wird und eine Machine-Learning-basierte Lösung den Nutzer direkt auf Fehlverhalten aufmerksam macht, würde dies hohen Mehrwert bringen. Aus datenschutz- und betriebsrechtlichen Gründen sollte das Tracking jedoch auf anonymisierte Informationen ausgerichtet sein.»
Egon Kando zufolge könnte Machine Learning theoretisch auch beim Lernverhalten der Mitarbeiter etwas bringen. «Sinnvoller wäre es jedoch, Machine Learning so einzusetzen, dass es Mitarbeiter vor unbewussten Fehlern schützt. Cyberkriminelle sind mittlerweile so gut darin, Netzwerke zu infiltrieren, dass es oft eher darum geht, Angriffe möglichst frühzeitig zu erkennen, bevor sie Schaden anrichten können. Hier spielt Machine Learning seine Stärken aus, weil es die Netzwerkaktivität jedes Benutzers und jeder Entität im Netzwerk in Echtzeit analysiert und jede Abweichung vom Normalverhalten sofort erkennt.» «Wichtiger als das Lernverhalten ist es, den Lernerfolg nachzuvollziehen», ergänzt Christian Knothe von BT. «Nur so können Massnahmen optimiert und im richtigen Zyklus wiederholt werden. Künstliche Intelligenz ist dabei eine Möglichkeit, aber sicher kein Wundermittel.»
Autor(in)
Andreas
Dumont
17.10.2020