"Nachhaltige IT-Security Awareness bedeutet, aktuellen Bedrohungslagen zielgerichtet und messbar zu entgegnen"Security Awareness: unabdingbarer Baustein für die IT-Security
4. Juli 2022Der Schutz vor Cyber-Attacken nimmt aufgrund der zunehmenden Digitalisierung weiterhin an Bedeutung zu. Vor allem müssen Angestellte geschult sein, da sie als Angriffsziel Nummer 1 für die versierten und mit speziellen Wissen ausgestatteten Hacker gelten. Im „zweiteiligen“ Interview mit line-of.biz (LoB) verdeutlicht Nicolas Leiser, Geschäftsführer der Cyber Samurai GmbH, wie wichtig effiziente und messbare Schulungsmethoden sind, um Mitarbeiter vor Cyber-Attacken nachhaltig zu schützen und die IT-Sicherheit im Unternehmen abgestimmt auf aktuelle Bedrohungslagen sicherzustellen.
LoB: Wo sehen Sie derzeit die größten Herausforderungen, um Unternehmensdaten bestmöglich zu schützen?
Leiser: Immer mehr Unternehmer erkennen definitiv den dringenden Handlungsbedarf neben all den technischen Schutzmechanismen auch Ihre Mitarbeiter hinsichtlich Cyber-Gefahren zu schulen. Da Angestellte im Visier von Cyber-Kriminellen stehen, sind sie der zentrale IT-Security-Baustein und in der ersten Line of Defence, um drohende wirtschaftliche Schäden von Unternehmen abzuwenden.
LoB: Was raten Sie in diesem Kontext?
Leiser: Durch klar definierte Schulungsmaßnahmen und messbare Ziele kann hier ein großes Plus an Sicherheit erzielt werden. Allerdings sieht man bei den Schulungsansätzen noch häufig kostspielige veralte Methoden, um Security Awareness Wissen weiterzugeben. Herkömmliche Vor-Ort-Vorträge und aufwendig produzierte Plakate und Give-Aways stehen heutzutage nach wie vor oftmals im Vordergrund. Sicherlich sind Vorträge und Plakate ein zusätzliches Mittel – allerdings kostspielig und nicht nachhaltig genug, um die IT-Sicherheit effizient und effektiv zu erhöhen. Zudem sind Online-Schulungen in der aktuellen Pandemie Situation deutlich einfacher auszurollen.
LoB: Welche Fehler werden bei herkömmlichen Security Awareness Ansätzen begangen bzw. welche Risiken gehen damit einher?
Leiser: Einer der größten Fehler bei vielen ressourcen- und budgetaufwendigen Security Awareness Maßnahmen ist meines Erachtens, dass die Ziele nicht richtig bestimmt werden, sowie die Zielerreichung nicht genau definiert, gemessen, analysiert und dokumentiert wird. Aufgrund der Tatsache, dass jeder dritte Mitarbeiter eines Unternehmens ein potenzielles Sicherheitsrisiko darstellt, sollten Awareness Maßnahmen zielgerichtet und messbar aufgesetzt werden. Bei einer konkreten Zielsetzung muss es darum gehen, wie die Sicherheit insgesamt nachweislich erhöht wird oder die messbare Verhaltensänderung der Mitarbeiter fortschreitet und nicht wie viele Tage man geschult, Plakate aufgehängt oder wieviel Geld ein Unternehmen investiert hat. Unternehmen, die auf eine digitale, automatisierte Schulungsmethode zurückgreifen, bei der die unternehmensinternen KPIs im Vorfeld definiert werden, sind klar im Vorteil. Innerhalb eines Jahres kann das Verhalten bei 95 Prozent der Mitarbeiter nachweislich verbessert und die IT-Sicherheit deutlich erhöht werden.
LoB: Wie kann gewährleistet werden, dass Schulungsmaßnahmen aktuellen Bedrohungslagen entsprechen und Wissen zielgerichtet übermittelt wird?
Leiser: Da sich Bedrohungslagen fortwährend ändern, ist es nach unserer Erfahrung wichtig, Wissen schnell und situativ zu vermitteln. Zielführend sind dabei insbesondere E-Learning Plattformen, innerhalb derer aktuelle Inhalte an unterschiedliche Personengruppen in verschiedenen Schwierigkeitsgraden „quasi automatisch“ übermittelt werden können. Die Trainingsintervalle können je nach Schulungsbedarf individuell festgelegt werden.
LoB: Was erachten Sie dabei als besonders wichtig?
Leiser: Wichtig ist, bei den Mitarbeitern einen nachhaltigen Effekt zu erzielen, um Gefahrensituationen zu erkennen und das Verhalten zu ändern. Es hat sich bewährt verschiedene fingierte Attacken auszuführen, die Mitarbeiter – wie bei einer realen Attacke – angreifen. Die Angriffe können über Phishing Mails, Social Engineering Attacken oder auch per Telefon oder modifizierte USB-Sticks erfolgen, um die betroffenen Personen in die Falle zu locken. Bei falscher Reaktion werden Reagierer auf eine Website geleitet, auf der das Fehlverhalten erklärt wird und anschauliche Handlungsempfehlungen gegeben werden. Aktuelle Schulungsvideos können einfach aktualisiert, multilingual und standortübergreifend zugänglich gemacht werden.
LoB: Können Sie eine „Gegenrechnung“ aufmachen, in der sich die Kosten für eine Wiederherstellung der IT-Umgebung nach einem erfolgreichen Ransomware-Angriff aufsummieren?
Leiser: Ein durchschnittlicher wirtschaftlicher Schaden resultierend aus einem erfolgreichen Cyber-Angriff beträgt zwischen 46.000 Euro in kleinen und mittelständischen Unternehmen und 350.000 Euro in großen Unternehmen – wobei es keine Grenze nach oben gibt. Ein Awareness Training kostet im Gegenzug ca. 25 Euro im Jahr pro Mitarbeiter ohne den Aufwand der eigenen Personalkosten einzubeziehen. Unabhängig von den monetär greifbaren Kosten steht natürlich auch die Reputation der Unternehmen auf dem Spiel. Security Awareness Maßnahmen lohnen sich in Anbetracht des möglichen Schadens fast immer und können jederzeit durch ein kostenloses Testphishing untermauert werden.
Rainer Huttenloher
Hier folgt eine Vertiefung des Themas im Interview als Videoclip, in dem Herr Leiser interessante Einblicke, insebesonders zum Angriffsvektor Ransomware, vermittelt:
Mit einem Klick auf das Bild startet ein Videoclip, der auf dem Youtube-Videokanal von line-of.biz liegt.