Security Awareness ist keine Zeitverschwendung

Die Frage lautet heute nicht ob, sondern wann ein Unternehmen wieder zum Ziel einer Cyberattacke wird. IT-Verantwortliche kämpfen jeden Tag mit unzähligen Attacken. 2019 zählten die Analysten von G DATA CyberDefense mehr als 4,9 Millionen neue Schadprogramme – im Durchschnitt neun neue Exemplare in jeder Minute. Das zeigt: Onlinebetrug und Cyberattacken sind trauriger Alltag in vielen Unternehmen. Nicht umsonst geht aus dem aktuellen Allianz Risk Barometer hervor, dass deutsche Unternehmen Sicherheitsvorfälle im IT-Bereich als zweitwichtigstes Geschäftsrisiko sehen. Im weltweiten Ranking steht diese Bedrohung sogar auf Platz eins. Das Problem: Technische Maßnahmen, wie eine Sicherheitslösung oder eine Firewall, bieten keinen hundertprozentigen Schutz. Daher setzen viele IT- und Personalverantwortliche darauf, Mitarbeiter zum Teil der Cyberabwehr zu machen und schulen sie rund um das Thema IT-Sicherheit.

Durch Mitarbeiter eine weitere Schutzinstanz zu bilden, klingt nicht nur sinnvoll, es ist auch so. 2019 befragten wir im Zuge des G DATA Mittelstandsreport 200 mittelständische Unternehmen aus Deutschland zu diesem Thema. Das Ergebnis: Mehr als acht von zehn IT-Verantwortlichen glauben, dass Angestellte eine Cyberattacke auslösen können. Viele Administratoren setzen auf Schulungen und Aufklärung – kurz: Security-Awareness schaffen.

Kritiker wie Bruce Schneier, ein US-amerikanische Experte für Kryptographie und Computersicherheit, zweifeln an der Wirksamkeit von Security-Trainings für Mitarbeiter in Unternehmen. Schneier bezeichnet sie als Zeit- und Geldverschwendung. Das Budget sollten Unternehmen seiner Meinung nach lieber in die Entwicklung sicherer Software- und Schnittstellen stecken. Weiter argumentiert Schneier, es sei schwer, Menschen dazu zu bringen, ihr Handeln zu verändern und bringt ein Beispiel aus dem Gesundheitsbereich: Die meisten Menschen wissen, wie man sich gesund ernährt und dass Sport wichtig ist. Trotzdem bleiben sie auf dem Sofa sitzen und essen Fast Food. 

Diese Denkweise bedeutet, dass Unternehmen ihre Mitarbeiter kaum zur Veränderung ihrer Handlungsweise für mehr IT-Sicherheit bewegen können. Natürlich weiß jeder von uns, dass es schwer ist, gewohnte Verhaltensmuster zu verändern - gerade wenn es um tägliche Handgriffe oder Verfahrensweisen geht. Das bedeutet aber nicht, dass es unmöglich ist.
 

Schneier macht anscheinend einen entscheidenden Fehler: Er versteht Security Awareness nicht als Prozess, obwohl es einer ist. Natürlich ist IT-Sicherheit kein frommer Wunsch, der plötzlich in Erfüllung geht. Wer die Security Awareness in seinem Unternehmen steigern möchte, muss einen Weg gehen, mit der Zielsetzung, einen umsichtigen und sicheren Umgang mit den IT-Ressourcen zu etablieren. Das ist nicht leicht, aber Mitarbeiter müssen sich der Cybergefahren, denen sie beruflich und privat begegnen können, bewusst werden und lernen, wie damit umzugehen ist. Es ist möglich, diesen Prozess zu bewältigen.

Eine große Hürde ist allerdings zu beachten: Das Thema IT-Sicherheit ist sehr komplex und abstrakt. Viele Mitarbeiter können sich nicht vorstellen, was beispielsweise ein Schadprogramm ist und wie eine Cyberattacke abläuft – weil nichts an der Oberfläche zu sehen ist. Oft ist nur das Ergebnis eines Angriffs sichtbar, zum Beispiel der Sperrbildschirm mit der Lösegelderpressung bei einer erfolgreichen Ransomware-Attacke. Der Schadcode an sich und die Prozesse dahinter bleiben verborgen. Sie sind anders als beispielsweise ein Bakterium nicht unter einem Mikroskop im Labor auch für einen IT-Laien erkennbar.
 

Wie erreichen IT-Verantwortliche also, dass sich Hausmeister, Buchhalter und alle anderen Mitarbeiter dem Thema IT-Sicherheit öffnen? Unternehmen sollten auf Security Awareness Trainings setzen, die - ohne den erhobenen Zeigefinger - das nötige Wissen praxisnah und vor allem verständlich vermitteln. Angestellte sollten dabei nicht das Gefühl haben, das schwächste Glied in der Kette der Cyberabwehr zu sein, wie auch die promovierte Soziologin Jessica Barker sagt. Sie hielt eine Keynote auf der DeepSec 2017 in Wien. Dort forderte sie unter anderem auch, positiver und ermutigender über IT-Sicherheit zu reden, denn Nutzer sollen nicht den Eindruck vermittelt bekommen, mit unlösbaren Problemen konfrontiert zu sein.

IT-Verantwortliche müssen Angestellte für das Thema gewinnen, indem sie ihnen das Gefühl geben, sie aktiv in die Cyberabwehr miteinzubinden. Mitarbeiter müssen zudem verstanden haben, warum IT-Sicherheit für ein mittelständisches Unternehmen essentiell wichtig ist. Erfolgreiche Angriffe können beispielsweise zu wirtschaftlichen Problemen und sogar bis zum finanziellen Ruin eines Mittelständlers führen. Im schlimmsten Fall wäre dann auch der Arbeitsplatz bedroht. Haben Angestellte ein Grundverständnis für die Notwendigkeit erlangt, sind sie bereit für Schulungsmaßnahmen, die sich an ihren Bedürfnissen orientieren.
 

Zunächst sollten IT-Verantwortliche den Ist-Zustand beim Security-Wissen ermitteln. Viele Security Awareness Trainings beginnen mit einem Test, der den Wissensstand ermittelt. Dieser sollte nicht das Ziel haben, Mitarbeiter an den Pranger zu stellen. Es geht darum, die größten Wissenslücken zu ermitteln und eine sinnvolle Reihenfolge der Trainingseinheiten zu planen – dabei sind viele Schulungsprogramme auf eine längere Dauer, zum Beispiel zwei Jahre, ausgelegt. Mitarbeiter sind dann angehalten, die einzelnen Trainings entsprechend der Planung nach zu absolvieren. Dabei schließen die einzelnen Schulungsbausteine bei vielen Anbietern, wie bei G DATA CyberDefense, mit einer kleinen Lernstandskontrolle ab. Damit wird der Inhalt des Trainings noch einmal vor Augen geführt und der Mitarbeiter kann überprüfen, ob er die Thematik verstanden hat. Die Einheit kann dann gegebenenfalls noch einmal wiederholt werden. Das erworbene Wissen können die Lerner beispielsweise bei einer exemplarischen Phishing-Mail auch direkt anwenden.

Häufige Wiederholungen festigen das Wissen bei den Mitarbeitern. Dabei sollten die Einheiten so gestaltet sein, dass sie sich leicht in den Arbeitsalltag integrieren lassen. Hierzu eignen sich E-Learnings besonders gut. Die Trainings können oft jederzeit absolviert werden, zeitaufwendige Präsenzschulungen demotivieren die Angestellten und schränken sie ihn ihrer Arbeitsgestaltung massiv ein. Dabei setzten E-Learning-basierte Trainings oft auf eine kurze Länge in Kombination mit den neuesten Lernmethoden. In den Einheiten kommen so beispielsweise auch Videos anstelle von langen Texten zum Einsatz – so wird der Inhalt besser verständlich.

Einen zusätzlichen Motivationsschub kann die Kombination mit einem Gamification-Ansatz bringen. Dabei können besonders fleißige IT-Security-Schüler mit kleinen Geschenken belohnt werden. Auf der anderen Seite sollten Mitarbeiter, die langsamer lernen, nicht bloßgestellt werden. Auch sie können durch Gamification weiter motiviert werden. Von dem gesammelten Wissen profitieren allerdings nicht nur die Unternehmen, die Mitarbeiter können das Wissen auch leicht auf den privaten Umgang mit Computer und Smartphone übertragen, zum Beispiel, indem sie sichere Passwörter wählen und bei Online-Benutzerkonten auf eine Zwei-Faktor-Authentifizierung bei der Anmeldung achten.
 

Kritische Stimmen behaupten, dass Security Awareness kaum zu messen und ein sogenannter ROSI – Return On Security Investment - nicht zu erreichen ist. Bei einigen Schulungsprogrammen, wie den G DATA Security Awareness Trainings, lässt sich der Wissensstand der Mitarbeiter messen. IT-Verantwortliche sehen, welche Person welche Einheiten abgeschlossen hat – so ist eine Messbarkeit gegeben. Das Investment ist allerdings eindeutig schon refinanziert, sobald ein Mitarbeiter durch sein umsichtiges Verhalten auch nur eine Attacke verhindert. Die hohen Kosten für die Ausfallzeiten der Systeme und die aufwendige Bereinigung entfallen dann. Zudem können Unternehmen so auch sicherstellen, dass sich ihre Angestellten konform zur EU-Datenschutzverordnung verhalten und sparen teure Bußgelder ein.

Bruce Schneier und andere Kritiker haben unrecht, wenn sie die Wirksamkeit von Schulungsmaßnahmen anzweifeln. Deutlich ist aber, dass der Prozess zu mehr IT-Sicherheit nicht leicht zu bewerkstelligen ist. Wenn IT-Verantwortliche die Hürden beachten und berücksichtigen, wird sich Security Awareness im Unternehmen etablieren und einen echten Mehrwert für die IT-Sicherheit bieten. Umsichtige Mitarbeiter können eine Cyberattacke bereits im Keim ersticken, bevor IT-Systeme dafür auf die Probe gestellt werden müssen. IT-Systeme sind so bedeutend sicherer und alle wichtigen Daten besser geschützt. Unternehmen, die ihre Mitarbeiter bei der IT-Sicherheit nicht miteinbeziehen, verpassen eine große Chance und setzen sich selbst unnötig hohen Cyberrisiken aus.