Jelle Wieringa, Senior Security Awareness Advocate bei KnowBe4 erklärt im Interview warum die Geschäftsleitung die Sicherheit im Unternehmen vorleben muss, damit alle Mitarbeiter an der erfolgreichen Etablierung einer Sicherheitskultur teilnehmen.

Der Anbieter einer Plattform für Security-Awareness-Training-Inhalte und simuliertes Phishing, dass mit möglichst echt aussehenden Templates arbeitet, KnowBe4, ist seit 2018 auch in Deutschland aktiv. »manage it« traf sich mit Senior Security Awareness Advocate Jelle Wieringa zum Gespräch über den aktuellen Trend im Bereich Security Awareness auf den sogenannten Human Factor, also den menschlichen Faktor in der Informationssicherheit zu setzen.

Jelle Wieringa,
Senior Security Awareness Advocate
bei KnowBe4

KnowBe4 wurde 2010 in Florida gegründet und hat sich zum Ziel gesetzt mit Inhalten für das Security Awareness Training, die abwechslungsreich und spielerisch, aber auch informativ aufbereitet sind, eine menschliche Firewall zu etablieren. Diese Mitarbeiter wurden in Sachen Security Awareness auf eine Art und Weise geschult, dass sie Phishing-E-Mails erkennen und wissen, wie sie damit umgehen müssen und dieses Wissen auch weiter vermitteln können. Dafür setzt der Anbieter aber nicht nur auf Inhalte, sondern auch ganz konkrete echt wirkende Phishing-E-Mails, die regelmäßig an die Belegschaft eines Unternehmens versendet werden, um die Klickrate zu berechnen und einen Gradmesser für die Effektivität dieser menschlichen Firewall bemessen zu können.

Wie erreichen Sie es, dass Mitarbeiter selbstbewusster im Umgang mit Phishing und anderen Cyberbedrohungen werden?

Ein wichtiger Faktor ist die Etablierung einer Sicherheitskultur. Diese sollte ein Teil der Unternehmenskultur sein und setzt sich zum Ziel eben jenes Sicherheitsbewusstsein bei den Mitarbeitern zu entwickeln, um sich und die Firma vor Schäden durch Cyberattacken zu bewahren.

Der auf IT-Sicherheit spezialisierte Berufsverband Information Systems Audit and Control Association (ISACA), definiert den Begriff Kultur auf seiner Webseite folgendermaßen: »A pattern of beha viors, beliefs, assumptions, attitudes and ways of doing things« – übersetzt also, als ein ›Muster aus Grundhaltungen, Annahmen und Glaubenseinstellungen sowie Verhalten und Verhaltensweisen‹.

Reduziert man diese Definition nun auf ihre Kernaussagen und integriert sie in den Bereich der IT-Sicherheit, so bleiben am Ende drei Kernkomponenten bestehen, an denen sich die in einem Betrieb herrschende Sicherheitskultur festmachen lässt:

Erstens Wissen: Der Wissensstand der Belegschaft über Cyberrisiken sowie Maßnahmen zu ihrer Erkennung und Abwehr bildet die erste Komponente. Hierzu zählt auch und gerade das Wissen um die eigenen Fähigkeiten und Möglichkeiten, sich aktiv in den Schutz des Unternehmens einzubringen.
Zweitens Einstellung: Die Selbsteinschätzung der Mitarbeiter, ihre Wahrnehmung von sich selbst als einem integralen Bestandteil der Cyberabwehr ihres Unternehmens, bildet die zweite Komponente. Hierzu zählt auch der Glaube an die Sinnhaftigkeit ihrer persönlichen Mitwirkung. Er treibt ihr Engagement an, gewährleistet, dass Sicherungsmaßnahmen von ihnen nicht als Ablenkung oder gar als Störung ihrer eigentlichen Tätigkeiten verstanden werden.
Drittens Unterbewusstsein: Die unterbewusst unternommenen Handlungen der Mitarbeiter schließlich, welche ebenfalls zur Anhebung der Unternehmenssicherheit beitragen, bilden die dritte Komponente. Hierzu zählt beispielsweise das grundlegende Misstrauen, mit dem Mitarbeiter in ihrem digitalen Arbeitsalltag Anomalien begegnen.

Wie kann eine solide Sicherheitskultur aufgebaut werden?

Zunächst muss der Support der Geschäftsführung eingeholt werden. Nur, wenn sie die Sicherheitskultur vorleben, wird die Belegschaft ihr Verhalten anpassen und sich damit auseinandersetzen. Diese Unterstützung ist also die Grundvoraussetzung für die erfolgreiche Etablierung einer Sicherheitskultur. Um diese Ebene an Bord zu holen, muss die Sprache der IT-Sicherheit auf die Folgen, vor allem die finanziellen Folgen heruntergebrochen werden. Darüber hinaus sollten sie positiv ins Boot geholt werden, Vorwürfe mag niemand hören und das hilft auch nicht um diese Ebene zu motivieren. Der dritte Punkt ist dann nicht alle Themen gleichzeitig vorzubringen, sondern klein anzufangen.

Es geht also darum die Führungsebene abzuholen und dann die Security Awareness zu erzeugen und zwar bei jedem Mitarbeiter eines Unternehmens. Im dritten Schritt folgt dann kontinuierliche Tests mit Phishing-E-Mails, die auf die Abteilungen und deren speziellen Prozessen abgestimmt sind. Eine Buchhaltung wird anderes gephisht wie die Geschäftsführung und so weiter und so fort.

Generell empfehlen wir zuerst zu testen, dann ein Training durchzuführen und die Testergebnisse dort einfließen zu lassen. Nach dem Security Awareness Training, dass dann abteilungsspezifisch oder teilweise auch individuell zusammengestellt werden kann, wird ein weiterer Test durchgeführt. So kann die Wirksamkeit des Trainings direkt überprüft werden.

In unserem aktuellen »What keeps you up at Night«-Report sahen 61 Prozent der 300 befragten deutschen IT-Entscheider ihr Unternehmen beziehungsweise ihre Organisation in puncto Sicherheitskultur bereits optimal aufgestellt. Lediglich 28 Prozent stellen Probleme in der Umsetzung fest. Und nur 11 Prozent geben an, dass sich ihre Arbeitgeber bereits bei der Entwicklung einer Sicherheitskultur vor unlösbare Probleme gestellt sehen. Eigentlich ein positives Ergebnis. In puncto Sicherheitsstrategie und -kultur scheinen deutsche Unternehmen und Organisationen – so die Einschätzung der deutschen IT-Entscheider – gut aufgestellt. Doch bekommt dieses Bild rasch Risse, wenn die Entscheider nicht nach dem »Stand von« sondern ihren »Sorgen und Ängsten um« diese Sicherheitsarchitekturen befragt werden. Denn hier kommen Schwachstellen und Risiken – und damit der tatsächliche Stand der IT-Sicherheit – unverfälscht zum Vorschein.

Der andere Trend, der gegen diese Aussage spricht, ist, dass Phishing in so ziemlichen jedem Report, der sich mit dem Thema beschäftigt eher zunimmt, als abnimmt. Die Ergebnisse unseres Phishing Reports für Q2 2020 zeigen auf, dass Phishing-E-Mails im Zusammenhang mit Covid-19 auch im 2. Quartal 2020 weiterhin häufig vorkommen. Von April bis Ende Juni waren simulierte Phishing-Tests mit einer Betreffzeile im Zusammenhang mit dem Coronavirus am beliebtesten (56 Prozent aller versendeten E-Mails). Social-Media-Nachrichten sind ein weiterer Bereich, der beim Phishing Anlass zur Sorge gibt. Die am öftesten angeklickten E-Mail-Betreffzeilen in den sozialen Medien betreffen Passwortrücksetzungen, das Tagging von Fotos und neuen Nachrichten. Vor allem das Phishing über Linkedin nimmt zu.

Was kommt nach Phishing? Deepfakes?

Deepfakes sind sehr schwierig zu erkennen, vor allem Deepfake-Calls mit angeblichen Vorgesetzten. Foto-Deepfakes sind ebenfalls leicht zu erstellen, schwieriger werden Deepfakes per Video. Zum Glück ist das oft noch Zukunftsmusik, so dass wir noch einige Jahre zur Vorbereitung haben, aber wir haben bereits jetzt das eine oder andere in unserer Datenbank, dass zumindest die verschiedenen Techniken aufzeigt und erläutert.

In der nahen Zukunft wird Phishing das Mittel der Wahl der Cyberkriminellen bleiben. Hier kommt es eher auf die Qualität als die Techniken dahinter an. Durch besseres Social Engineering werden die Phishing-E-Mails immer besser, die Klickraten immer besser, weil eben die Basics der Security Awareness in zu vielen Unternehmen nach wie vor fehlen und die Sicherheitskultur, wenn überhaupt sehr gering ausgeprägt ist. Hier müssen Unternehmen reagieren, wenn sie sich und ihre Mitarbeiter vor Cyberbedrohungen schützen wollen und die Chancen der menschlichen Firewall auch nutzen wollen. Mitarbeiter sind eine sehr wichtige Ressource, besonders in der IT-Sicherheit und das fängt bereits beim Geschäftsführer an.

[1] https://www.isaca.org/resources/glossary

Illustration: © yod67, VVadi4Ka /shutterstock.com

973 Artikel zu „Kultur Sicherheit“

NEWS | BUSINESS PROCESS MANAGEMENT | EFFIZIENZ | FAVORITEN DER REDAKTION | STRATEGIEN

Das Datenchaos ordnen: Mit neuer Datenkultur Sicherheit und Effizienz für Unternehmen heben

17. Januar 2020

Unstrukturierte Daten benötigen nicht nur Speicherplatz – sie sind ein echter Kostenfaktor und stellen ein Sicherheitsrisiko dar. Unternehmen brauchen deshalb eine Strategie, wie sie mit ihren Dateien nachhaltig umgehen können. Dazu gehört zum einen, die alten Datenberge abzubauen. Software kann dabei eine wertvolle Unterstützung bieten. Noch wichtiger ist es aber, eine Datenkultur aufzubauen, so dass…