Mit Security Awareness ist es wie mit dem Geburtstag – einmal im Jahr ist man dran, oder?
Viele Unternehmen erachten Security Awareness als ein notwendiges Übel, das man einmal im Jahr im Rahmen seines Informationssicherheits-Managementsystems (ISMS) behandeln muss. Wieso ist das so und warum kann diese Ansicht gefährlich werden?
Für das Funktionieren von Informationssicherheit im Unternehmen müssen viele Maßnahmen ergriffen werden, da nur so Unternehmenswerte vor Verlusten jeglicher Art geschützt werden können. Zu diesen Maßnahmen gehören beispielsweise technische Lösungen, wie Firewalls, Antivirusprogramme oder Logging-Verfahren, aber auch organisatorische Maßnahmen wie das Verwalten von Zutritts-, Zugangs- und Zugriffsrechten. Die Sensibilisierung der Mitarbeiter fällt ebenfalls unter die organisatorischen Maßnahmen, wird aber oft stiefmütterlich behandelt.
Mitarbeiter zu sensibilisieren ist für viele ein scheinbar aufwändiger Kraftakt, der überflüssig erscheint. Jeder weiß doch schließlich, dass man nicht auf große rote Buttons in E-Mails klickt, die einem sagen, man hätte etwas gewonnen und könne sich „hier“ jetzt seinen Gewinn abholen. Nur eben schnell noch Vor-, Nachname, Anschrift, Alter, Kontonummer, Anzahl der Kinder, Mädchenname der Mutter und den Namen der ersten Schule, etc. angeben. Und unbekannte USB-Sticks verwendet ja sicher niemand… Natürlich würde jeder behaupten, diese Sachen zu wissen und dass Hacks ja immer nur den anderen passieren. Aber sind wir mal ehrlich, wer ist schon gänzlich gegen seine Menschlichkeit gewappnet. Vermutlich niemand, denn im stressigen Arbeitsalltag denkt man nicht immer an diese Dinge und jedem passieren mal Fehler. Da ist ein Security Vorfall nicht so unwahrscheinlich.
Oft versuchen Unternehmen die Situation zu lösen, indem der Mitarbeiter durch technische Maßnahmen eingeschränkt wird. Dies erscheint manchen vielversprechender als die strukturierte Sensibilisierung von Mitarbeitern. Leider ist das ein Irrglaube. In Fachkreisen wird längst klar kommuniziert, dass der Mensch eines der größten Sicherheitsrisiken darstellt und die Awareness der Mitarbeiter in der Maßnahmenliste priorisiert behandelt werden sollte.
Stellt sich also die Frage, warum nur bei technischen Maßnahmen zyklische Verbesserungsprozesse etabliert und Awareness Maßnahmen meist mit einer jährlichen Schulung der Mitarbeiter abgehandelt werden. Sollte Awareness nicht allgegenwärtig sein und zur Gewohnheit werden?
Wir empfehlen, den Menschen stärker in den Fokus zu setzen. Dies bedeutet eine stärkere und ehrlichere Beurteilung im Risikomanagement und unterschiedliche Maßnahmen zur Vermittlung eines Sicherheitsbewusstseins sowie entsprechende Handlungsvorgaben. Im einfachsten Fall heißt dies, die Konzeption verschiedener Maßnahmen, verteilt über ein Kalenderjahr. Je nach Größe des Scopes empfiehlt es sich, auch ein Projekt im Projekt anzulegen. Hier werden dann Kulturen, Gruppen, Wissen, Assets und Schwachstellen analysiert und nach ISMS-Zielen ausgewertet und weiterentwickelt. Somit kann sichergestellt werden, dass in den unternehmenskritischen Bereichen gezielt Wissen aufgebaut wird. Zudem werden didaktisch die Methoden gewählt, die am besten zur jeweiligen Zielgruppe passen.
Beschäftigt man sich mit dem Thema Informationssicherheit, ist Security Awareness nicht so aufwändig wie manche glauben. Die Mühe lohnt sich!
Was Sie auch interessieren könnte:
Seminar:
„Security Awareness – Führungsaufgabe und Konzept“
Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.
Podcast:
Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.
Hören Sie rein!