InfoSec-Awarness der Mitarbeiter

Sollen oder gar müssen alle Mitarbeitenden ins Boot geholt werden, wenn es um die Informationssicherheit einer Firma geht?

Hier gibt es zwei Meinungen:

• Nein: Informationssicherheit muss technisch gelöst werden ohne den Mitarbeitenden
• Ja: Ohne das Bewusstsein bei den Mitarbeitenden funktioniert Informationssicherheit nicht Schauen wir uns einige Punkte und Aspekte zu diesem Thema an.

Standards

Laut aktuellen Informationssicherheits-Standards sind die Mitarbeitenden ein wichtiges Asset, wenn es um Informationssicherheit geht. Es gilt bei den Mitarbeitenden die Awareness für solche Themen zu schärfen.

NIST

Das Security-Framework von NIST behandelt diese Thematik in einem eigenen Dokument:
NIST Special Publication 800-50
"Building an Information Technology Security Awareness and Training Program"
(nistspecialpublication800-50.pdf)

ISO 27000:2018

ISO 27000:2018 erwähnt das Thema “Trainings- und Awarness-Programm für alle Mitarbeitenden” im Kapitel “Kritische Erfolgsfaktoren eines ISMS (Information-Security-Management-Systems)

BSI-Grundschutz

Im BSI Grundschutz gibt es einen eigenen Prozess-Baustein unter "Organisation und Personal", welcher genau diese Thematik behandelt: "ORP.3: Sensibilisierung und Schulung zur Informationssicherheit" (ORP_3_Sensibilisierung_und_Schulung_Editon_2021.pdf)

Angriffe auf Menschen

Alle Angriffe nur technisch zu behandeln, reicht nicht aus. Bestimmte Angriffe werden gezielt auf Menschen oder sogar auf eine bestimmte Person durchgeführt. Diese Angriffe werden Social-Engeneering genannt. Man könnte sie auch lapidar "Internet-Betrug" nennen.

Zu Social-Engineering gehören:

• Phishing
• Spear-Phishing
• Smishing
• Tailgaiting
• CEO-Fraud
• Finance-Fraud
• Scams
• Dumpster Diving
• ...

Unternehmenskultur und Gewohnheiten

Die Art und Weise, wie Verdachtsfälle und Sicherheitsvorfälle im Unternehmen behandelt werden, ist entscheidend für das Verhalten der Mitarbeitenden. Ein Unternehmen sollte offen mit diesem Thema umgehen und bei Vorfällen nicht den Schuldigen suchen, sondern gemeinsam schauen, wie man sich für die Zukunft verbessern kann.

Sehr hilfreich ist eine interne Meldestelle, an welche sich die Mitarbeitenden wenden können, wenn sie Fragen zum Thema Informationssicherheit haben oder zum Beispiel nicht wissen, ob es sich bei einem E-Mail um Phishing handelt oder nicht.

Herausforderungen

Die Liste der Herausforderungen für ein erfolgreiches Awarness-Training bei den Mitarbeitenden ist sehr lange und benötigt Ressourcen wie Zeit und Geld:

• Die Mitarbeitenden haben andere Aufgaben
• Motivation der Mitarbeitenden für das komplexe Thema Informationssicherheit
• Mitarbeitende bekommen keine Zeit für die Schulungen
• Nachhaltigkeit von Phishing-Simulationen
• Nachhaltigkeit von e-Learnings
• Anweisungen werden von für Technikerinnen gemacht, nicht aber für Endbenutzer
• Ausbildung in Didaktik und Pädagogik fehlt oft, da der Background oft aus der IT kommt
• Zielgruppengerechte Kommunikation
• Gewohnheiten von Menschen zu verändern ist sehr schwierig
• Kulturen zu ändern ist sehr schwierig
• InfoSec wird als Hindernis wahrgenommen
• Policies werden für den Auditor geschrieben und nicht für die Mitarbeitenden
• Management muss Vorbildfunktion einnehmen, obwohl dort das Wissen meist auch fehlt
• Der richtige Zeitpunkt für ein effektives Training, so dass die Informationen aufgenommen werden können

Welche Themen sind im Minimum notwendig?

Es gibt drei Themen, welche mindestens Bestandteil in einem Awareness-Programm für die Mitarbeitenden sind:

1. Passwörter
2. Social Engineering / Online-Betrug
3. Wo kann sich der Mitarbeitende bei Fragen oder Vorfällen melden?