Human Firewall: Sensibilisierung von Mitarbeitenden
Der Faktor Mensch spielt im Bereich der Informationssicherheit eine nicht zu unterschätzende Rolle: Technologien können noch so viel Sicherheit versprechen – sie nützen wenig, wenn der davorsitzende Mensch sie nicht oder nicht richtig anwenden kann oder seine Kenntnisse zu gering dafür sind, realistische Bedrohungen als solche wahrzunehmen. Der Mensch ist oftmals das schwächste Glied in der IT-Security – es sei denn, er wird gestärkt: Mit Awareness-Maßnahmen. Dann wird der Mensch zur Human Firewall und kann das Unternehmen nachhaltig mit seinem Wissen „härten“.
Im heutigen Beitrag gehen wir der Human Firewall auf den Grund: Nach einer Begriffserläuterung grenzen wir die menschliche Firewall-Variante von echten Firewalls ab. Die Wichtigkeit von Awareness-Maßnahmen belegen wir mit erstaunlichen Zahlen aus einer Studie. Zum Schluss erfahren Sie, welche Punkte beim Aufbau einer Human Firewall besonders wichtig sind und wie wir Sie unterstützen können.
Was ist Human Firewall?
Verschiedene Sicherheitsstudien zeigen immer wieder: Der Mensch ist eines der am häufigsten genutzten Einfallstore für Cybersecurity-Angriffe. Immer wieder gelingt es Cyberkriminellen, Firmennetzwerke zu kapern, Informationen zu stehlen oder Login-Daten abzugreifen. Das nicht etwa ausschließlich durch technische Sicherheitslücken, sondern durch eine menschliche: Mitarbeitende, die oft unbewusst und unbeabsichtigt Tür und Tor für Cyberkriminelle öffnen.
Es verwundert kaum, dass Cyberkriminelle eben diese Sicherheitslücke für sich entdeckt haben: Menschliche Schwächen wie Neugierde, Naivität, aber auch das Verhalten in Drucksituationen spielen den Kriminellen in die Hände. Hinzu kommt, dass Angriffe zunehmend automatisiert erfolgen, denn zur natürlichen Intelligenz der Hacker kommt noch Künstliche Intelligenz (KI) hinzu. So gelingen beispielsweise Deepfakes, die ein immenses Schadenspotenzial in sich tragen.
Angriffe finden im beruflichen, aber auch im privaten Kontext statt – unabhängig davon haben fast alle Angriffe eines gemein: Von den Systemen sind sie nur schwer zu erkennen. Eine verlässliche und 100-prozentige Absicherung ausschließlich von technischer Seite ist also nicht möglich. Die Corona-Krise hat die Situation nicht besser gemacht: Häufig sind Zielpersonen von Angriffen nun aufgrund von Home-Office auf sich allein gestellt.
Nutzende als Teil der Informationssicherheit begreifen
Im beruflichen Umfeld kann ein Perspektivwechsel helfen, das oben beschriebene Dilemma zu durchbrechen: Nutzende sollten als elementarer Teil der Informationssicherheit verstanden werden. Dieser Perspektivwechsel ist für Arbeitgebende und Arbeitnehmende gleichermaßen bedeutsam: Mitarbeitende agieren als Teil der unternehmensweiten Security, während Führungskräfte ihre Teams als lebendigen Bestandteil des Sicherheitskonzepts verstehen.
Mit diesem Perspektivwechsel wären beispielsweise Social Engineering-Angriffe, bei denen das Manipulieren im Vordergrund steht, weniger erfolgreich: Mitarbeitende, die als elementarer Bestandteil der Sicherheitsstrategie des Unternehmens verstanden werden, werden für gewöhnlich umfassend geschult. Durch die Schulungen ist den Mitarbeitenden bewusst, mit welchen Taktiken Cyberkriminelle Social Engineering-Angriffe starten können. Erwischt ein Cyberkrimineller eine geschulte Mitarbeiterin, wird diese nicht in seine Falle tappen – und dem Unternehmen bleibt ein Sicherheitsvorfall erspart.
Studie: Schulungen wirken!
Eine Untersuchung der COGITANDA Risk Prevention GmbH, von der it-daily.net berichtet, zeigt: Etwa 30 Prozent der Belegschaft fallen auf vergleichsweise einfache betrügerische E-Mails herein, wenn sie nicht über die Risiken von Phishing aufgeklärt wurden. Wie oben schon erwähnt, macht es der Remote-Work-Trend den Kriminellen noch einfacher: Oft würde es reichen, im Café auszuharren und den Blick über fremde Bildschirme schweifen zu lassen.
Offene Bildschirme in der Öffentlichkeit oder simple Phishing-Nachrichten – das passiert nur bei Mitarbeitenden, die sich der Gefahren nicht bewusst sind. Mitarbeitende, die durch Awareness-Maßnahmen zur Human Firewall werden, wissen um klassische Gefahren wie konventionelles Phishing, kennen aber auch spezielle Ausprägungen wie Quishing. Sie sind mit Sicherheitsprinzipien wie Zero Trust genauso vertraut wie mit Malware-Reports zum Einschätzen der Sicherheitslage.
Human Firewall: So sollte geschult werden
Wie gelingt es nun, Mitarbeitende zur Human Firewall werden zu lassen? Verständlich sollte sein, dass es mit einer einmaligen Grundlagenschulung zur IT-Sicherheit keinesfalls getan ist. Bedenken Sie: Der Security- und Cybercrime-Sektor gehört zu den dynamischsten Bereichen überhaupt. Dieser sich stetig ändernden Lage muss auch beim Thema Awareness Rechnung getragen werden. Ihre Human Firewall muss einem Update-Prozess unterliegen – oder anders formuliert: Schulungen für Ihre Mitarbeitenden müssen regelmäßig stattfinden. Nur so können Sie mit den immer schnelleren Veränderungen arbeiten.
Neben regelmäßigen und umfassenden Schulungen ist es wichtig, über neue Angriffsformate zu kommunizieren. Angriffssimulationen sorgen für eben diese Kommunikation und helfen Ihnen, effektive „Human Firewalls“ aufzubauen. Möglichst realitätsnahe Inhalte der kontinuierlichen Cybersecurity-Schulungen sind wichtig, um Handlungsmöglichkeiten für die tägliche Praxis zu schaffen. Neben Schulungen zur Passwortsicherheit bieten sich deshalb auch welche über verschiedene Angriffsszenarien, beispielsweise Phishing, Man-in-the-middle-Angriffe oder Social Engineering an.
Aufbau einer Human Firewall
Um Ihre Human Firewall erfolgreich aufzubauen, gibt es einige Punkte, die besonderer Beachtung bedürfen:
- Motivation: Unternehmensweit sollte eine hohe Motivation zur sicherheitsbewussten und organisatorischen Denkweise vorherrschen. Wenn die Geschäftsführung mit gutem Beispiel vorangeht, ist bezüglich der Gesamtmotivation in aller Regel schon viel gewonnen.
- Kontinuität: Wenn eine technische Firewall nicht mehr aktualisiert wird, ist sie irgendwann so veraltet, dass sie nicht mehr korrekt absichert. Das ist bei der Human Firewall nicht anders. Deshalb ist Kontinuität beim Schulen wichtig: Updaten Sie Ihre Human Firewall regelmäßig; verfolgen Sie einen kontinuierlichen Weiterbildungsplan.
- Fokussieren: Es gibt so viele Bedrohungen, dass es ein Ding der Unmöglichkeit wäre, alle sicherheitsrelevanten Faktoren, Angriffsszenarien und Abwehrtechniken zu schulen. Konzentrieren Sie sich deshalb auf die häufigsten Bedrohungen und auf jene, die mit dem größten Risiko- und Schadenspotenzial einhergehen.
- Erst denken, dann handeln: Im Schadenfall gibt es in aller Regel kein Patentrezept – jeder Angriff ist so individuell wie das angegriffene Unternehmen. Deshalb ist es sinnvoll, sichere Lösungen für die individuellen Unternehmensprozesse schon im Vorfeld festzulegen, beispielsweise in Ihrer IT-Sicherheitsrichtlinie. So vermeiden Sie Ausnahmen genauso wie verletzte Kompetenzen.
- Testen: Führen Sie regelmäßige Sicherheitstests durch, um das Sicherheitslevel Ihrer Organisation hochzuhalten. Sie können beispielsweise intern Phishing-Tests durchführen, um zu prüfen, bei welchen Mitarbeitenden Schulungsbedarf besteht.
- Aus der Praxis für die Praxis: Lernbeispiele aus der Praxis machen Gelerntes für Ihre Mitarbeitenden erlebbar. Genauso wichtig sind aktive Lernmethoden, damit die Lerninhalte besser im Gedächtnis haften.
- Fortschritt nutzen: Sowohl der Cyberschutz-Fortschritt als auch sich entwickelnde Technologien wie Predictive Analytics (Voraussage künftiger Ereignisse auf Basis historischer Daten) sind Punkte, die Sie zu Ihrem Vorteil einsetzen können.
- Echtzeit-Feedback: Im Alltag sorgt Echtzeit-Feedback für ein Vertiefen und für das nachhaltige Schaffen des notwendigen Bewusstseins für Sicherheitsthemen.
Human Firewall: Gehen Sie auf Nummer sicher!
Es lohnt sich, aus Mitarbeitenden eine Human Firewall zu machen: Im Zusammenspiel mit technischen Präventionsmaßnahmen werden die Chancen von Cyberkriminellen immer geringer. Damit Sie mit dem Aufbau der Human Firewall in Ihrer Organisation loslegen können, bieten wir von Awareness-Schulungen bis zur Qualifizierung durch Zertifizierung alles, was das Informationssicherheits-Herz begehrt. Haben Sie Fragen zu unserem Schulungsangebot im Allgemeinen oder zur Human Firewall im Speziellen, freuen wir uns auf den Kontakt mit Ihnen!
Schreibe einen Kommentar