Dorit Richter vom DENIC Team für Information Security hat an der Cybersecurity-Konferenz im Mai in München teilgenommen und ist mit vielen wertvollen Anregungen zurückgekommen
Security Awareness: Was ist das eigentlich?
Firewalls, Zwei-Faktor-Authentifizierung, Passwortmanager – wenn es um die IT-Sicherheit geht, nutzt DENIC alle Möglichkeiten. Auch Security Awareness ist ein wichtiger Bereich im weiten Feld der Informationssicherheit und zudem Teil der relevanten ISO-Vorgaben. Dabei geht es darum, Mitarbeiter für Themen rund um die Sicherheit der IT-Systeme zu sensibilisieren. Wie aber kann man Akzeptanz für die ungeliebten Maßnahmen erreichen, die häufig lediglich als Behinderung der eigentlichen Arbeit wahrgenommen werden?
Angenehme Maßnahmen für ein unangenehmes Thema
Die TAKE AWARE als größte Security Awareness-Konferenz im deutschsprachigen Raum hat hier unkonventionelle Lösungen vorgestellt. So können Cyberrisiken zum Beispiel spielerisch mit Kreuzworträtseln, einem Quiz oder auch Online-Actionspielen greifbarer gemacht werden. Oder die Mitarbeiter erfahren im Escape Room quasi am eigenen Leib wie es ist, wenn der Screen mit dem mühsam erarbeiteten Konzept plötzlich unwiederbringlich dunkel wird. Solch ein Erlebnis löst dann doch ein Umdenken in den Köpfen aus und wird animiert in der Belegschaft weitergetragen.
Warum der Mensch so ungern ein wenig Umstand für die Sicherheit in Kauf nimmt, wenn es doch so viel zu tun gibt, ist in verschiedenen Studien untersucht worden. Da ist der Gedankenfluss, der nicht unterbrochen sein will oder die Deadline, die man nicht reißen möchte oder einfach der Unmut, immer mehr lästige zusätzliche Schritte tun zu müssen. Zum Glück gibt es Maßnahmen, die sich mühelos in den Arbeitsablauf integrieren lassen oder sogar vom User überhaupt nicht bemerkt werden. So kann man zum Beispiel technisch verhindern, dass gefährliche Anhänge oder Links überhaupt in die Mailboxen der Kollegen gelangen können.
Großkonzerne nehmen Security Awareness mittlerweile so wichtig, dass einige von ihnen sogar eigene Abteilungen dafür eingerichtet haben. Auf der Konferenz haben sie ihre Erkenntnisse und Best Practices für erfolgreiche Awareness-Kampagnen geteilt.
Entscheidend: eine positiv besetzte Sicherheitskultur
DENIC Security hat von dem unvoreingenommenen Austausch nach der Chatham-Haus-Regel, der die Konferenz auszeichnet, viel mit genommen – auch bezüglich des eigenen Awareness-Konzepts für die Vermittlung der Problematiken. Die Angriffstaktiken von Cyberkriminellen entwickeln sich ständig und sehr schnell weiter. Mitarbeiter müssen daher nicht nur gut geschult sein, um Angriffe erkennen und mit Selbstvertrauen darauf reagieren zu können. Das A und O ist eine positiv besetzte Sicherheitskultur.
DENIC bleib auch hier am Ball und setzt sich für die stetige Weiterentwicklung des bestehenden Awareness-Programms mit den aktuellen Erkenntnissen in Wissenschaft und Forschung auseinander – ganz im Sinne unseres Mottos „for a responsible internet“.