Grundlagen

Gefahren-Sensibilisierung von Mitarbeitern

Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT- wie auch nicht-digitalen Informationssicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus - schnell geraten vertrauliche Unternehmensdaten in die falschen Hände oder das Netzwerk ist infiziert. Wie Sie bei Ihren Mitarbeitern für die nötige Sensibilität sorgen, erläutert dieser Beitrag.
Eine inzwischen weit verbreitete Social Engineering-Form stellen Phishing-Mails dar. Eine derartige E-Mail hat wahrscheinlich jeder Nutzer schon in seinem Posteingang vorgefunden. In ihnen wird wahlweise vorgegaukelt, Sie hätten bei eBay, Amazon oder PayPal eine Transaktion abgeschlossen, bei der es Fehler gab. Sie sollten dies doch korrigieren, indem Sie die Seite besuchen.

Folgen die User diesem Aufruf, stoßen sie auf eine Webseite, die dem Original sehr ähnlich sieht. Dort werden sie aufgefordert, Passwörter oder TANs einzugeben. Werden nun tatsächlich funktionierende Account-Daten preisgegeben, geht der Diebstahl auf dem realen Konto los. Dabei ist eine Erkennung der gefälschten Webseite meist einfach, Indizien sind beispielsweise

- Sicherheitszertifikat abgelaufen, fehlerhaft oder gar nicht vorhanden
- URL oder Domain der Webseite scheinen merkwürdig, etwa e-bay.tv
- Es finden sich Rechtschreibfehler in der E-Mail und auf der Webseite

Ebenfalls nicht zu verachten sind scheinbar liegengelassene USB-Sticks, die sich auf dem Firmenparkplatz oder in öffentlich zugänglichen Bereichen des Unternehmens finden. Schließt der neugierige Finder einen solchen Stick an den Rechner an, fängt er sich eine raffinierte Malware ein und infiziert womöglich einen Großteil des Firmennetzwerks. Zu verlockend sind schließlich die darauf enthaltenen Dokumente, wie die vermeintliche Gehaltsliste des Vorstands oder die Kandidaten für eine anstehende Kündigungswelle. Es wird vermutet, dass auch die staatlich in Auftrag gegebene Malware Stuxnet per USB-Stick in die iranische Atomanlage Natanz gelangt ist.

Aber wie auch immer ein Angriff erfolgt oder Sie die Bedrohungslage einschätzen: Lassen sich die Benutzer in einem geglückten Fall tatsächlich verantwortlich machen? Womöglich, wenn Sie ein vollumfängliches Schulungs- und Sensibilisierungsprogramm etabliert hätten. Dies ist übrigens auch die einzige sinnvolle Methode, sich gegen jedwede Form des Social Engineerings zu schützen. Es gibt viele technische Maßnahmen, um E-Mails zu filtern oder aufgerufene Webseiten zu kontrollieren, doch letztendlich bleibt der User das schwächste Glied in der Kette.

BSI-Schulungskonzept
Das BSI hat deshalb im Rahmen des Grundschutzkatalogs eigene Maßnahmen zur Konzeption und Etablierung eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit veröffentlicht:

1. Lernziele definieren: Hierbei geht es hauptsächlich um das Skizzieren der Erfolgskriterien sowie das Erlangen von Aufmerksamkeit und Grundwissen über Informationssicherheit.

2. Zielgruppenorientiertes Training und Sensibilisierung: Jeder Mitarbeiter ist in andere Prozesse des Unternehmens eingebunden. Dementsprechend können auch unterschiedliche Sicherheitsziele relevant sein. Daher empfiehlt sich die Unterteilung in Managementebene (haben meist wenig Zeit), Mitarbeiter (abhängig von jeweiligen Einsatzgebiet und -ort), Administratoren (detailliertere und umfassendere Schulung aufgrund der Thementiefe notwendig) und externe Mitarbeiter.

3. Lernbedürfnisse identifizieren: Typische Lernbedürfnisse sind die Sensibilisierung für alle Mitarbeiter, aber insbesondere der Managementebene, die Einarbeitung neuer Mitarbeiter, Grundlagenwissen für alle Mitarbeiter, Spezialkenntnisse für bestimmte Gruppen wie Sicherheitsspezialisten und Administratoren.

4. Lerninhalte festlegen: Die Schulungs- und Sensibilisierungsmaßnahmen sollten abhängig von der Zielgruppe nicht zu langatmig oder technisch detailliert ausfallen. Alle Mitarbeiter sollten alle internen Leitlinien, Regelungen und Verfahren zur Informationssicherheit
kennen, die für ihren Arbeitsplatz relevant sind. Dafür ist es natürlich auch wichtig, dass es nicht zu viele Vorgaben, Regeln und Dokumente zur Informationssicherheit gibt. Das Regelwerk sollte einfach und überschaubar ausgestaltet sein.

5. Methoden und Medien auswählen: Schulungsbegleitend und zur Erinnerung der Mitarbeiter empfehlen sich unter anderem folgende Maßnahmen:
- Informationsbörse zur Informationssicherheit im Intranet,
- Mitarbeiterzeitung,
- E-Mails zu aktuellen Sicherheitsfragen, Anmeldebildschirm mit Sicherheitsinformationen,
- Rundschreiben und Zeitschriften mit sicherheitsrelevanten Themen,
- interne und externe Informationsveranstaltungen.

6. Durchführung: Alle Ausbildungsangebote sollten auf die vorliegenden Bedürfnisse abgestimmt sein und modularisierbar sein, sodass jede Zielgruppe ausreichend und in angemessener Tiefe geschult werden kann.

7. Erfolg und Effektivität kontrollieren: Nebst der klassischen Erfolgskontrolle bieten sich anonyme Fragebogen oder Abschlusstests an. Alternativ oder Ergänzend können stichprobenartige Lernkontrollen im Nachhinein durchgeführt werden – sperrt der Benutzer seinen Rechner, meldet er sich abends ab? Dies findet natürlich nur im datenschutzrechtlich zugelassenen Rahmen statt.

8. Wissen regelmäßig aktualisieren: Das Schulungsangebot sollte sich nicht ausschließlich an neue Mitarbeiter richten, sondern auch für erfahrenere Mitarbeiter in regelmäßigen Abständen Auffrischungs- und Ergänzungskurse vorsehen. Denn nicht nur die IT (-Sicherheit) entwickelt sich, es werden auch regelmäßig neue Bedrohungen bekannt.
30.09.2014/Thomas Gronenwald/dr

Nachrichten

Schutzschild für die Cloud [22.02.2021]

Die neueste Version von Tufin SecureCloud unterstützt nun auch die Google Cloud-Plattform und bietet den Kunden so die Möglichkeit, Compliance-Richtlinien zu definieren und zu überwachen. Mit Amazon Web Services, Microsoft Azure sowie der Cloud-Plattform von Google unterstützt Tufin fortan die drei führenden Cloudanbieter, was vor allem Unternehmen mit Multi-Cloud-Strategie nützt. [mehr]

Kostenfreier Passwort-Manager von Avira [19.02.2021]

Nutzer, die ihre Passwörter kostenlos und geräteübergreifend verwalten möchten, können dies mit dem "Avira Password Manager" tun. Damit lassen sich sichere Passwörter generieren, speichern, verwalten und synchronisieren. Der Password Manager meldet Nutzer automatisch bei allen Online-Konten an – egal ob unter Windows, Mac, iPhone oder Android. [mehr]

Tipps & Tools

Im Test: Veeam Availability Suite 11 [28.01.2021]

Die Datensicherungssoftware Veeam Backup & Replication als Hauptbestandteil der Availability Suite ist seit Jahren bei KMU weit verbreitet. Zusätzliche Anforderungen wie der Betrieb in der Cloud und der Einsatz auf verschiedenen Virtualisierungsplattformen verlangen immer wieder Funktionserweiterungen. Sehr interessant für Multiplattform- und Cloudumgebungen sind die Möglichkeiten zur VM-Migration und -Konvertierung. Gut gefallen in Version 11 hat uns außerdem die CDP-Funktion, um bei einem Ausfall einen Failover mit nur minimalem Datenverlust zu realisieren. [mehr]

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen