Grundlagen

Gefahren-Sensibilisierung von Mitarbeitern

Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT- wie auch nicht-digitalen Informationssicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus - schnell geraten vertrauliche Unternehmensdaten in die falschen Hände oder das Netzwerk ist infiziert. Wie Sie bei Ihren Mitarbeitern für die nötige Sensibilität sorgen, erläutert dieser Beitrag.
Eine inzwischen weit verbreitete Social Engineering-Form stellen Phishing-Mails dar. Eine derartige E-Mail hat wahrscheinlich jeder Nutzer schon in seinem Posteingang vorgefunden. In ihnen wird wahlweise vorgegaukelt, Sie hätten bei eBay, Amazon oder PayPal eine Transaktion abgeschlossen, bei der es Fehler gab. Sie sollten dies doch korrigieren, indem Sie die Seite besuchen.

Folgen die User diesem Aufruf, stoßen sie auf eine Webseite, die dem Original sehr ähnlich sieht. Dort werden sie aufgefordert, Passwörter oder TANs einzugeben. Werden nun tatsächlich funktionierende Account-Daten preisgegeben, geht der Diebstahl auf dem realen Konto los. Dabei ist eine Erkennung der gefälschten Webseite meist einfach, Indizien sind beispielsweise

- Sicherheitszertifikat abgelaufen, fehlerhaft oder gar nicht vorhanden
- URL oder Domain der Webseite scheinen merkwürdig, etwa e-bay.tv
- Es finden sich Rechtschreibfehler in der E-Mail und auf der Webseite

Ebenfalls nicht zu verachten sind scheinbar liegengelassene USB-Sticks, die sich auf dem Firmenparkplatz oder in öffentlich zugänglichen Bereichen des Unternehmens finden. Schließt der neugierige Finder einen solchen Stick an den Rechner an, fängt er sich eine raffinierte Malware ein und infiziert womöglich einen Großteil des Firmennetzwerks. Zu verlockend sind schließlich die darauf enthaltenen Dokumente, wie die vermeintliche Gehaltsliste des Vorstands oder die Kandidaten für eine anstehende Kündigungswelle. Es wird vermutet, dass auch die staatlich in Auftrag gegebene Malware Stuxnet per USB-Stick in die iranische Atomanlage Natanz gelangt ist.

Aber wie auch immer ein Angriff erfolgt oder Sie die Bedrohungslage einschätzen: Lassen sich die Benutzer in einem geglückten Fall tatsächlich verantwortlich machen? Womöglich, wenn Sie ein vollumfängliches Schulungs- und Sensibilisierungsprogramm etabliert hätten. Dies ist übrigens auch die einzige sinnvolle Methode, sich gegen jedwede Form des Social Engineerings zu schützen. Es gibt viele technische Maßnahmen, um E-Mails zu filtern oder aufgerufene Webseiten zu kontrollieren, doch letztendlich bleibt der User das schwächste Glied in der Kette.

BSI-Schulungskonzept
Das BSI hat deshalb im Rahmen des Grundschutzkatalogs eigene Maßnahmen zur Konzeption und Etablierung eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit veröffentlicht:

1. Lernziele definieren: Hierbei geht es hauptsächlich um das Skizzieren der Erfolgskriterien sowie das Erlangen von Aufmerksamkeit und Grundwissen über Informationssicherheit.

2. Zielgruppenorientiertes Training und Sensibilisierung: Jeder Mitarbeiter ist in andere Prozesse des Unternehmens eingebunden. Dementsprechend können auch unterschiedliche Sicherheitsziele relevant sein. Daher empfiehlt sich die Unterteilung in Managementebene (haben meist wenig Zeit), Mitarbeiter (abhängig von jeweiligen Einsatzgebiet und -ort), Administratoren (detailliertere und umfassendere Schulung aufgrund der Thementiefe notwendig) und externe Mitarbeiter.

3. Lernbedürfnisse identifizieren: Typische Lernbedürfnisse sind die Sensibilisierung für alle Mitarbeiter, aber insbesondere der Managementebene, die Einarbeitung neuer Mitarbeiter, Grundlagenwissen für alle Mitarbeiter, Spezialkenntnisse für bestimmte Gruppen wie Sicherheitsspezialisten und Administratoren.

4. Lerninhalte festlegen: Die Schulungs- und Sensibilisierungsmaßnahmen sollten abhängig von der Zielgruppe nicht zu langatmig oder technisch detailliert ausfallen. Alle Mitarbeiter sollten alle internen Leitlinien, Regelungen und Verfahren zur Informationssicherheit
kennen, die für ihren Arbeitsplatz relevant sind. Dafür ist es natürlich auch wichtig, dass es nicht zu viele Vorgaben, Regeln und Dokumente zur Informationssicherheit gibt. Das Regelwerk sollte einfach und überschaubar ausgestaltet sein.

5. Methoden und Medien auswählen: Schulungsbegleitend und zur Erinnerung der Mitarbeiter empfehlen sich unter anderem folgende Maßnahmen:
- Informationsbörse zur Informationssicherheit im Intranet,
- Mitarbeiterzeitung,
- E-Mails zu aktuellen Sicherheitsfragen, Anmeldebildschirm mit Sicherheitsinformationen,
- Rundschreiben und Zeitschriften mit sicherheitsrelevanten Themen,
- interne und externe Informationsveranstaltungen.

6. Durchführung: Alle Ausbildungsangebote sollten auf die vorliegenden Bedürfnisse abgestimmt sein und modularisierbar sein, sodass jede Zielgruppe ausreichend und in angemessener Tiefe geschult werden kann.

7. Erfolg und Effektivität kontrollieren: Nebst der klassischen Erfolgskontrolle bieten sich anonyme Fragebogen oder Abschlusstests an. Alternativ oder Ergänzend können stichprobenartige Lernkontrollen im Nachhinein durchgeführt werden – sperrt der Benutzer seinen Rechner, meldet er sich abends ab? Dies findet natürlich nur im datenschutzrechtlich zugelassenen Rahmen statt.

8. Wissen regelmäßig aktualisieren: Das Schulungsangebot sollte sich nicht ausschließlich an neue Mitarbeiter richten, sondern auch für erfahrenere Mitarbeiter in regelmäßigen Abständen Auffrischungs- und Ergänzungskurse vorsehen. Denn nicht nur die IT (-Sicherheit) entwickelt sich, es werden auch regelmäßig neue Bedrohungen bekannt.
30.09.2014/Thomas Gronenwald/dr

Nachrichten

Hacker-Angriff auf Marriott möglicherweise politisch motiviert [14.12.2018]

Berichten zufolge steckt hinter einer massiven Cyberattacke in einer Marriott-Hotelkette ein chinesischer Geheimdienst, der die persönlichen Informationen von bis zu 500 Millionen Kunden erbeutete. Dies meldet das IT-Sicherheitsunternehmen Vectra. [mehr]

Sicherheitslücken in verbreiteten IoT-Protokollen [14.12.2018]

Trend Micro warnt Unternehmen vor möglichen Sicherheitslücken in ihrer Betriebstechnologie. Forscher des japanischen IT-Sicherheitsanbieters entdeckten massive Schwachstellen und gefährdete Anwendungen von zwei weit verbreiteten Protokollen für die Machine-to-Machine-Kommunikation. [mehr]

Tipps & Tools

Audioprobleme bei Remotesession beheben [2.12.2018]

Wer Linux-Endgeräte im Zusammenspiel mit der USB-Geräteumleitung von Audiogeräten in einer XenApp/Virtual-Apps-Remotesession nutzt, steht unter Umständen vor folgendem Problem: Die USB-Geräteumleitung von Audiogeräten über einen Linux-Receiver zum Server-VDA auf Basis von Windows Server 2016 funktioniert nicht korrekt. Das Gerät erscheint zwar im Gerätemanager, wird jedoch nicht unter Wiedergabegeräte als Audio-Ein-/Ausgabegerät angezeigt. Doch es gibt eine einfach Lösung. [mehr]

Neues Training: Amazon Web Services für KMUs [26.11.2018]

Nach anfänglichen, hauptsächlich auf Sicherheitsfragen basierenden Bedenken gegen die Nutzung von Public-Cloud-Diensten, steigt der Einsatz von IaaS- oder SaaS-Diensten nun auch bei in Deutschland beheimateten Unternehmen rasant an. Doch gerade für KMU mit einer kleinen IT-Mannschaft gilt es dabei, die Komplexität der von Amazon Web Services angebotenen Dienste ebenso zu beherrschen wie die Integration in die lokale IT. Unser  Training im Frühjahr 2019 greift Ihnen unter die Arme. [mehr]

Buchbesprechung

Praxisbuch IT-Dokumentation

von Manuela und Georg Reiss

Anzeigen