Grundlagen

Gefahren-Sensibilisierung von Mitarbeitern

Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT- wie auch nicht-digitalen Informationssicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus - schnell geraten vertrauliche Unternehmensdaten in die falschen Hände oder das Netzwerk ist infiziert. Wie Sie bei Ihren Mitarbeitern für die nötige Sensibilität sorgen, erläutert dieser Beitrag.
Eine inzwischen weit verbreitete Social Engineering-Form stellen Phishing-Mails dar. Eine derartige E-Mail hat wahrscheinlich jeder Nutzer schon in seinem Posteingang vorgefunden. In ihnen wird wahlweise vorgegaukelt, Sie hätten bei eBay, Amazon oder PayPal eine Transaktion abgeschlossen, bei der es Fehler gab. Sie sollten dies doch korrigieren, indem Sie die Seite besuchen.

Folgen die User diesem Aufruf, stoßen sie auf eine Webseite, die dem Original sehr ähnlich sieht. Dort werden sie aufgefordert, Passwörter oder TANs einzugeben. Werden nun tatsächlich funktionierende Account-Daten preisgegeben, geht der Diebstahl auf dem realen Konto los. Dabei ist eine Erkennung der gefälschten Webseite meist einfach, Indizien sind beispielsweise

- Sicherheitszertifikat abgelaufen, fehlerhaft oder gar nicht vorhanden
- URL oder Domain der Webseite scheinen merkwürdig, etwa e-bay.tv
- Es finden sich Rechtschreibfehler in der E-Mail und auf der Webseite

Ebenfalls nicht zu verachten sind scheinbar liegengelassene USB-Sticks, die sich auf dem Firmenparkplatz oder in öffentlich zugänglichen Bereichen des Unternehmens finden. Schließt der neugierige Finder einen solchen Stick an den Rechner an, fängt er sich eine raffinierte Malware ein und infiziert womöglich einen Großteil des Firmennetzwerks. Zu verlockend sind schließlich die darauf enthaltenen Dokumente, wie die vermeintliche Gehaltsliste des Vorstands oder die Kandidaten für eine anstehende Kündigungswelle. Es wird vermutet, dass auch die staatlich in Auftrag gegebene Malware Stuxnet per USB-Stick in die iranische Atomanlage Natanz gelangt ist.

Aber wie auch immer ein Angriff erfolgt oder Sie die Bedrohungslage einschätzen: Lassen sich die Benutzer in einem geglückten Fall tatsächlich verantwortlich machen? Womöglich, wenn Sie ein vollumfängliches Schulungs- und Sensibilisierungsprogramm etabliert hätten. Dies ist übrigens auch die einzige sinnvolle Methode, sich gegen jedwede Form des Social Engineerings zu schützen. Es gibt viele technische Maßnahmen, um E-Mails zu filtern oder aufgerufene Webseiten zu kontrollieren, doch letztendlich bleibt der User das schwächste Glied in der Kette.

BSI-Schulungskonzept
Das BSI hat deshalb im Rahmen des Grundschutzkatalogs eigene Maßnahmen zur Konzeption und Etablierung eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit veröffentlicht:

1. Lernziele definieren: Hierbei geht es hauptsächlich um das Skizzieren der Erfolgskriterien sowie das Erlangen von Aufmerksamkeit und Grundwissen über Informationssicherheit.

2. Zielgruppenorientiertes Training und Sensibilisierung: Jeder Mitarbeiter ist in andere Prozesse des Unternehmens eingebunden. Dementsprechend können auch unterschiedliche Sicherheitsziele relevant sein. Daher empfiehlt sich die Unterteilung in Managementebene (haben meist wenig Zeit), Mitarbeiter (abhängig von jeweiligen Einsatzgebiet und -ort), Administratoren (detailliertere und umfassendere Schulung aufgrund der Thementiefe notwendig) und externe Mitarbeiter.

3. Lernbedürfnisse identifizieren: Typische Lernbedürfnisse sind die Sensibilisierung für alle Mitarbeiter, aber insbesondere der Managementebene, die Einarbeitung neuer Mitarbeiter, Grundlagenwissen für alle Mitarbeiter, Spezialkenntnisse für bestimmte Gruppen wie Sicherheitsspezialisten und Administratoren.

4. Lerninhalte festlegen: Die Schulungs- und Sensibilisierungsmaßnahmen sollten abhängig von der Zielgruppe nicht zu langatmig oder technisch detailliert ausfallen. Alle Mitarbeiter sollten alle internen Leitlinien, Regelungen und Verfahren zur Informationssicherheit
kennen, die für ihren Arbeitsplatz relevant sind. Dafür ist es natürlich auch wichtig, dass es nicht zu viele Vorgaben, Regeln und Dokumente zur Informationssicherheit gibt. Das Regelwerk sollte einfach und überschaubar ausgestaltet sein.

5. Methoden und Medien auswählen: Schulungsbegleitend und zur Erinnerung der Mitarbeiter empfehlen sich unter anderem folgende Maßnahmen:
- Informationsbörse zur Informationssicherheit im Intranet,
- Mitarbeiterzeitung,
- E-Mails zu aktuellen Sicherheitsfragen, Anmeldebildschirm mit Sicherheitsinformationen,
- Rundschreiben und Zeitschriften mit sicherheitsrelevanten Themen,
- interne und externe Informationsveranstaltungen.

6. Durchführung: Alle Ausbildungsangebote sollten auf die vorliegenden Bedürfnisse abgestimmt sein und modularisierbar sein, sodass jede Zielgruppe ausreichend und in angemessener Tiefe geschult werden kann.

7. Erfolg und Effektivität kontrollieren: Nebst der klassischen Erfolgskontrolle bieten sich anonyme Fragebogen oder Abschlusstests an. Alternativ oder Ergänzend können stichprobenartige Lernkontrollen im Nachhinein durchgeführt werden – sperrt der Benutzer seinen Rechner, meldet er sich abends ab? Dies findet natürlich nur im datenschutzrechtlich zugelassenen Rahmen statt.

8. Wissen regelmäßig aktualisieren: Das Schulungsangebot sollte sich nicht ausschließlich an neue Mitarbeiter richten, sondern auch für erfahrenere Mitarbeiter in regelmäßigen Abständen Auffrischungs- und Ergänzungskurse vorsehen. Denn nicht nur die IT (-Sicherheit) entwickelt sich, es werden auch regelmäßig neue Bedrohungen bekannt.
30.09.2014/Thomas Gronenwald/dr

Nachrichten

Sicherheit für Cloud und 5G [13.02.2019]

Palo Alto Networks hat mehrere neue Funktionen eingeführt, die Angriffe vorhersagen und durch Automatisierung stoppen sollen. Ab sofort erhalten Next-Generation-Firewall-Kunden, die auf die PAN-OS-Version 9.0 upgraden, Zugang zu diesen neuen Sicherheitsfähigkeiten, bestehend aus mehr als 60 neuen Funktionen und Tools zur einfachen Implementierung von Security Best Practices. [mehr]

Im Fadenkreuz [5.02.2019]

Proofpoint lüftet den Vorhang für den 'Proofpoint Targeted Attack Protection Index' (TAP). Dabei handelt es sich um einen Index, mit dessen Hilfe die IT-Security-Teams in den Unternehmen die aktuelle Gefährdung einzelner Personen im Unternehmen einschätzen könnten. Der Hintergrund sei die Strategie der Cyberkriminellen, nicht die technische Infrastruktur direkt anzugreifen, sondern über Mitarbeiter Zugang zu Systemen im Unternehmen zu erlangen. [mehr]

Tipps & Tools

Citrix: Basis-vDisk erstellen [3.02.2019]

In Citrix-Umgebung kann es vorkommen, dass eine vDisk importiert werden muss, bei der Änderungen in verschiedenen Versionen gespeichert sind, aber die zugehörige XML Datei nicht (mehr) verfügbar ist. Glücklicherweise gibt es eine Methode, um eine neu zusammengeführte Basis-vDisk außerhalb von PVS zu erstellen, bevor Sie sie in eine Farm importieren, und die dafür keine XML- oder PVP-Dateien benötigt. [mehr]

Vorschau Februar 2019: Cloudmanagement [21.01.2019]

Die Vorteile der Cloud liegen auf der Hand in Form schnell verfügbarer IT-Ressourcen, um deren Betrieb sich der Administrator nur noch eingeschränkt kümmern muss. Dafür wiederum wollen Cloudlandschaften passgenau in die Unternehmens-IT eingebunden werden, vor allem wenn es um die Sicherheit geht. In der Februar-Ausgabe widmet sich IT-Administrator dem Cloudmanagement und zeigt unter anderem, wie Sie Azure-Logs auswerten und Red Hat CloudForms mit Ansible verwalten. In unserem großen Vergleichstest treten daneben vier deutsche Hosting-Anbieter gegeneinander an. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen