Grundlagen

Gefahren-Sensibilisierung von Mitarbeitern

Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT- wie auch nicht-digitalen Informationssicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus - schnell geraten vertrauliche Unternehmensdaten in die falschen Hände oder das Netzwerk ist infiziert. Wie Sie bei Ihren Mitarbeitern für die nötige Sensibilität sorgen, erläutert dieser Beitrag.
Eine inzwischen weit verbreitete Social Engineering-Form stellen Phishing-Mails dar. Eine derartige E-Mail hat wahrscheinlich jeder Nutzer schon in seinem Posteingang vorgefunden. In ihnen wird wahlweise vorgegaukelt, Sie hätten bei eBay, Amazon oder PayPal eine Transaktion abgeschlossen, bei der es Fehler gab. Sie sollten dies doch korrigieren, indem Sie die Seite besuchen.

Folgen die User diesem Aufruf, stoßen sie auf eine Webseite, die dem Original sehr ähnlich sieht. Dort werden sie aufgefordert, Passwörter oder TANs einzugeben. Werden nun tatsächlich funktionierende Account-Daten preisgegeben, geht der Diebstahl auf dem realen Konto los. Dabei ist eine Erkennung der gefälschten Webseite meist einfach, Indizien sind beispielsweise

- Sicherheitszertifikat abgelaufen, fehlerhaft oder gar nicht vorhanden
- URL oder Domain der Webseite scheinen merkwürdig, etwa e-bay.tv
- Es finden sich Rechtschreibfehler in der E-Mail und auf der Webseite

Ebenfalls nicht zu verachten sind scheinbar liegengelassene USB-Sticks, die sich auf dem Firmenparkplatz oder in öffentlich zugänglichen Bereichen des Unternehmens finden. Schließt der neugierige Finder einen solchen Stick an den Rechner an, fängt er sich eine raffinierte Malware ein und infiziert womöglich einen Großteil des Firmennetzwerks. Zu verlockend sind schließlich die darauf enthaltenen Dokumente, wie die vermeintliche Gehaltsliste des Vorstands oder die Kandidaten für eine anstehende Kündigungswelle. Es wird vermutet, dass auch die staatlich in Auftrag gegebene Malware Stuxnet per USB-Stick in die iranische Atomanlage Natanz gelangt ist.

Aber wie auch immer ein Angriff erfolgt oder Sie die Bedrohungslage einschätzen: Lassen sich die Benutzer in einem geglückten Fall tatsächlich verantwortlich machen? Womöglich, wenn Sie ein vollumfängliches Schulungs- und Sensibilisierungsprogramm etabliert hätten. Dies ist übrigens auch die einzige sinnvolle Methode, sich gegen jedwede Form des Social Engineerings zu schützen. Es gibt viele technische Maßnahmen, um E-Mails zu filtern oder aufgerufene Webseiten zu kontrollieren, doch letztendlich bleibt der User das schwächste Glied in der Kette.

BSI-Schulungskonzept
Das BSI hat deshalb im Rahmen des Grundschutzkatalogs eigene Maßnahmen zur Konzeption und Etablierung eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit veröffentlicht:

1. Lernziele definieren: Hierbei geht es hauptsächlich um das Skizzieren der Erfolgskriterien sowie das Erlangen von Aufmerksamkeit und Grundwissen über Informationssicherheit.

2. Zielgruppenorientiertes Training und Sensibilisierung: Jeder Mitarbeiter ist in andere Prozesse des Unternehmens eingebunden. Dementsprechend können auch unterschiedliche Sicherheitsziele relevant sein. Daher empfiehlt sich die Unterteilung in Managementebene (haben meist wenig Zeit), Mitarbeiter (abhängig von jeweiligen Einsatzgebiet und -ort), Administratoren (detailliertere und umfassendere Schulung aufgrund der Thementiefe notwendig) und externe Mitarbeiter.

3. Lernbedürfnisse identifizieren: Typische Lernbedürfnisse sind die Sensibilisierung für alle Mitarbeiter, aber insbesondere der Managementebene, die Einarbeitung neuer Mitarbeiter, Grundlagenwissen für alle Mitarbeiter, Spezialkenntnisse für bestimmte Gruppen wie Sicherheitsspezialisten und Administratoren.

4. Lerninhalte festlegen: Die Schulungs- und Sensibilisierungsmaßnahmen sollten abhängig von der Zielgruppe nicht zu langatmig oder technisch detailliert ausfallen. Alle Mitarbeiter sollten alle internen Leitlinien, Regelungen und Verfahren zur Informationssicherheit
kennen, die für ihren Arbeitsplatz relevant sind. Dafür ist es natürlich auch wichtig, dass es nicht zu viele Vorgaben, Regeln und Dokumente zur Informationssicherheit gibt. Das Regelwerk sollte einfach und überschaubar ausgestaltet sein.

5. Methoden und Medien auswählen: Schulungsbegleitend und zur Erinnerung der Mitarbeiter empfehlen sich unter anderem folgende Maßnahmen:
- Informationsbörse zur Informationssicherheit im Intranet,
- Mitarbeiterzeitung,
- E-Mails zu aktuellen Sicherheitsfragen, Anmeldebildschirm mit Sicherheitsinformationen,
- Rundschreiben und Zeitschriften mit sicherheitsrelevanten Themen,
- interne und externe Informationsveranstaltungen.

6. Durchführung: Alle Ausbildungsangebote sollten auf die vorliegenden Bedürfnisse abgestimmt sein und modularisierbar sein, sodass jede Zielgruppe ausreichend und in angemessener Tiefe geschult werden kann.

7. Erfolg und Effektivität kontrollieren: Nebst der klassischen Erfolgskontrolle bieten sich anonyme Fragebogen oder Abschlusstests an. Alternativ oder Ergänzend können stichprobenartige Lernkontrollen im Nachhinein durchgeführt werden – sperrt der Benutzer seinen Rechner, meldet er sich abends ab? Dies findet natürlich nur im datenschutzrechtlich zugelassenen Rahmen statt.

8. Wissen regelmäßig aktualisieren: Das Schulungsangebot sollte sich nicht ausschließlich an neue Mitarbeiter richten, sondern auch für erfahrenere Mitarbeiter in regelmäßigen Abständen Auffrischungs- und Ergänzungskurse vorsehen. Denn nicht nur die IT (-Sicherheit) entwickelt sich, es werden auch regelmäßig neue Bedrohungen bekannt.
30.09.2014/Thomas Gronenwald/dr

Nachrichten

Verwundbare IT im Gesundheitswesen [24.04.2019]

Vectra hat die Forschungsergebnisse seines Spotlight-Reports 2019 für das Gesundheitswesen bekannt gegeben. In der Branche hält demnach das Internet der Dinge vermehrt Einzug. In Kombination mit nicht partitionierten Netzwerken, unzureichenden Zugangskontrollen und der Verwendung von Altsystemen entstehe eine riesige, anfällige Angriffsfläche. [mehr]

BlackBerry-Verschlüsselung für Privatkunden [23.04.2019]

BlackBerry stellt seine Ende-zu-Ende-Verschlüsselungsplattform für Unternehmen, BBM Enterprise, nun auch für die individuelle Nutzung zur Verfügung. Hintergrund ist die Entscheidung des bisherigen Anbieters Emtek, die Unterstützung von BBM für Konsumenten zu Ende Mai 2019 einzustellen. Für die ersten 12 Monate ist die App kostenfrei verfügbar. [mehr]

Tipps & Tools

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

nVidia-GRID-Treiber auf Citrix bereitstellen [7.04.2019]

In einer Citrix-Umgebung kann das Problem auftauchen, dass nVidia-GRID-Treiber nicht richtig funktionieren, wenn sie per Citrix AppLayering bereitgestellt werden. Wenn sie in einem Layer installiert sind, scheinen die nVidia-GRID-Treiber auf dem später gepublishten Image nicht zu arbeiten. Zur Problemlösung existiert zumindest ein Workaround. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen