Grundlagen

Gefahren-Sensibilisierung von Mitarbeitern

Der Mensch ist weiterhin die größte Schwachstelle im Bereich der IT- wie auch nicht-digitalen Informationssicherheit. Sei es aus Gutgläubigkeit, Unwissenheit oder auch böser Absicht heraus - schnell geraten vertrauliche Unternehmensdaten in die falschen Hände oder das Netzwerk ist infiziert. Wie Sie bei Ihren Mitarbeitern für die nötige Sensibilität sorgen, erläutert dieser Beitrag.
Eine inzwischen weit verbreitete Social Engineering-Form stellen Phishing-Mails dar. Eine derartige E-Mail hat wahrscheinlich jeder Nutzer schon in seinem Posteingang vorgefunden. In ihnen wird wahlweise vorgegaukelt, Sie hätten bei eBay, Amazon oder PayPal eine Transaktion abgeschlossen, bei der es Fehler gab. Sie sollten dies doch korrigieren, indem Sie die Seite besuchen.

Folgen die User diesem Aufruf, stoßen sie auf eine Webseite, die dem Original sehr ähnlich sieht. Dort werden sie aufgefordert, Passwörter oder TANs einzugeben. Werden nun tatsächlich funktionierende Account-Daten preisgegeben, geht der Diebstahl auf dem realen Konto los. Dabei ist eine Erkennung der gefälschten Webseite meist einfach, Indizien sind beispielsweise

- Sicherheitszertifikat abgelaufen, fehlerhaft oder gar nicht vorhanden
- URL oder Domain der Webseite scheinen merkwürdig, etwa e-bay.tv
- Es finden sich Rechtschreibfehler in der E-Mail und auf der Webseite

Ebenfalls nicht zu verachten sind scheinbar liegengelassene USB-Sticks, die sich auf dem Firmenparkplatz oder in öffentlich zugänglichen Bereichen des Unternehmens finden. Schließt der neugierige Finder einen solchen Stick an den Rechner an, fängt er sich eine raffinierte Malware ein und infiziert womöglich einen Großteil des Firmennetzwerks. Zu verlockend sind schließlich die darauf enthaltenen Dokumente, wie die vermeintliche Gehaltsliste des Vorstands oder die Kandidaten für eine anstehende Kündigungswelle. Es wird vermutet, dass auch die staatlich in Auftrag gegebene Malware Stuxnet per USB-Stick in die iranische Atomanlage Natanz gelangt ist.

Aber wie auch immer ein Angriff erfolgt oder Sie die Bedrohungslage einschätzen: Lassen sich die Benutzer in einem geglückten Fall tatsächlich verantwortlich machen? Womöglich, wenn Sie ein vollumfängliches Schulungs- und Sensibilisierungsprogramm etabliert hätten. Dies ist übrigens auch die einzige sinnvolle Methode, sich gegen jedwede Form des Social Engineerings zu schützen. Es gibt viele technische Maßnahmen, um E-Mails zu filtern oder aufgerufene Webseiten zu kontrollieren, doch letztendlich bleibt der User das schwächste Glied in der Kette.

BSI-Schulungskonzept
Das BSI hat deshalb im Rahmen des Grundschutzkatalogs eigene Maßnahmen zur Konzeption und Etablierung eines Schulungs- und Sensibilisierungsprogramms zur Informationssicherheit veröffentlicht:

1. Lernziele definieren: Hierbei geht es hauptsächlich um das Skizzieren der Erfolgskriterien sowie das Erlangen von Aufmerksamkeit und Grundwissen über Informationssicherheit.

2. Zielgruppenorientiertes Training und Sensibilisierung: Jeder Mitarbeiter ist in andere Prozesse des Unternehmens eingebunden. Dementsprechend können auch unterschiedliche Sicherheitsziele relevant sein. Daher empfiehlt sich die Unterteilung in Managementebene (haben meist wenig Zeit), Mitarbeiter (abhängig von jeweiligen Einsatzgebiet und -ort), Administratoren (detailliertere und umfassendere Schulung aufgrund der Thementiefe notwendig) und externe Mitarbeiter.

3. Lernbedürfnisse identifizieren: Typische Lernbedürfnisse sind die Sensibilisierung für alle Mitarbeiter, aber insbesondere der Managementebene, die Einarbeitung neuer Mitarbeiter, Grundlagenwissen für alle Mitarbeiter, Spezialkenntnisse für bestimmte Gruppen wie Sicherheitsspezialisten und Administratoren.

4. Lerninhalte festlegen: Die Schulungs- und Sensibilisierungsmaßnahmen sollten abhängig von der Zielgruppe nicht zu langatmig oder technisch detailliert ausfallen. Alle Mitarbeiter sollten alle internen Leitlinien, Regelungen und Verfahren zur Informationssicherheit
kennen, die für ihren Arbeitsplatz relevant sind. Dafür ist es natürlich auch wichtig, dass es nicht zu viele Vorgaben, Regeln und Dokumente zur Informationssicherheit gibt. Das Regelwerk sollte einfach und überschaubar ausgestaltet sein.

5. Methoden und Medien auswählen: Schulungsbegleitend und zur Erinnerung der Mitarbeiter empfehlen sich unter anderem folgende Maßnahmen:
- Informationsbörse zur Informationssicherheit im Intranet,
- Mitarbeiterzeitung,
- E-Mails zu aktuellen Sicherheitsfragen, Anmeldebildschirm mit Sicherheitsinformationen,
- Rundschreiben und Zeitschriften mit sicherheitsrelevanten Themen,
- interne und externe Informationsveranstaltungen.

6. Durchführung: Alle Ausbildungsangebote sollten auf die vorliegenden Bedürfnisse abgestimmt sein und modularisierbar sein, sodass jede Zielgruppe ausreichend und in angemessener Tiefe geschult werden kann.

7. Erfolg und Effektivität kontrollieren: Nebst der klassischen Erfolgskontrolle bieten sich anonyme Fragebogen oder Abschlusstests an. Alternativ oder Ergänzend können stichprobenartige Lernkontrollen im Nachhinein durchgeführt werden – sperrt der Benutzer seinen Rechner, meldet er sich abends ab? Dies findet natürlich nur im datenschutzrechtlich zugelassenen Rahmen statt.

8. Wissen regelmäßig aktualisieren: Das Schulungsangebot sollte sich nicht ausschließlich an neue Mitarbeiter richten, sondern auch für erfahrenere Mitarbeiter in regelmäßigen Abständen Auffrischungs- und Ergänzungskurse vorsehen. Denn nicht nur die IT (-Sicherheit) entwickelt sich, es werden auch regelmäßig neue Bedrohungen bekannt.
30.09.2014/Thomas Gronenwald/dr

Nachrichten

IT-Defense 2021 in Berlin [24.09.2020]

Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren treffen sich vom 27. bis zum 29. Januar 2021 auf der IT-Sicherheitskonferenz IT-Defense in Berlin, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren. Die IT-Defense findet zum neunzehnten Mal statt und zählt zu den größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. [mehr]

Zero Trust für IoT im Unternehmen [24.09.2020]

Das Zero-Trust-Sicherheitsmodell ist so konzipiert, dass es die sich ausdehnenden Grenzen des Netzwerks eines Unternehmens umfasst. Es beruht auf dem Prinzip "niemals vertrauen, immer überprüfen" und gewährt autorisierten Benutzern und Geräten kontrollierten Zugriff ausschließlich auf der Grundlage, ob sie ihre Identität eindeutig authentifizieren können, um das Privileg zu erhalten. Palo Alto Networks erläutert, wie maschinelles Lernen helfen kann. [mehr]

Gefährliche Kurzlinks [18.09.2020]

Tipps & Tools

HVI als Open Source erhältlich [14.08.2020]

Bitdefender hat sein Endpunkt-Sicherheitssystem "Hypervisor Introspection" als Open Source verfügbar gemacht. Die Technologie sucht nach Angriffsverfahren wie Pufferüberläufen, Heap-Spray und Code-Injektion, um schädliche Aktivitäten zu erkennen und zu unterbinden. Die Firma hat den Code als Teil des Xen Project unter der Lizenz Apache 2.0 veröffentlicht. [mehr]

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen