Awareness messen
Wie Ihr Security-Training erfolgreich wird
Security-Awareness-Trainings sind ein elementarer Bestandteil vieler Maßnahmen zur Erhöhung der Informationssicherheit im Unternehmen. Oft müssen allerdings Betriebsräte und Mitarbeiter vorab informiert und ins Boot geholt werden, um überhaupt Aktivitäten durchführen zu können. Vielerorts wird aber noch gar nicht soweit gedacht oder diskutiert. Branchenumfragen überschlagen sich derzeit damit, dass viele Unternehmen ihr Heil in Sicherheits-Technologien suchen, dabei aber Investitionen in die Weiterbildung von Mitarbeitern in diesem Bereich eher vernachlässigen. Vor allem Investitionen in Analyse-Technologien liegen im Trend.
- Weite Bedrohungslandschaft
Ohne Security Intelligence wird es schwierig, der Vielfalt an IT-Bedrohungen effektiv zu begegnen. Der Bericht ENISA Threat Landscape 2014 zeigt eine breite Front an möglichen Angriffen. - Unternehmen sind unterlegen
IT-Sicherheitsverantwortliche berichten mehrheitlich (59 Prozent), dass ihre IT-Sicherheit den raffinierten Angreifern gegenüber unterlegen ist. - ... wollen sich aber wehren
Die raffinierten Attacken werden als größte Herausforderung für die IT-Sicherheit angesehen. - Security Intelligence hilft
Mit Security Intelligence kann die Abwehr raffinierter Attacken verbessert werden. Dazu werden zahlreiche Datenquellen ausgewertet; die Ergebnisse der Sicherheitsanalysen stehen dann verschiedenen Bereichen der IT-Sicherheit zur Verfügung, nicht nur die Abwehr, sondern auch vorbeugende Maßnahmen profitieren. - Großes Wehklagen
Unternehmen beklagen, dass sie nicht genug über mögliche Schwachstellen wissen. Hier können Security-Intelligence-Lösungen helfen und den Patchmanagement-Prozess optimieren. - Software-Tools
Security-Intelligence-Plattformen liefern Entscheidungsgrundlagen für das IT-Sicherheitsmanagement. - Risiken verwalten
Security Intelligence hilft bei der Bewertung der Risiken, die mit digitalen Identitäten verbunden sind. - Falsche Identitäten erkennen
Mit Security Intelligence lassen sich betrügerische Aktivitäten besser erkennen, bei denen zum Beispiel gefälschte Identitäten eingesetzt werden. - Malware und Phishing verhindern
Security Intelligence hilft bei der Erkennung von Malware, schädlichen Web-Seiten und Phishing-Attacken. - Auch mobil auf dem Laufenden
Die Bewertung des Risikos durch mobile Apps wird durch Security-Intelligence-Lösungen unterstützt.
Die intelligente Software erfordert jedoch Expertenwissen, das vielen zuständigen Fachabteilungen fehlt und erst vermittelt werden muss. Nicht jeder im Netzwerk festgestellte Sicherheitsvorfall erfordert die gleiche Aufmerksamkeit. Oftmals lassen sich durch einfache Aufklärungsmaßnahmen viele durch die Software gefundene Vorfälle verhindern.
Zumindest ein positiver Trend lässt sich aber feststellen: Aus der 2011 veröffentlichten Studie "Security Awareness in der betrieblichen Praxis" der HECOM Security Awareness Consulting lässt sich ableiten, dass mehr Trainings als Präventivmaßnahme durchgeführt wurden, als bei der ersten Untersuchung dieser Art. Dieser Trend führt in die richtige Richtung. Je mehr jedoch in den Fachabteilungen und im Management über Awareness-Maßnahmen diskutiert wird, desto mehr rückt auch das Thema Erfolgsmessung in den Fokus. Allerdings bringt es nichts, einfach nur die Anzahl der Anrufe am Helpdesk oder die reine Anzahl an Sicherheitsvorfällen zu messen: Wichtig ist, zuallererst zu überlegen, was aussagekräftige Messkennziffern für das jeweilige Unternahmen darstellen, um nicht nur richtig, sondern auch das Richtige zu messen.
Ziel: Behavioural Change
Bevor es jedoch um Faktoren zur Erfolgsmessung geht, müssen die einzelnen Maßnahmen und deren Umsetzung skizziert werden. Der Erfolg einer umfassenden Kampagne zur Erhöhung der Security Awareness hängt von der Zielsetzung ab. Hier sollten das Management, die beteiligten Fachabteilungen und die Sicherheitsverantwortlichen die Ziele der Kampagne gemeinsam definieren. Um langfristige Effekte zu erzielen, müssen alle Maßnahmen ebenso langfristig angelegt sein.
Foto: Matej Kastelic - www.shutterstock.com
Feedback von und für die geschulten Mitarbeiter und Abteilungen spielt dabei eine große Rolle. "Letztlich geht es nicht nur darum, möglichst kreative Einmalaktionen durchzuführen, sondern einen Behavioural Change, also eine dauerhafte Änderung des Verhaltens, möglichst effizient und effektiv einzuleiten", sagt Michael Helisch, Dozent für Security Awareness, Inhaber von HECOM Security Awareness Consulting und zusammen mit Dietmar Pokoyski Herausgeber des ersten und bislang einzigen Fachbuchs zum Thema "Security Awareness" im deutschen Sprachraum. Eine Messung des Erfolgs der Kampagne wird, wenn überhaupt, zumeist vom Management gefordert, um das getätigte Investment intern rechtfertigen zu können. "In der Praxis muss davon ausgegangen werden, dass die Erfolgsmessung bei vielen Projekten aber eher vernachlässigt wird", fügt Helisch hinzu. Wenn aber ein solcher Nachweis sauber erbracht werden soll, ist es essentiell, vorab abzuklären, was gemessen, wann gemessen und wie gemessen werden soll.