Security Awareness

Security Awareness (oder Information Security Awareness) bezeichnet den sicherheitsbewussten Umgang von Menschen mit Informationen und Informationssystemen. Die Security Awareness besagt, wie sensibilisiert Menschen für Bedrohungen der Informationssicherheit sind, ob sie über passende Gegenmaßnahmen kennen und ob sie diese im Alltag auch tatsächlich umsetzen.^[1] Um die Information Security Awareness, insbesondere bei Mitarbeitenden in Unternehmen oder Organisationen, zu steigern, werden verschiedene Awareness-Maßnahmen angewandt. Typische Maßnahmen sind Schulungen (meist als E-Learning-Kurse), Live-Hackings, Videos, Plakate, Flyer, Rollenspiele und Phishing-Simulationen.^[2] Das Hauptziel dieser Maßnahmen ist es, die Mitarbeitenden für die Themen der Informationssicherheit zu sensibilisieren und ihnen das notwendige Wissen und die Fähigkeiten zu vermitteln, um mit den verschiedenen Sicherheitsbedrohungen während ihrer täglichen Arbeit umzugehen.^[3] Da Menschen häufig im Fokus von Angreifenden stehen - insbesondere im Zusammenhang mit Social Engineering - und sie mit bewusst oder unbewusst falschem Verhalten die Informationssicherheit gefährden können, ist es wichtig, sie für die möglichen Bedrohungsszenarien zu sensibilisieren.

Awareness-Maßnahmen

Die Sensibilisierung von Personen im Bereich der Informationssicherheit kann durch verschiedene Maßnahmen erfolgen, je nach den spezifischen Anforderungen und dem Kontext des Unternehmens oder der Organisation.^[4]

Klassenraumschulung: Die traditionelle Form der Informationsssicherheitsschulung. In einem physischen Raum werden den Teilnehmenden von einer Lehrkraft theoretische Inhalte, praktische Beispiele und Übungsaufgaben präsentiert. Diese Art von Schulung ermöglicht eine direkte Interaktion zwischen den Teilnehmenden und der Lehrkraft, was besonders nützlich sein kann, um spezifische Fragen oder Themen anzusprechen, die während der Schulung aufkommen.
Online-Training: Diese Form der Schulung ermöglicht es den Teilnehmenden, das Training flexibel von ihrem Arbeitsplatz oder von zu Hause aus durchzuführen, ohne physisch an einem bestimmten Ort präsent sein zu müssen. Das Online-Training kann entweder live mit einer Lehrkraft durchgeführt werden, die in Echtzeit Fragen beantwortet, oder es kann sich um vorab aufgezeichnete Module handeln, die die Teilnehmenden in ihrem eigenen Tempo durchlaufen können.
Zusätzlich zu formellen Schulungen kann weiteres Material wie Poster oder Flyer beitragen, das Bewusstsein stetig frisch zu halten. Oftmals werden solche Informationsmaterialien in Pausenräumen oder direkt am Arbeitsplatz verteilt.

Inhalte von Security-Awareness-Maßnahmen

Security-Awareness-Maßnahmen können eine Vielzahl von Themen abdecken. Zu den typischen Inhalten gehören:^[5]

Grundlegende Informationen zur Informationssicherheit und Datenschutz
Sicherer Umgang mit E-Mails
Sicherer Umgang mit QR-Codes
Bedrohungspotenzial durch Schadsoftware
Physische Sicherheit am Arbeitsplatz
Umgang mit mobilen Datenspeichern
Risiken und Gefahren bei der Verwendung von mobilen Geräten
Gefahren durch soziale Netzwerke
Gefährdungspotenzial durch Social Engineering
Gefahren der Internetnutzung
Gefahr durch Phishing und Ablauf einer Phishing-Attacke
Sichere Passwörter und verantwortungsvoller Umgang damit
Sichere Verwendung öffentlicher Internetzugänge und Hotspots
Die konkreten Sicherheitsrichtlinien im Unternehmen
Verhalten bei sicherheitsrelevanten Ereignissen
Informationspflichten bei erkannten Gefahren

Phishing-Simulationen sind häufig ein wesentlicher Bestandteil von Security Awareness-Programmen, da sie:

Praktische Erfahrung bieten: Theoretisches Wissen über Phishing ist wichtig, aber die Fähigkeit, echte Phishing-Versuche in der Praxis zu erkennen, ist unerlässlich.
Schwachstellen aufdecken: Durch die Simulation können Unternehmen Schwachstellen in der Belegschaft identifiziert und gezielte Schulungen für diejenigen angeboten werden, die am meisten Unterstützung benötigen.
Erfolg messen: Unternehmen können den Erfolg ihrer Security Awareness-Programme messen, indem sie die Ergebnisse von Phishing-Simulationen über die Zeit verfolgen.

KRITIS-Unternehmen und Personelle Sicherheit

In Deutschland sind KRITIS-Unternehmen gesetzlich verpflichtet, bestimmte Sicherheitsstandards einzuhalten, um die Versorgungssicherheit und Funktionsfähigkeit kritischer Infrastrukturen zu gewährleisten.^[6]

Ein wesentlicher Aspekt dieser Sicherheitsstandards ist die personelle Sicherheit. Das bedeutet, dass KRITIS-Unternehmen sicherstellen müssen, dass ihre Mitarbeitenden in Bezug auf Sicherheitsrisiken und -bedrohungen geschult und sensibilisiert sind. Dies umfasst nicht nur technische und organisatorische Maßnahmen, sondern auch die regelmäßige Schulung und Sensibilisierung der Mitarbeitenden, um sicherzustellen, dass sie potenzielle Bedrohungen erkennen und angemessen darauf reagieren können.

Schlussfolgerung

Die Sensibilisierung der Mitarbeitenden durch Awareness-Maßnahmen ist kein einmaliger Akt, sondern ein kontinuierlicher Prozess. In einer sich rasch verändernden digitalen Umgebung, in der Cyberbedrohungen stetig zunehmen, ist es von größter Bedeutung, dass sowohl Einzelpersonen als auch Organisationen die Relevanz von sensibilisierten Mitarbeitenden verstehen und kontinuierliche Anstrengungen unternehmen, dass die Mitarbeitenden sichere Handlungsweisen in ihre tägliche Arbeit integrieren. Sensibilisierte Mitarbeitende sind oft der entscheidende Faktor zwischen sicherem Schutz von Unternehmensdaten und einem potenziellen Sicherheitsvorfall.^[7]

Literatur

Michael Helisch, Dietmar Pokoyski: Security Awareness: Neue Wege zur erfolgreichen Mitarbeiter-Sensibilisierung. Vieweg+Teubner, 2009, ISBN 978-3-8348-0668-0.

Kristin Weber, Andreas Schütz, Tobias Fertig: Grundlagen und Anwendung von Information Security Awareness: Mitarbeiter zielgerichtet für Informationssicherheit sensibilisieren. Springer Vieweg, 2019, ISBN 978-3-658-26257-0.

Kristin Weber: Mensch und Informationssicherheit. Hanser, 2024, ISBN 978-3-446-47645-5.

Einzelnachweise

↑ Norman Hänsch, Zinaida Benenson: Specifying IT security awareness. In: Proceedings - International Workshop on Database and Expert Systems Applications, DEXA. Institute of Electrical and Electronics Engineers Inc., 2014, S. 326–330.
↑ Stefan Beißel: Security Awareness: Grundlagen, Maßnahmen und Programme für die Informationssicherheit (= De Gruyter STEM). 1. Auflage. de Gruyter, Berlin Boston 2019, ISBN 978-3-11-066825-4.
↑ Security Awareness für eine umfassende Cybersicherheit. Abgerufen am 12. September 2023.
↑ Warum ist Security Awareness so wichtig? Abgerufen am 12. September 2023.
↑ Was ist Security Awareness? Abgerufen am 12. September 2023.
↑ KRITIS Informationssicherheit. Abgerufen am 12. September 2023.
↑ BSI - Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness. Abgerufen am 12. September 2023.

[1] Norman Hänsch, Zinaida Benenson: Specifying IT security awareness. In: Proceedings - International Workshop on Database and Expert Systems Applications, DEXA. Institute of Electrical and Electronics Engineers Inc., 2014, S. 326–330.

[2] Stefan Beißel: Security Awareness: Grundlagen, Maßnahmen und Programme für die Informationssicherheit (= De Gruyter STEM). 1. Auflage. de Gruyter, Berlin Boston 2019, ISBN 978-3-11-066825-4.

[3] Security Awareness für eine umfassende Cybersicherheit. Abgerufen am 12. September 2023.

[4] Warum ist Security Awareness so wichtig? Abgerufen am 12. September 2023.

[5] Was ist Security Awareness? Abgerufen am 12. September 2023.

[6] KRITIS Informationssicherheit. Abgerufen am 12. September 2023.

[7] BSI - Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness. Abgerufen am 12. September 2023.

[1]

[2]

[3]

[4]

[5]

[6]

[7]