Security Awareness als Begriff ist ein ziemliches altes Konstrukt. Unter anderem hatte die OECD bereits 1992 von Security Awareness in seinen Guidelines für the Sicherheit von Informationssystemen gesprochen. Kaum sind knapp 30 Jahre vergangen, kann man jetzt auch einen gewissen Fortschritt bei der in Unternehmen organisierten Security Awareness beobachten.
Die Geschwindigkeit dieses Fortschritts ist je nach Größte der Organisation, Ort und Branche unterschiedlich, aber es lassen sich ähnliche Muster feststellen. In bestimmten Fällen werden einige Schritte ausgelassen. In anderen Fällen werden dafür ein paar Schritte gleichzeitig unternommen.
Letztendlich steht am Ende für die meisten Organisationen das gleiche Szenario. Die organisatorische Security Awareness lässt sich in 10 Phasen unterteilen und anhand der einzelnen Phasen lässt sich feststellen, in welcher sich die Organisation derzeit befindet.
1) Erhöhtes technisches Bewusstsein für Informationssicherheits- und IT-Experten
Informationssicherheits- und IT-Experten gehören zu den ersten Betroffenen. Infizierte Workstations und Ransomware-Angriffe machen ihnen das Leben schwer. Viele dieser Fachleute sehen die Notwendigkeit von Security Awareness, werden aber manchmal durch die altmodische Praxis entmutigt, Benutzer durch 15-minütige, auf Compliance ausgerichtete Schulungen zu schicken.
2) Bereitstellung von Awareness-Inhalten für Endanwender
Zu den ersten Maßnahmen gehören vor allem PowerPoint-Präsentationen in abgedunkelten Schulungsräumen. Die Ergebnisse dieser Art von Wissenstransfer ist in aller Regel wenig zielführend, wird aber als erster wichtiger Schritt angesehen, um zumindest ein paar Grundlagen zu schaffen.
3) Plattform-Automatisierung ermöglicht Compliance-Anforderungen
Die Automatisierung der Prozesse zur Bereitstellung von Schulungen durch ein (internes oder externes) Learning Management System (LMS) ist ein zweiter Schritt und markiert die dritte Phase. Compliance-Anforderungen lassen sich dadurch leichter erfüllen. Dies hängt stark von der Größe der Organisation ab; größere Unternehmen haben ein On-Premise- oder Cloud-basiertes LMS, das für allgemeine Schulungszwecke verwendet wird.
4) Kontinuierliches Testen
Diese Phase zeigt eine deutliche Verschiebung in Richtung des „Zero Trust“-Modells. Mitarbeiter werden nach der Schulung häufig getestet, um sicherzustellen, dass das erworbene Wissen tatsächlich haften geblieben ist.
5) Unterstützung durch Technologie
In dieser Phase werden „Phish-Alarm-Buttons“ in den E-Mail-Clients der Endbenutzer bereitgestellt, damit diese alle Phishing-E-Mails an das Incident Response-Team oder das SOC melden können, die dann wiederum Gegenmaßnahmen ergreifen können. Technologie zur Unterstützung der Mitarbeiter dient in diesem Fall als Werkzeug, nur wer es richtig bedienen kann, kann es auch nutzen.
6) Sicherheits-Orchestrierung
In der nächsten Phase werden diese gemeldeten E-Mails in einen Sicherheits-„Workstream“ integriert, der schnell das Risikoniveau bewertet. Im Falle einer Bedrohung kann dann automatisiert in den Posteingang aller Benutzer eingegriffen werden, um bösartige Nachrichten unschädlich zu machen, bevor weiterer Schaden entsteht.
7) Fortschrittliches Management des Benutzerverhaltens
Mit detaillierten Risiko-Metriken sowohl über einzelne Benutzer als auch über Benutzergruppen können Unternehmen nun maßgeschneiderte Kampagnen erstellen, die auf beobachtetem Risikoverhalten basieren. Ein Beispiel dafür ist das Scannen des Dark Web nach gekaperten Anmeldedaten. Darüber hinaus wird in dieser Phase auf falsches Passwortverhalten hingewiesen und individuelle Trainingsmodule an identifizierte Hochrisiko-Mitarbeiter versendet.
8) Adaptive Lernerfahrung
Die nächste Phase besteht darin, dass der Endbenutzer eine lokalisierte Benutzeroberfläche erhält, auf der er seinen individuellen Risiko-Score sehen, Auszeichnungen erhalten und an Schulungen teilnehmen kann. In dieser Phase ermöglichen fortschrittliche Metriken auch ML- und KI-gesteuerte Kampagnen, bei denen jeder Benutzer ein hochgradig individualisiertes Security Awareness-Training erhält.
9) Aktive Beteiligung des Mitarbeiters an der Gesamtsicherheitslage
Hier wird sich der Benutzer seiner Rolle in der Verteidigung seines Unternehmens bewusst und entscheidet sich aktiv für zusätzliche Schulungen, um seinen Risiko-Score zu reduzieren. Mitarbeiter nehmen an Security Awareness-Kampagnen teil und werden zu einem lokalen Awareness-Champion. Am Ende steht die Erkenntnis, dass man selbst zum Endpunkt geworden ist.
10) Der Mitarbeiter als menschliche Firewall
Jeder Mitarbeiter ist sich der Risiken im Zusammenhang mit der Cybersicherheit ausreichend bewusst und trifft jeden Tag intelligente Sicherheitsentscheidungen, die auf einem klaren Verständnis dieser Risiken basieren. Die aktuelle Work From Home-Situation hat die Notwendigkeit dieses Ziel bei möglichst vielen Mitarbeitern zu erreichen, deutlich beschleunigt.