Sicherheitskultur

Die Lösung für nachhaltige Mitarbeitersensibilisierung?

01.04.2021
Anzeige  Nicht nur eine technische Firewall muss her, auch eine menschliche ist nötig, wenn man heute Cyberkriminellen die Stirn bieten möchte. Doch wie lässt sich eine Sicherheitskultur im Unternehmen langfristig etablieren?

Cyberkriminelle setzen das virtuelle Brecheisen immer häufiger bei den Mitarbeitern an und versuchen hier Schwachstellen wie Neugier, Unachtsamkeit oder Zeitdruck zu nutzen. Meist geschieht das via Phishing-Mails, die ins Unternehmen geschleust werden und zum Klick oder Download verleiten sollen. IT-Sicherheitsverantwortliche stehen daher vor der Herausforderung, das Sicherheitsrisiko "Mensch" zu minimieren.

Klassische Awareness Trainings sind allerdings oft zeitaufwendig und nur kurzzeitig effektiv. Oft kommt es auch vor, dass die Maßnahmen als lästig oder unnötig wahrgenommen werden. Dieses Phänomen nennt sich Security Fatigue oder auch Sicherheitsmüdigkeit.

Sicherheit in der Unternehmenskultur etablieren

Um eine effektive und nachhaltige Unternehmenssicherheit aufzubauen, ist es wichtig, über Technik und Vorschriften hinaus eine Unternehmenskultur aufzubauen, die Sicherheit wertschätzt. Dies verdeutlicht, warum IT-Sicherheit über die IT-Abteilung hinaus auf allen Unternehmensebenen inklusive der Geschäftsführung und Führungspersonen etabliert werden sollte.

Best-Practices bei hunderten Kunden von IT-Seal zeigen, dass man eine nachhaltige Sicherheitskultur durch den Dreiklang aus Mindset, Skillset und Toolset erreichen kann.

  • Mindset bedeutet bei den Mitarbeitern Verständnis für Bedrohungslage zu schaffen. Alle Kollegen sollen ihre Eigenverantwortung verstehen und sie wahrnehmen. Hierbei spielen zentrale Führungskräfte eine Schlüsselrolle, denn sie agieren als Vorbilder. Im Idealfall wird die Sicherheitskultur als Unternehmensziel definiert.

  • Im Bereich Skillset geht es darum, das Gelernte nachhaltig zu vertiefen. Das heißt, die Fähigkeiten und das Wissen, wie man sich sicher verhält, sollten so praxisnah wie möglich mit den Mitarbeitern trainiert werden, damit das Gelernte nachhaltig verinnerlicht wird.

  • Das Toolset wird gemeinsam mit den Kunden zusammengestellt und soll durch technische und organisatorische Maßnahmen Mitarbeitern das Umsetzen des im Awareness-Training Gelernte vereinfachen.

Verlässlicher Workflow zur Etablierung einer nachhaltigen Sicherheitskultur

Um diesen Dreiklang ganzheitlich im Unternehmen umzusetzen, hat IT-Seal die Awareness Academy entwickelt, einen einfachen und verlässlichen Workflow zur Etablierung einer nachhaltigen Sicherheitskultur. IT-Seal kümmert sich im Full-Service darum, das gewünschte Ziel-Sicherheitsniveau mit unterschiedlichen Trainingsmethoden zu erreichen, während sich die Sicherheitsbeauftragten entspannt zurücklehnen können.

Zu Beginn der Awareness Academy definiert der Kunden sein Sicherheits-Zielniveau, welches er erreichen und langfristig halten möchte. Hierfür hat IT-Seal den Employee Security Index ESI, eine standardisierte und wissenschaftliche Security-Awareness-Kennzahl, entwickelt. Die Awareness Kampagne wird auf das Erreichen des Ziel-ESI ausgerichtet und die Mitarbeiter kennzahlenbasiert trainiert. Der IT-Sicherheitsverantwortliche kann anhand des ESI jederzeit das aktuelle Sicherheitsniveau und die Entwicklung von Mitarbeitergruppen abrufen und so die Effektivität der Awareness-Maßnahmen prüfen.

Der Kunde definiert seinen Ziel-ESI® und IT-Seal kümmert sich mit diversen Awareness-Trainingsmaßnahmen um das Erreichen.
Der Kunde definiert seinen Ziel-ESI® und IT-Seal kümmert sich mit diversen Awareness-Trainingsmaßnahmen um das Erreichen.
Foto: IT-SEAL

Nach Festlegen des Ziel-ESI startet die Awareness Engine von IT-Seal. Sie ist das Herzstück der Awareness Academy für das Training im Autopiloten. Die Awareness Engine stellt sicher, dass jede Gruppe so viel Training wie nötig, aber so wenig wie möglich erhält: Das Awareness-Training einer Mitarbeitergruppe, die bereits den Ziel-ESI erreicht hat, pausiert, wohingegen eine Gruppe mit Trainingsbedarf weitere Maßnahmen erhält. Die Awareness Engine entlastet somit den Kunden und stellt effizientes Training sicher.

Die Awareness Engine setzt bei Mitarbeitergruppen automatisch Ruhepausen, wenn das Ziel-ESI® erreicht ist.
Die Awareness Engine setzt bei Mitarbeitergruppen automatisch Ruhepausen, wenn das Ziel-ESI® erreicht ist.
Foto: IT-SEAL

Das Awareness-Training umfasst vielfältige Maßnahmen wie E-Learnings, Kurzvideos, Schulungen, Awareness-Materialien und Phishing-Simulationen. Hierbei kommt die patentierte Spear-Phishing-Engine zum Einsatz. Diese sammelt zunächst öffentlich zugängliche Informationen über die Mitarbeiter, auch Open Source Intelligence genannt. Darauf basierend erstellt sie authentische Spear-Phishing-Mails für den jeweiligen Mitarbeiter. Somit werden realistische Angriffsszenarien abgebildet, die Mitarbeiter auf tatsächliche Angriffe vorbereiten.

Die Spear-Phishing-Engine nutzt OSINT zur Analyse und Erstellung von gezielten Spear-Phishing-Simulationen.
Die Spear-Phishing-Engine nutzt OSINT zur Analyse und Erstellung von gezielten Spear-Phishing-Simulationen.
Foto: IT-SEAL

Das Training erfolgt bedarfsgerecht: Durch steigenden Schwierigkeitsgrad werden Frustmomente durch Über- oder Unterforderung vermieden und die Mitarbeiter bleiben mit Spaß bei der Sache. Ein weiteres effektives Element ist die Aufklärung im Most Teachable Moment. Der Mitarbeiter gelangt beim Klicken einer simulierten Phishing-Mail auf eine Erklärseite, die ihm interaktiv aufzeigt, wie er die Phishing-Mail hätte identifizieren können.

Durch Sicherheitskultur zum nachhaltig sensibilisierten Mitarbeiter

Eine aktiv gelebte Sicherheitskultur bedeutet aufgeklärte Mitarbeiter, die ihre Verantwortung kennen und selbständig wahrnehmen. Sie werden vom Sicherheitsrisiko zum Sicherheitsfaktor für ihr Unternehmen.

Hierfür bietet die Awareness Academy von IT-Seal einen einfachen und verlässlichen Workflow. Überzeugen Sie sich jetzt selbst und testen Sie die Spear-Phishing-Demo und das E-Learning kostenlos.

»
Zur Startseite