Mit der Awareness Academy zur nachhaltigen Sicherheitskultur

Noch immer stehen viele IT-Sicherheitsverantwortliche vor der Herausforderung, Mitarbeiter und Kollegen für Informationssicherheitsthemen zu sensibilisieren und so Fehlverhalten und potenzielle Sicherheitsvorfälle zu vermeiden. Nur wie kann eine nachhaltig gelebte Sicherheitskultur im Unternehmen etabliert werden?

Menschen sind bekanntlich Gewohnheitstiere, die ihr Verhalten nur zögerlich ändern. In unserer heutigen, schnelllebigen Gesellschaft, in der Cyber-Kriminelle immer neue Wege und Mittel entwickeln, um Unternehmen und öffentliche Institutionen anzugreifen, kann dies zum ernsthaften Problem werden. Unsensibilisierte Mitarbeiter können durch ihr Fehlverhalten Sicherheitsvorfälle auslösen und die Sicherheit ihres Unternehmens oder sogar der Öffentlichkeit gefährden.

Die Lösung für diese kritische Situation ist die Etablierung einer aktiv gelebten Sicherheitskultur im Unternehmen. Ziel einer solchen Sicherheitskultur ist die Verbesserung der Informationssicherheit einer Organisation durch grundlegende Verhaltensänderung der Organisationsmitglieder. Doch wie kann dies erreicht werden?

 

Problematik und Lösung bei der Umsetzung einer Sicherheitskultur

Bei herkömmlichen Awareness-Kampagnen sucht sich der IT-Sicherheitsverantwortliche nun verschiedene Anbieter für Awareness-Training wie Phishing-Simulationen, E-Learning und Präsenzschulungen heraus. Im nächsten Schritt trackt er eigenständig den Fortschritt beziehungsweise weiteren Trainingsbedarf der Mitarbeiter. Nach einer bestimmten Zeitspanne endet die Awareness-Kampagne und die Mitarbeiter sowie der IT-Sicherheitsverantwortliche werden wieder sich selbst überlassen. Dieser Ansatz ist nicht nur sehr mühsam und zeitaufwendig auf Kundenseite, sondern auch häufig ineffektiv für den Aufbau einer Sicherheitskultur.

Als Antwort auf dieses Problem hat IT-Seal die Awareness Academy entwickelt, einen einfachen und verlässlichen Workflow, um eine nachhaltige Sicherheitskultur zu etablieren. Anders als bei herkömmlichen Awareness-Kampagnen kümmert sich IT-Seal im Full-Service darum, das gewünschte Ziel-Sicherheitsniveau mit unterschiedlichen Trainingsmethoden zu erreichen, während sich der IT-Sicherheitsbeauftragte entspannt zurücklehnen kann. Mit der Awareness Academy erhält der Kunde eine Multi-Channel-Strategie, die optimal auf den Dreiklang aus Mindset, Skillset und Toolset ausgerichtet ist.

Beim Mindset kommt es darauf an, bei Mitarbeitern Verständnis für die Bedrohungslage zu schaffen, sodass sie ihre Eigenverantwortung wahrnehmen. Durch schlüssige Kommunikation auf allen Ebenen werden zunächst die wichtigsten Stakeholder abgeholt, zentrale Führungskräfte zukünftig als Vorbilder ausgebildet und die Sicherheitskultur als Unternehmensziel definiert.

Skillset bedeutet, das Gelernte nachhaltig zu vertiefen. Das heißt die Fähigkeiten und das Wissen, wie man sich sicher verhalten sollte, werden so praxisnah wie möglich mit den Mitarbeitern trainiert, damit das Gelernte verinnerlicht wird.

Für ein passendes Toolset werden technische und organisatorische Maßnahmen eingesetzt, um den Mitarbeitern die Umsetzung des im Awareness-Training erlangten Know-Hows einfacher zu machen.

Verlässlicher Workflow zur Etablierung einer nachhaltigen Sicherheitskultur

Zu Beginn der Awareness Academy steht das vom Kunden definierte Sicherheits-Zielniveau, welches er erreichen und langfristig halten soll. Hierfür hat IT-Seal den Employee Security Index, kurz ESI®, als standardisierte, wissenschaftliche Security-Awareness-Kennzahl entwickelt. Die Awareness Kampagne wird auf das Erreichen des Ziel-ESI® ausgerichtet und das Training der Mitarbeiter erfolgt gruppenspezifisch, bedarfsgerecht und kennzahlenbasiert. Der IT-Sicherheitsverantwortliche kann anhand des ESI® jederzeit das aktuelle Sicherheitsniveau von Mitarbeitergruppen und die Entwicklung abrufen und so die Effektivität der Awareness-Maßnahmen prüfen.

Nach Festlegen des Ziel- ESI® kommt die innovative Awareness Engine von IT-Seal zum Einsatz. Sie ist das Herzstück der Awareness Academy und ermöglicht Training im Autopiloten. Die Awareness Engine prüft regelmäßig den Trainingsbedarf der Mitarbeitergruppen und stellt sicher, dass jede Gruppe so viel Training wie nötig, aber so wenig wie möglich erhält. Das Awareness-Training einer Mitarbeitergruppe, die bereits den Ziel-ESI® erreicht hat, wird dementsprechend pausiert, wohingegen eine Gruppe mit Trainingsbedarf weitere Maßnahmen erhält. Die Awareness Engine entlastet somit den IT-Sicherheitsbeauftragten, stellt aber gleichzeitig das kontinuierliche und ausreichende Training aller Mitarbeiter sicher.

Das Awareness Training umfasst eine Vielzahl von Maßnahmen wie E-Learning, Kurzvideos, Schulungen, Awareness-Materialien – und Spear-Phishing-Simulationen. Hierbei kommt die von IT-Seal patentierte Spear-Phishing-Engine zum Einsatz. Der Algorithmus sammelt zunächst öffentlich zugängliche Informationen über die Mitarbeiter, sogenannte Open Source Intelligence. Dies kann zum einen für eine OSINT-basierte Angriffspotential-Analyse genutzt werden, um zu ermitteln, wie bedroht ein Unternehmen durch öffentlich zugängliche Informationen auf Sozialen Medien ist. Vor allem aber kann die Spear-Phishing-Engine authentische, OSINT-basierte Spear-Phishing-Mails erstellen. Somit werden realistische Angriffsszenarien abgebildet, die Mitarbeiter effektiv auf tatsächliche Angriffe vorbereitet.

Die Mitarbeitergruppen werden durch die Spear-Phishing-Engine bedarfsgerecht geschult: Durch steigenden Schwierigkeitsgrad werden Frustmomente durch Über- oder Unterforderung vermieden. Ein weiteres effektives Element ist die Aufklärung im Most Teachable Moment. Der Mitarbeiter gelangt bei Klick auf eine Phishing-Mail von IT-Seal auf eine Erklärseite, die ihm interaktiv aufzeigt, wie er die Phishing-Mail hätte identifizieren können. Identifiziert ein Mitarbeiter eine Phishing-Mail, kann er einen Reporter-Button nutzen und den Phishing-Angriff auf diese Weise zu melden.

 

Mit der Awareness Academy zu aufgeklärten Mitarbeitern

Eine aktiv gelebte Sicherheitskultur bedeutet aufgeklärte Mitarbeiter, die die Verantwortung für ihr Unternehmen kennen und selbständig wahrnehmen. Durch Berücksichtigung und Umsetzung der Aspekte Mindset, Skillset und Toolset kann der IT-Sicherheitsverantwortliche bei allen Mitarbeitern und Stakeholdern Verständnis für die Situation schaffen, ein effektives und kontinuierliches Awareness-Training einführen und Werkzeuge etablieren, die das Umsetzen des Gelernten vereinfachen.

Die Awareness Academy von IT-Seal bietet einen einfachen und verlässlichen Workflow hierfür. Überzeugen Sie sich jetzt selbst und testen Sie die Spear-Phishing-Simulation hier.