Die Schaffung von Security Awareness ist der Schlüssel, um gegen menschliche Fehler bei Sicherheitsvorfällen vorzugehen. [...]
Im Rahmen des European Cyber Security Awareness Month (ECSM) weist Lance Spitzner, Direktor des SANS Instituts (eine Schulungs- und Zertifizierungsorganisation rund um das Thema Informationssicherheit), darauf hin, dass die Personalabteilungen eine kritische Rolle spielen, wenn es darum geht, zur Verbesserung der Informationssicherheitsverfahren ihrer Unternehmen beizutragen. „Unternehmen erkennen langsam, dass sie sich um die menschliche Komponente kümmern müssen, denn der Technologie sind Grenzen gesetzt“, sagt Spitzner.
ECSM ist eine Kampagne unterstützt von der Europäischen Union, die im laufenden Monat Oktober stattfindet. Ziel des ECSM ist es, bei den Bürgern für das Thema Cyber-Sicherheit zu werben, um ihre Wahrnehmung von Cyber-Bedrohungen zu verändern, aktuelle Sicherheitsinformationen über Kurzschulungen beizusteuern und die gemeinsame Nutzung bewährter Verfahrensweisen zu verbessern.
„Solange Menschen Informationen speichern, verarbeiten oder übertragen, müssen diese gesichert sein. Einer der effektivsten Wege, Mitarbeiter zu schützen, ist ihr Verhalten durch ein aktives, langfristiges Security Awareness-Programm zu ändern“, fügt Spitzner hinzu, der mit zahlreichen Unternehmen und Organisationen gesprochen und zusammengearbeitet hat, zu denen u.a. der CERT-Verband FIRST und das Telekommunikations-Beratungskommittee des amerikanischen Präsidenten gehören.
Dem Direktor von SANS zufolge ist es auf Basis der vorliegenden Daten äußerst wahrscheinlich, dass jedes große Unternehmen zu irgendeinem Zeitpunkt eine Verletzung der Informationssicherheit erleben wird. Laut dem Data Breach Investigation Report (DBIR), der in den letzten zehn Jahren über 100.000 Sicherheitsvorfälle untersucht hat, lassen sich 81 Prozent davon mit nur 4 wesentlichen Grundursachen erklären, nämlich verschiedene Fehler (28 Prozent), Missbrauch durch Insider (19 Prozent), Crimeware (19 Prozent) sowie physischer Diebstahl/Verlust (16 Prozent).
Der größte Faktor, „verschiedene Fehler”, bezieht sich dem Bericht zufolge einfach auf alle Fehler, die die Sicherheit beeinträchtigen. Die Hauptbedrohung entsteht durch menschliche Fehler, wie das versehentliche Einstellen privater Daten auf einer öffentlichen Seite, das Versenden von Informationen an die falschen Empfänger oder das nicht sichere Entsorgen von Dokumenten oder Assets. Jedoch spielt auch das mangelnde Sicherheitsbewusstsein bei Insider-Missbrauch, physischem Diebstahl oder bei Verlustereignissen eine Rolle.
„In der Vergangenheit unterhielten Unternehmen zwar Security Awareness-Programme, es handelte sich dabei aber um von Auditoren entwickelte Compliance-gesteuerte Programme, mit denen sie sicherstellen wollten, dass ihre Unternehmen „ein Häkchen auf einer Checkliste“ machen konnten. Diese Programme bestanden aus nichts anderem als einer Power-Point-Präsentation oder sehr grundlegendem Computer Based Training (CBT)“, sagt Spitzner. „In den letzten Jahren haben Unternehmen bei der Frage, wie sie Bewusstsein und Schulung angehen wollen, eine grundlegende Verschiebung eingeleitet. Sie bauen ausgereifte Security Awareness-Programme auf, die weitverbreitete und gleichzeitig hochriskante menschliche Verhaltensweisen identifizieren und ändern.“
Spitzner spricht sich dafür aus, dass es die vornehmliche Aufgabe ist, die Unterstützung des Managements zu gewinnen und die Schlüsselfragen „wer, was und wie“ zu beantworten. „Sobald man ein Programm eingeführt hat, muss man es auch messen können. Die Messung liefert verschiedene Ergebnisse. Erstens hilft sie Ihnen festzustellen, wo Ihre größten Risiken liegen und worauf Sie Ihren Fokus richten müssen. Zweitens kann sie dazu verwendet werden, dem Führungsstab den Wert des Programms zu demonstrieren, was Ihnen wiederum die Unterstützung dafür bringt, die Sie brauchen, um das Programm auch langfristig aufrechtzuerhalten“, fügt er hinzu.
SANS „Securing The Human“ ist Partner und Unterstützer des ECSM und bietet auf http://www.securingthehuman.org/resources im Rahmen dieser Kampagne eine Reihe von Community-Ressourcen zu der Frage an, wie man ein hocheffizientes Security Awareness-Programm, welches als Community-Projekt von hunderten verschiedener Security Awareness-Beauftragten entwickelt wurde, richtig aufbaut und umsetzt. (pi)
Be the first to comment