Technische Sicherheitsvorkehrungen wie Firewalls oder Virenscanner alleine reichen heute nicht mehr aus. Für einen umfassenden Schutz müssen Unternehmen einen weiteren wichtigen Faktor berücksichtigen: die eigenen Mitarbeiter. [...]
Trotz aller technischen Abwehrmaßnahmen bleibt der Mensch weiterhin das größte Sicherheitsrisiko. Das Linzer Unternehmen Awarity hat deshalb eine gleichnamige Softwareplattform entwickelt, die Mitarbeiter regelmäßig über Security-Themen informiert und damit die Entstehung eines Security-Bewusstseins fördert. Im Gespräch mit der COMPUTERWELT erklären Georg Schwondra, Director Security beim IT-Dienstleister Atos, der das Linzer Startup im Rahmen eines Mentoring-Programmes unterstützt, sowie Jürgen Grieshofer und Erik Rusek von Awarity, wie aus dem größten Risiko die stärkste Abwehr wird.
Awarity beschäftigt sich mit Förderung von Sicherheitsbewusstsein bei Mitarbeitern. Wie kam es zu dieser Idee?
Georg Schwondra: Es ist heute nicht mehr damit getan, Mauern zu bauen. Einfach nur Firewall und Virenscanner zu haben, wird der Bedrohungslage nicht gerecht. Ein wichtiger Faktor in diesem Zusammenhang, eigentlich sogar der wichtigste, sind die Mitarbeiter und daher sollten Unternehmen neben den notwendigen technischen Maßnahmen, die aber inzwischen State-of-the-art sind, auch an der Mitarbeiter-Awareness arbeiten.
Erik Rusek: Wir haben vor Awarity als Sicherheitsberater gearbeitet und dabei festgestellt, dass das eigentliche Problem dahinter immer irgendwie ein Mitarbeiter war. Menschen machen Fehler. Das ist ganz normal und liegt meist an zu wenig Knowhow. Viele Fehler passieren aus Unachtsamkeit, wegen mangelndem Sicherheitsbewusstsein, mangelnder Ausbildung. Wir haben uns die Frage gestellt, was man dagegen unternehmen kann. Die vorhandenen Methoden, E-Learning-Plattformen, Schulungen, etc. haben alle das gleiche Problem: die fehlende Regelmäßigkeit. Darauf haben wir uns konzentriert.
Ist das für Unternehmen ein Thema?
Georg Schwondra: Viele Firmen beschäftigen sich gar nicht damit. Andere machen das zwar regelmäßig, aber nur ein Mal im Jahr meistens in Form einer Schulung oder eines Vortrages. Da gibt es dann vielleicht, wenn es online passiert, abschließend einen Test oder bei einer Klassenschulung unterschreibt der Mitarbeiter anschließend, dass er da war.
Und das ist zu wenig?
Das ist halt eine Einmal-Aktion und danach haben sie eine steile Vergessenskurve. Das ist wie bei einer Sprache, die man nicht regelmäßig spricht. Solche Einmal-Aktionen sind besser als gar nichts, aber bei Weitem nicht optimal. Awarity hat ein Werkzeug zur Hand, über das sich Mitarbeiter gerne mit dem Thema Security beschäftigen und vor allem freiwillig.
Freiwillig? Tatsächlich?
Jürgen Grieshofer: Unser Ziel ist es, den Mitarbeiter zur menschlichen Firewall auszubilden und zu diesem Zweck versuchen wir, die Mitarbeiter zu motivieren, sodass sie da auch mitmachen wollen. In Folge sollen sie dann ein Sicherheitsbewusstsein entwickeln und wir versuchen ihnen dabei klarzumachen, dass ein Sicherheitsprozess ja nicht die Arbeit eines Einzelnen ist, oder einer einzelnen Abteilung, sondern das ganze Unternehmen betrifft, und dass sie da aktiv etwas dazu beitragen können und sollten.
Wie schafft man das?
Durch kontinuierliches Training bzw. kontinuierliche Information. Unsere Software hat drei Kernelemente. Eines davon ist, dass jeder Mitarbeiter selbst direkt Schwachstellen melden kann, indem er in der Awarity-App in ein fertiges Formular einfach einen Titel, eine Beschreibung eingibt und optional vielleicht noch ein Bild hochlädt.
Was meldet man da zum Beispiel? Dass man ein Spam-Mail bekommen hat?
Zum Beispiel. Da könnte ich dann mit dem Smartphone ein Foto von dem Spam-Mail machen und das auf die Plattform laden. Oder ich mache es am PC über den Browser. Wichtig ist, dass es eine direkte, unkomplizierte Feedbackmöglichkeit gibt. So eine Meldung geht dann an das Security-Team, das eine Bewertung durchführt und die Meldung anonymisiert. Die Anonymisierung erfolgt deshalb, weil man diese Meldung ja auf der Plattform darstellen will, damit auch die anderen Mitarbeiter sehen, wie eine Schwachstelle aussieht, was dabei passieren kann und es einen Lerneffekt für alle gibt.
Anonymisiert wird, von wem die Meldung kam?
Erik Rusek: Genau. Bzw. auch um welchen Kollegen es vielleicht geht. Es soll ja keine Plattform für Vernaderung sein, es soll nicht denunziert werden, aber es soll bei allen Awareness entstehen. Wenn ein Mitarbeiter immer vergisst, seinen Arbeitsplatz zu sperren, dann kann man ihm unter vier Augen sagen, dass er doch bitte sein System sperren soll. Aber es soll nicht gleich die ganze Firma wissen, wer das war und dann mit dem Finger auf denjenigen zeigen. Wir haben da zwei Schritte der Anonymisierung: Einerseits agieren alle Personen innerhalb der Plattform nur mit einem fiktiven Namen. Es gibt damit keine Rückschlussmöglichkeit darauf, welche Person hinter einer Meldung steckt. Und wenn ein Foto von einem nicht abgesperrten Arbeitsplatz dabei ist und man erkennen kann, wem der Arbeitsplatz gehört, dann wird das zum Beispiel mit einem schwarzen Balken verdeckt.
Geht es dabei nur um IT-Themen oder auch um andere Security-Aspekte?
Es geht um alles, was mit Security zu tun hat und wo der Mitarbeiter etwas beitragen kann. Zum Beispiel um Besucherrichtlinien. Besucher sollten immer ein Schild tragen. Wenn man nun jemanden im Büro sieht, den man nicht kennt und der kein Schild hat, dann sollte man ihn ansprechen. Und es gibt auch viele IT-Themen: Keine fremden USB-Sticks an meine Systeme anstecken. Nicht auf Phishing-Mails klicken, etc.
In welcher Form findet das kontinuierliche Training statt?
Neben den gemeldeten Schwachstellen, die als Lernhilfe dienen, gibt es Multiple-Choice-Fragen zu Sicherheitsthemen, damit wir das Wissen der Mitarbeiter auch überprüfen können. Diese Inhalte werden von uns zur Verfügung gestellt und beinhalten zum Beispiel Tipps des Tages. Auf diese Weise bekommen Mitarbeiter generische Sicherheitstipps – wie schaut etwa ein sicheres Passwort aus – und es lassen sich auch tagesaktuelle Themen wie etwa Heartbleed zeitnah adressieren.
Wie werden die Mitarbeiter nun motiviert, damit sie Awarity auch gerne und freiwillig nutzen?
Jürgen Grieshofer: Das ist das dritte Kernelement unserer Plattform: Wir haben ein Belohnungssystem dahinter, Stichwort Gamification. Mitarbeiter bekommen Punkte für jede Aktion, die sie im System setzen. Beispielsweise für das Melden von Schwachstellen oder für das richtige Beantworten von Fragen. Der Mitarbeiter, der am Ende des Monats die meisten Punkte hat, bekommt dann vom Unternehmen eine reale Belohnung. Essensgutscheine zum Beispiel oder den Parkplatz direkt vor der Haustüre.
Wie weit lässt sich das System an individuelle Bedürfnisse anpassen?
Man kann angefangen vom Design bis hin zum dahinterliegenden Risikoschema alles customizen. Es gibt auch ein Redaktionsmodul, mit dem Unternehmen die von uns bereitgestellen Inhalte verändern, priorisieren oder komplett neu machen können. Wir können auch Eskalationsebenen einführen, zum Beispiel, wer Schwachstellen nur bewerten und wer sie auch freigeben darf. Zudem gibt es die Möglichkeit, Dienstpläne zu hinterlegen, damit klar ist, wer im Falle einer Eskalation benachrichtigt werden muss.
Was kostet Awarity?
Erik Rusek: Der Preis liegt bei 25 Euro pro Nutzer pro Jahr. Dafür gibt es die App, die von uns gehostete Webplattform, den Software-Support, die Inhalte inklusive tagesaktueller Aufbereitung und ein Mal im Jahr ein Feedbackgespräch mit dem Management.
Das Gespräch führte Oliver Weiss.
Be the first to comment