Informationssicherheits-Awareness-Trainings sind ein integraler Bestandteil der Informationssicherheit. Über grundsätzliche Fragen einer Awareness-Konzeption haben wir bereits in unserem Blogbeitrag 10 Erfolgsfaktoren bei der Konzeption eines IT-Security-Awareness-Programms informiert. Daher wollen wir uns heute mit der Zusammenstellung von möglichen Inhalte des Trainings befassen.
Der Inhalt im Überblick
- Awareness-Training: Ausrichtung der Inhalte am Zielpublikum
- Mögliche Inhalte für Ihr nächstes Security-Awareness-Training
- Allgemeine Lage der Informationssicherheit
- Aktuelle Themen und Informationen aufbereiten
- Einordnung von Informationssicherheit
- Erläuterung verschiedener Angriffsvektoren
- Home-Office, Arbeiten im Hotel oder in der Bahn
- Einsatz privater IT im beruflichen Kontext und umgekehrt
- Videokonferenzen
- Erläuterung der Notfallplanung
- Regelungen und Verantwortlichkeiten bekannt machen
- Sicherheitsvorfall: Was ist das und wann muss ich dies melden?
- Zusammenarbeit mit dem Informationssicherheitsbeauftragten (m/w/d)
- Schwerpunktsetzung, um Informationsüberlastung zu vermeiden
Awareness-Training: Ausrichtung der Inhalte am Zielpublikum
Um ein Awareness-Training erfolgreich durchzuführen, müssen gewisse Faktoren berücksichtigt werden. Da steht selbstverständlich die Orientierung an der Zielgruppe und die entsprechende Segmentierung ganz weit vorne. Die folgenden Vorschläge beziehen sich auf eine allgemeine Awarenessschulung für alle Mitarbeitenden. Vertiefende Schulungen beispielsweise für die IT oder Entwicklung könnten sinnvoll sein. Dementsprechend sollten auch beispielsweise die richtigen Medien und das passende Timing ausgewählt werden.
Sprechen Sie mit Ihren Mitarbeitenden und mit potenziellen Teilnehmern über ihre Erwartungen. Aber auch mit der IT, welche Probleme in Verbindung mit den Usern immer wiederkehrend sind, oder ob es in naher Zukunft neue Projekte und Herausforderungen für die Anwender gibt und wie diese im Awareness-Training integriert werden sollten.
Mögliche Inhalte für Ihr nächstes Security-Awareness-Training
Nachstehend finden Sie Ideen für Themen und Inhalte von Informationssicherheit-Awareness-Trainings, die sich bei uns in der Praxis erwiesen haben.
Allgemeine Lage der Informationssicherheit
Zunächst bietet es sich an, etwas generischer an das große Ganze heranzugehen. Eine Sensibilisierung für die Themen der Informationssicherheit ist durchaus sinnvoll, gerade bei der seit Jahren stetig steigenden Bedrohungslage. Themen und Elemente des BSI-Berichtes (Bundesamt für Sicherheit in der Informationstechnik) zur Lage der IT-Sicherheit in Deutschland bieten sich dazu an.
Aktuelle Themen und Informationen aufbereiten
Aber auch sehr spezifische Themen eignen sich richtig aufbereitet für eine Sensibilisierung. Denn sie bieten Anknüpfungspunkte für das Interesse der Mitarbeitenden, von dem der Bogen zur eigenen IT-Sicherheitsstrategie zurückgespannt werden kann.
Informationssicherheitsvorfälle aus der Branche
So sind etwa Neuigkeiten aus der Branche gut geeignet, die Sinne zu schärfen. Welche Unternehmen im gleichen Markt wurden schon Opfer von Angriffen und mit welchen Konsequenzen? Was waren die Schwachstellen, die ausgenutzt worden sind? Solche Informationen sind gut zu finden und verdeutlichen nochmals die Notwendigkeit für eine stringente Anwendung der Maßnahmen und Regelungen für mehr Informationssicherheit.
Informationssicherheitsrelevante Themen des Unternehmens
Es gibt in Ihrem Unternehmen gerade neue Projekte, beispielsweise eine neue Softwareeinführung oder einen Umzug zum neuen Standort? Oder es haben sich vermehrt Fälle beim Verlust von mobilen Geräten ergeben? Dann ist dies ein idealer Zeitpunkt, diese Inhalte in das Awareness-Training zu integrieren. Allerdings bei letzterem bitte nicht zu sehr mit dem erhobenen Zeigefinger agieren und vor allem keine Namen nennen. Der Fokus sollte ausschließlich auf positive Beispiele und vorbildliche Verhaltensweisen von Mitarbeitenden liegen, die dadurch einen Informationssicherheitsvorfall vermeiden konnten.
Krisen und deren Einfluss auf die Informationssicherheit
Auch bei diesem übergreifenden Thema haben wir positives Feedback in den Schulungen erfahren. Mitarbeitende zeigten sich sehr interessiert, welchen Einfluss verschiedene Krisen (Ukraine-Krieg, Pandemie, Energiekrise, Inflation, Lieferengpässe, Fachkräftemangel, Klimakrise) auf die Informationssicherheit haben und welche Konsequenzen sich daraus ableiten lassen. Richtig darauf eingestellt, werden sich die Mitarbeitenden dabei mitnehmen lassen und ihren Beitrag leisten.
Einordnung von Informationssicherheit
Ein weiteres generisches Thema ist die Einordnung des Begriffes „Informationssicherheit“ und gegebenenfalls die Abgrenzung zu den korrespondierenden Themen „Datenschutz“, „IT-Sicherheit“ oder „Physische Sicherheit“. Dies hilft Ihren Mitarbeitenden die Zusammenhänge nachvollziehen zu können und schafft gleichfalls das Bewusstsein, dass Informationssicherheit nicht ausschließlich ein Thema der IT-Abteilung ist, sondern von allen Mitarbeitenden getragen werden sollte.
Erläuterung verschiedener Angriffsvektoren
Es lohnt sich immer, die Mitarbeitenden mit den am häufigsten genutzten Angriffsmöglichkeiten auf Unternehmen vertraut zu machen, damit sie entsprechende Angriffsversuche im Alltag erkennen können.
Ransomware
Ransomware-Angriffe auf Unternehmen sind weiterhin ein wichtiges und ansteigendes Element der Kriminellen und können Schäden in Millionenhöhe anrichten. Auch nach der Verschlüsselung der Unternehmensdaten und der Zahlung eines Lösegelds ist nicht sichergestellt, dass die Daten wieder freigegeben werden. Immer häufiger wird ein weiteres Lösegeld fällig, damit sensible Daten nicht veröffentlicht werden. Der Faktor Mensch, bzw. die menschliche Firewall spielen dabei eine große Rolle, diese Angriffe zu vermeiden.
Phishing
Eine nennenswerte Variante, um an Anmeldedaten und somit in IT-Systeme zu kommen, ist der sogenannte Phishing-Angriff. Die Betrüger möchten durch gefälschte Webseiten, E-Mails oder SMS-Nachrichten die Mitarbeitenden zur Bekanntgabe ihrer vertraulichen Daten veranlassen. Beispiele der neusten Trends und an welchen Merkmalen man die Betrugsversuche erkennen kann, sollten Bestandteil eines jeden Awareness-Trainings sein.
Social Engineering
Das gleiche gilt für Social Engineering im Allgemeinen. Dabei steht die psychologische Manipulation von Menschen im Vordergrund. Verschiedene menschliche Verhaltensweisen, beispielsweise Hilfsbereitschaft, Neugier oder Angst werden dabei ausgenutzt und nicht selten mit einer Druck- oder Stresssituation verbunden. Die Vorstellung typischer Szenarien kreiert ein angemessenes Bewusstsein und entsprechende Vorschläge zu Gegenmaßnahmen werden dankbar aufgenommen.
CEO-Fraud
Auch ein CEO-Fraud wird immer noch gerne als Betrugsmethode genutzt, da das Szenario weiterhin gut funktioniert. Die Angreifer verwenden eine falsche Identität und geben sich als Geschäftsführende oder Manager aus. Ziel ist es dabei, Mitarbeitende zur Überweisung von Geldbeträgen auf entsprechende Konten der Betrüger zu bewegen. Bei einem Awareness-Training sollten entsprechende Richtlinien und Vorgaben vorgestellt werden. Als positives Nebenprodukt lässt sich hier gegebenenfalls feststellen, dass dort noch geschärft oder nachgebessert werden sollte.
Passwörter, Zugangs, Zugriffs- und Zutrittskontrolle
Für Passwörter und deren Verwahrung gibt es in vielen Unternehmen dedizierte, individuelle Vorgaben und Regelungen, die bei dieser Gelegenheit nochmals vorgestellt werden können. Natürlich kann auch die Sinnhaftigkeit dieser Regelungen begründet und erklärt werden, um die Einhaltung zu unterstützen. Bei der physischen Informationssicherheit durch Zugangsberechtigungen empfiehlt es sich das Konzept zu verdeutlichen und wie man mit bestimmten Situationen oder Ausnahmefällen umgeht.
Umgang mit Besuchern, Technikern, Monteuren und Paketboten
Oftmals sind in Unternehmen dokumentierte Besucherregelungen vorhanden, die sehr detailliert sein sollten. In der Praxis sehen wir auch häufig eine nett formulierte Hochglanzbroschüre, die die Vorgaben schön verpacken. Diese Regelungen sollten vorgestellt werden, ebenso der Umgang mit Technikern, Monteuren und Paketboten. Tatsächlich erleben wir immer wieder, dass fremde Menschen in Paketbotenuniform sehr, sehr selten angesprochen werden …
Home-Office, Arbeiten im Hotel oder in der Bahn
Das Thema Home-Office ist natürlich ein großes Thema und lässt sich gegebenenfalls in weitere Unterthemen gliedern. Einige davon sind durch bereits zuvor behandelte Themen abgedeckt, bzw. müssen ergänzt und geschärft werden. Aus Besuchern werden Freunde, Kinder oder Haustiere. Die „Zutrittskontrolle“ wird im Sommer auch gerne durch eine offene Terassentür außer Kraft gesetzt. Weiterhin sind gewünschte Verhaltensweisen, zum Beispiel beim Reisen mit der Bahn erwähnenswert. Und dass ein Hotelzimmer nicht automatisch mit einem Safe gleichzusetzen ist und täglich unter Umständen mehrere Angestellte Zutritt haben, sollte auch nicht unterschätzt werden.
Einsatz privater IT im beruflichen Kontext und umgekehrt
Idealerweise hat ihr Unternehmen Regelungen geschaffen und intern veröffentlicht, die den Einsatz privater IT im beruflichen Kontext und umgekehrt beschreiben. Diese sollten auch Thema des Awareness-Trainings sein und dabei gut begründet werden. Auch die etablierten Regelungen für den Umgang mit Datenträgern und mobilen Endgeräten, bzw. deren Entsorgung sollte erwähnt und besprochen werden.
Videokonferenzen
Die Pandemie brachte es zum Vorschein: Videokonferenzen sind mittlerweile fest etabliert in den Arbeitsalltag, durch die oftmals einfache und intuitive Bedienung gab es aber weder zum Zeitpunkt der Büroschließung noch bis zum jetzigen Zeitpunkt eine Schulung zum eingesetzten Tool. Dabei lauern einige Gefahren, die die Informationssicherheit gefährden können:
- Ein Hintergrund, der vertrauliche Informationen auf dem Whiteboard offenlegt,
- ein versehentlich genutzter falscher Chat-Kanal
- oder ein unbeabsichtigt noch offenes Mikrofon.
Es gibt zu dem Thema einiges zu besprechen, die Hinweise werden generell positiv aufgenommen.
Erläuterung der Notfallplanung
Die Stresssituation, die ein IT-Notfall (Cyberangriff, Stromausfall, technischer Ausfall sowie Personal- und Dienstleisterausfall) bedeutet, sollte besprochen und vorgestellt werden, damit man gut auf den Ernstfall vorbereitet ist. Die Benennung und Vorstellung von Prozessen und Verantwortlichkeiten gibt Klarheit. Flankierende Maßnahmen können zu diesem Topic vorgestellt werden.
Regelungen und Verantwortlichkeiten bekannt machen
Das Awareness-Training bietet jedes Mal eine gute Möglichkeit, auf weiterführende Informationen zum Thema aufmerksam zu machen. Unabhängig, welchen Kommunikationskanal Sie in Ihrem Unternehmen nutzen, sollten Sie immer die Gelegenheit nutzen, diesen zu promoten. Eine strukturierte Dokumentation der Prozesse kann dabei ebenso gerne vorgestellt werden wie neue Inhalte oder Neuerungen der Organisation.
Sicherheitsvorfall: Was ist das und wann muss ich dies melden?
Grundsätzlich möchte man im Unternehmen eine positive Grundstimmung erzeugen und die menschliche Firewall und deren Wirkung unterstützen. Dementsprechend sollte eine positive Kultur des Meldens verankert werden. Dazu gehört auch eine Hilfestellung bei der Unterscheidung einer IT-Störung und eines IT-Vorfalls. Auch wenn die Grenzen und die Entwicklung der Kategorien fließend sein können. Klar sollte jedoch sein, wie der Meldeweg im Ernstfall ablaufen sollte und welches die ersten Maßnahmen sind.
Zusammenarbeit mit dem Informationssicherheitsbeauftragten (m/w/d)
In diesem Punkt geht es um gewünschte Verhaltensweisen der Mitarbeitenden und die Interaktion mit dem Informationssicherheitsbeauftragten (ISB). Das bietet die Chance, eine realistische Erwartungshaltung zu kommunizieren und bietet den Mitarbeitenden ein hohes Maß an Sicherheit, eine stringente Kommunikation vorausgesetzt. Auch hat der ISB hier die Möglichkeit, sich „zugänglich“ zu positionieren und eventuell bestehende Hürden in der Zusammenarbeit abzubauen.
Schwerpunktsetzung, um Informationsüberlastung zu vermeiden
Das Themenspektrum für ein IT-Security-Awareness-Trainings ist sicherlich breit aufgestellt und unser Einblick hat sicherlich bei weitem keinen Anspruch auf Vollständigkeit. Empfehlenswert ist es, dass nicht alle Themen in einem Training abgehandelt werden sollten. Vielmehr sollten in den zu definierenden Perioden verschiedene Schwerpunkte sinnvoll und anlassbezogen integriert werden. Gleichwohl hoffen wir, Ihnen durch diesen Beitrag ein paar nützliche Anregungen gegeben zu haben.