Security Awareness ist Verschwendung!

Security Awareness ist Verschwendung!

Ist Security Awareness eine nützliche Maßnahme oder einfach nur Zeit- und Geld-Verschwendung?

Die einen schätzen Awareness Maßnahmen als in der Regel wirkungslos ein, weil es sehr schwer sei, den Menschen zu Veränderungen im eigenen Verhalten zu bewegen. Die anderen sehen in solchen Kampagnen und Schulungen den einzigen Weg um Mitarbeiter und Mitarbeiterinnen zu einer erhöhten Sensibilisierung zu führen. Auch sind viele Unternehmen bzw. Branchen verpflichtet, Mitarbeiter in der sicheren und korrekten Nutzung der IT zu schulen. Die Frage ist nur, wie viel Investition in Ausbildung ist sinnvoll und wie sollte diese gestaltet sein? Um in der Rolle „Security Awareness ist Verschwendung“ zu bleiben:

Das Investment ist nicht messbar!

Also, wie hoch ist die Wahrscheinlichkeit, dass der Einsatz von z.B. E-Learning im Awareness Bereich, die Wahrscheinlichkeit eines Sicherheitsvorfalles spürbar reduziert werden kann? Wie also kann die Wahrscheinlichkeit des Eintritts einer Bedrohung, gegen die Awareness Maßnahmen geschätzt oder berechnet werden? Sicher ist der Anwender nach einer Schulung sensibler, aber wie lange ist er das? Wird er sich nach paar Monaten noch darauf besinnen? Er wird ziemlich sicher Spam- und Phishing-E-Mails bekommen und so Attacken ausgesetzt. Aber ob eine Schulung das Risiko reduziert? Da kann man spekulieren. Weiter ist es auch sicher so, dass durch bekannt gewordenen Angriffe auf große Firmen oder Behörden – die durch die Presse gehen, die Sensibilisierung auch erhöht wird.

IT Sicherheit in meinem Unternehmen?

Die Mitarbeiter und Unternehmen produzieren Waren, bieten Dienstleistungen an, beraten Kunden in Finanzthemen. Was haben die alle mit IT-Sicherheit zu tun? Warum soll man einen Elektroingenieur dazu „verpflichten“ auf die IT-Sicherheit der Firma zu achten. Jeder hat sein spezielles Gebiet, dafür wird er bezahlt, dafür soll er für das Unternehmen Gewinn erzeugen. Wenn die Mitarbeiter sich also mit Themen beschäftigen, die nicht in seinem Fachbereich liegen, fehlt diese Zeit für seine eigentliche Tätigkeit.

Also sind solche Maßnahmen wirklich Verschwendung?

Ja, wenn die Security Awareness Maßnahme nicht auf das Unternehmen oder die Abteilung oder den Mitarbeiter abgestimmt ist. Die Akzeptanz also nicht vorhanden und auch nicht die Notwendigkeit für die einzelnen Mitarbeiter ist nicht zu erkennen. Zwang ist bei „fremden“ Themen wie Security Awareness in der Regel verbunden mit Ablehnung! Man muss damit rechnen, dass sich Mitarbeiter nicht für dieses Thema interessieren. Von daher werden diese auch nur einen geringen Mehrwert zur Abwehr von Security-Bedrohungen leisten, bzw. leisten wollen. IT Sicherheit ist Aufgabe der IT und nicht durch die Mitarbeiter.

Ja, wenn Awareness Schulungen, Schulungen sind, und keine Trainings. Wenn pauschal die Nutzung von sicherheitsgefährdenden Aktionen verboten werden. Man informiert die Mitarbeiter also beispielweise darüber, dass es gefährlich ist USB-Sticks, CD-ROMs oder ähnliches in die Firma mitzubringen und sperrt diese Funktionen. Selbiges gilt für Downloads aus dem Internet. Die Mitarbeiter sind informiert, die Technik soweit als möglich eingerichtet, die Awareness Kampagne fertig.
Auch so wird man keine Akzeptanz schaffen können. Gerade Verbote werden gerne missachtet.

Security Awareness bringt also wirklich nichts

Nein, wenn man diese Maßnahmen richtig plant, die Mitarbeiter ins Boot holt und Ihnen erklärt warum und wieso was passieren kann. Wie kann man den auf Hacker, Online Diebe, Ransomware und auch Spionage reagieren? Sicher ist ja in jedem Fall, dass nichts sicher ist. 100% Schutz wird nicht erreicht.

Aufklärung und Training

Was und wie machen den Cyberkriminelle überhaupt. Was sind Spam- und Phishing-E-Mails. Was konkret passiert, wenn man sich das „einfängt“ – was kann auch im privaten Umfeld Schaden anrichten. Diese und weitere Fragen kann man in einem Training darstellen und in Praxisbeispielen durchspielen und simulieren. Also konkrete und ausführliche Aufklärung über alles, was tatsächlich passieren kann und wird, wenn diese Dinge nicht beachtet werden.

Individuelle Security Awareness Kampagnen

Für jede Firma gelten andere Regeln. Die Philosophien und das Klima sind überall unterschiedlich. Lustig bedruckte Kaffeetassen mit Hinweisen zur IT-Sicherheit sind bei einem Taxiunternehmen eher fehl am Platz. Hier gilt es, wenn dann, Dinge als Werbeträger für die Awareness zu verwenden, welche die Mitarbeiter im täglichen Gebrauch haben.

Einfach ist besser.

Es ist zu vermuten, dass die meisten Menschen heutzutage gar nicht wissen und auch nicht nachvollziehen können, was überhaupt in der Internet Welt passiert und welche Bedrohungen, in welchem Ausmaß anstehen. Ganz zu schweigen davon, was und wie Kriminelle arbeiten um an die Daten zu kommen. Es wird demnach also nichts helfen, den Mitarbeitern vermeintliches IT KnowHow beibringen zu wollen. Security Awareness sollte in einfachen, wirksamen und einprägsamen Worten und Aktionen gestaltet und umgesetzt werden.

Security Awareness ist KEINE Verschwendung!

Aber nur dann, wenn Sie eine individuelle, angepasste und einprägsame Kampagne starten und nicht als Eintagsfliege wieder sterben lassen. Wie das geht, zeigen wir Ihnen gerne: Nehmen Sie Kontakt auf: [KLICK] WEIL BEWUSSTEIN SICHERHEIT SCHAFFT! Auch in Ihrem Unternehmen!