Strategien haben Dr. Nabil Alsabah schon immer interessiert, in seiner Abschlussarbeit analysierte er mit KI-Methoden die Schlachtstrategien der Griechen in den Perserkriegen. Heute beschäftigt er sich beim Branchenverband der Digitalwirtschaft, Bitkom, mit Strategien zur Abwehr von Cyber-Angriffen. Im Interview erklärt Alsabah, wie man Mitarbeiter auf diese Herausforderungen vorbereitet.
Wenn es um IT-Sicherheit geht, sind Mitarbeiter die "first line of defense". Um das Problembewusstsein der Mitarbeiter zu schärfen, sollten Unternehmen regelmäßig spezielle Awareness-Schulungen durchführen. Online-Schulungen mit interaktivem Übungsteil sind von Vorteil. Die Maßnahme sollte auf die Branche beziehungsweise auf das Unternehmen zugeschnitten sein.
Welche Rolle spielt IT-Security für den Bitkom?
Wir haben unsere Aufgaben in drei Cluster aufgeteilt: Das sind erstens Mehrwert für unsere Mitgliedsunternehmen zu generieren, das heißt, Austausch zu und Vertrautmachen mit neuen Entwicklungen, zweitens die Vernetzung der Mitglieder untereinander und drittens wollen wir der Politik als Ansprechpartner dienen, beziehungsweise Probleme der Mitglieder an die Politik herantragen. Öffentlichkeitsarbeit gehört damit zu unseren wichtigen Aufgaben.
Wie stellen sich diese Aufgaben und Tätigkeiten in Bezug auf IT-Sicherheit dar?
Wir repräsentieren die gesamte Digitalwirtschaft. Damit müssen wir uns mit allen Herausforderungen im Bereich IT-Sicherheit befassen.
Was antworten Sie Ihren Mitgliedsunternehmen, wenn diese mit der Frage an Sie herantreten: Wie mache ich meine Mitarbeiter fit für IT-Sicherheit?
Sicherheitsexperten sagen: In der IT ist das größte Sicherheitsrisiko der Mensch.
Daraus leitet sich die Frage ab, wie man seine Mitarbeiter auf die heutigen Security-Gefahren vorbereitet. Dazu müssen die Mitarbeiter geschult werden. Die Awareness zu erhöhen, ist das Ziel dieser Maßnahmen. Dem würde ich einen ganz hohen Stellenwert beimessen.
Welche typischen Fehler unterlaufen Mitarbeitern, wenn sie nicht geschult wurden?
Sie klicken auf gefährliche Links oder wählen unsichere Passwörter. Mitarbeiter vergessen aber auch, den Rechner zu sperren, wenn sie ihren Arbeitsplatz verlassen. Dabei bietet Microsoft-Windows dafür ein einfaches Tastaturkürzel: Windows-Taste + L. Ungeschulte Mitarbeiter installieren häufig keine Updates oder lassen Passwörter offen auf dem Schreibtisch liegen.
Awareness-Schulungen werden in verschiedenen Formen angeboten, etwa als Präsenzschulung oder online. Was empfiehlt sich für wen?
Als Vorteil bei Online-Schulungen sehe ich den Lerneffekt durch die direkte Umsetzung in Form von Übungen und das dazugehörige Feedback der Online-Plattform. Die besten Angebote sind sicherlich die, bei denen man direkt ein Feedback bekommt. Die Kombination mit einer interaktiven Komponente ist daher zu empfehlen.
Was gehört zu den wesentlichen Inhalten einer Awareness-Schulung?
Der Umgang mit Passwörtern ist elementar, beispielsweise Kriterien zur Auswahl sicherer Passwörter. Dazu zählt auch, nicht das gleiche Passwort auf verschiedenen Plattformen oder Diensten zu verwenden. Der Umgang mit Phishing Mails sollte ebenfalls behandelt werden: Wie erkenne ich, dass eine E-Mail, beziehungsweise der Absender einer Email gefälscht wurde?
Die Verschlüsselung wichtiger Daten ist ein weiterer Punkt, also was verschlüsselt werden sollte, wie Verschlüsselung angewendet wird und so weiter. Der Einsatz der 2-Faktor-Authentifizierung sollte ebenfalls erklärt werden.
Das Zusammenwirken von Datenschutz und IT-Sicherheit ist ebenso ein Thema.
Darunter fällt zum Beispiel die Frage wie die Vertraulichkeit wichtiger Dokumente gewahrt wird oder die Funktion von Zugriffsrechten.
Welche Kriterien sind bei der Auswahl entscheidend, wie findet ein Unternehmen den passenden Anbieter?
Viele Start-ups sind mit innovativen Angeboten auf dem Markt. Es lohnt, Rezensionen in Fachzeitungen anzuschauen, um Kriterien zur Bewertung von Anbietern aufzustellen. IT-Sicherheitsbeauftragte müssen jedoch zunächst die Bedürfnisse des Unternehmens berücksichtigen. Ein Krankenhaus etwa hat andere Anforderungen als ein Buchladen. Es gilt zu schauen, welche Daten vorliegen und welche Systeme eingesetzt werden, damit vorhandene Betriebssysteme von der Schulungsmaßnahme auch abgedeckt werden, beispielsweise wenn mobile Geräte eingesetzt werden.
Gegebenenfalls lassen sich auch Erfahrungen anderer Kunden miteinbeziehen, denn ein bestimmter Anbieter ist vielleicht sehr geeignet für Krankenhäuser, aber von den eingesetzten Lernmethoden her nicht der richtige Anbieter für Industriebetriebe.
Wie steht es um die Erfolge solcher Schulungen, sind die messbar?
Die Ergebnisse sind unterschiedlich, sie hängen von der Qualität des Angebots ab, aber in der Regel sind große Erfolge feststellbar. Bei interaktiven Angeboten lässt sich das relativ leicht ermitteln, weil man prüfen kann, ob Mitarbeiter Gelerntes umsetzen können. Es ist wichtig, theoretisches Wissen praktisch umsetzen zu können.
Deshalb bieten einige Unternehmen im Nachgang an, gezielt entschärfte Phishing-Mails zu verschicken, um zu schauen, ob Mitarbeiter darauf hereinfallen. Oder sie prüfen, ob Passwortrichtlinien eingehalten werden, indem sie versuchen, Passwörter zu knacken. Das alles geschieht natürlich in Absprache mit den Unternehmen. Der Datenschutz muss hierbei immer eingehalten werden.
Reicht eine einmalige Schulung oder sollten regelmäßige Wiederholungen erfolgen?
Wiederholungen sind immer besser, beispielsweise zweimal pro Jahr, denn es ist wichtig, dass der Wissensstand regelmäßig erfragt und geprüft wird. Die wichtigsten Security-Prinzipien sind sehr theoretisch. Den Nutzern muss beispielsweise immer wieder gezeigt werden, dass Passwörter, die sie für sicher halten, doch nicht wirklich sicher sind.
Ich halte es für eine dringende Aufgabe, IT-Sicherheit nutzerfreundlicher zu gestalten.
Die Notwendigkeit von Schulungsmaßnahmen zeigt, dass Security sehr komplex ist und es um die Nutzerfreundlichkeit noch nicht gut bestellt ist.
it-sa - Die IT-Security Messe und Kongress
Messezentrum Nürnberg
90471 Nürnberg
