Ist der Mensch das schwächste Glied in der Cybersicherheit?

Mitarbeiter sind die erste Verteidigungslinie im täglichen Kampf gegen Cyber Attacken. Eine clevere, durchdachte Awareness Kampagne hilft, sie ihrer Verantwortung bewusst zu machen; so profitiert nicht nur die Unternehmung, sondern schlussendlich auch jeder Mitarbeiter im privaten Umfeld. Ein Erfahrungsbericht der Bank Julius Bär & Co. AG

Artikel erschienen in Swiss IT Magazine 2023/09

     

Haben wir nicht schon alle mehrfach die Schlagzeilen über Phishing-Angriffe, Malware-Infektionen, von Mitarbeitern verursachten Sicherheitsverletzungen und anderen Cyber-Angriffen gelesen? Genau zu diesem Zeitpunkt denken gewisse Unternehmen erneut über die Sensibilisierung (zu neudeutsch auch unter Awareness bekannt) ihrer Mitarbeiter nach und versuchen schnell das Wissen im Bereich von Cyber- und der Informationssicherheit aufzufrischen – also Wissen, das zu angemessenem Sicherheitsverhalten der Mitarbeiter führen soll. Das Wissen allein ist jedoch nicht ausreichend. Nur weil jemand weiss, dass er sein Passwort nicht aufschreiben sollte, heisst noch lange nicht, dass er es auch nicht tut. Das Thema sollte im Bewusstsein der Mitarbeiter so verankert sein, damit sie sich entsprechend diesem Wissen situationsgetreu verhalten und dieses auch entsprechend nachvollziehen können.

Die Mitarbeitenden von Julius Bär spielen eine äusserst wichtige Rolle bei der Umsetzung der Informationssicherheit. Obwohl in den letzten Jahren viele Ressourcen in Soft- und Hardware investiert wurden, sind es schlussendlich die Mitarbeiter, die den Unterschied ausmachen. Aus diesem Grund verfolgt Julius Bär das Ziel einer Sicherheitskultur, die darauf abzielt, Informationssicherheit als eine der Grundüberzeugungen unserer Mitarbeitenden zu etablieren.


Hier bedarf es jedoch eines kulturellen Wandels – weg vom belehrenden, immer nein sagenden und mit dem Zeigfinger mahnenden Sicherheitsbeauftragten zum Fachexperten und Ansprechpartner, welcher mit Rat und Tat die Mitarbeiter wiederkehrend schult und sie bei Unklarheiten im täglichen Geschäftsablauf unterstützt.

Aus Sicht des Autors ist Empathie wohl eine der wichtigsten Schlüsselkomponenten für die Umsetzung dieser Strategie. Sicherheitsbeauftragte müssen die Bereitschaft und Fähigkeit entwickeln, sich in die Mitarbeiter hinein versetzten zu können – sie müssen deren Emotionen, Gedanken und Motive verstehen.

Ebenfalls ein wichtiger Aspekt ist die Thematik rund um Heuristiken. Heuristiken sind Methoden, die unser Denken erleichtern. Es sind Strategien, die dem Gehirn ermöglichen, die Flut an Informationen zu verarbeiten. Sprich als mentale Shortcuts erleichtern sie dem Gehirn die Arbeit, insbesondere dann, wenn schnell wichtige Entscheidungen getroffen werden müssen. Genau dieses Prinzip wird von Angreifern ausgenutzt – wir klicken auf einen Link, geben Informationen preis oder schleusen Malware ein.

Security starts with you!

Der Slogan «Security starts with you!» begleitet den Autor seit 6 Jahren. Der Name einer Kampagne, welche das Bewusstsein der Mitarbeiter für sicherheitsrelevante Risiken schärft und das Verantwortungsbewusstsein aller für das Thema stärkt.

Die Kampagne wurde ursprünglich in Zusammenarbeit mit Group Communication und dem Marketing-Team entwickelt und wird seither von Information Security ergänzt und unterhalten.

Die Welt der unbegrenzten Kommunikationsmittel

Das Thema Cyber allgegenwärtig zu machen ist vielleicht übertrieben, aber nichtsdestotrotz soll das Thema bei den Mitarbeitern präsent sein und hierzu können diverse Kanäle benutzt werden, um das Thema zu bewirtschaften.

Der Startschuss der Kampagne wurde mit einem Kurzfilm eröffnet. Akteure waren auf der einen Seite unsere Mitarbeiter; auf der andern Seite Mitglieder der Geschäftsleitung – ein Aspekt, welcher die Wichtigkeit des Themas widerspiegelt. Weiter wurden Animationsfilme, sogenannte Simple Show Movies für Themen wie Data Leakage Prevention und Social Engineering produziert.


Posters
Poster Kampagnen sind ein wirksames Mittel, um Inhalte «im Vorbeigehen» zu vermitteln. Am Anfang noch belächelt, wurden die Poster zu einer Erfolgsstory. Mit kreativen und einzigartigen Ideen konnten wir, in Abstimmung mit unseren anderen Kanälen, Inhalte thematisieren. Der Erfolg gab uns recht - plötzlich wollten verschiedenste Teams innerhalb des Unternehmens ihr Thema ebenfalls mit Postern bekannt machen und der Kampf um einen Zeitslot war lanciert.

Security Blog
Niemand wartet auf einen neuen Blog. Das klingt nun wohl ziemlich hart, ist aber eine Tatsache. Was allerdings nicht heisst, dass es nichts (mehr) bringt, einen neuen Awareness Blog zu starten. Man muss nur für genügend Aufmerksamkeit sorgen! Auch wir haben den Versuch gestartet und möchten dieses Kommunikationsmittel nicht mehr missen. Mittels regelmässigen Blogs können wir unseren Blickwinkel zu aktuellen Themen im Bereich der Cyber Security publizieren und unsere Belegschaft informieren. Ein gewisses Durchhaltevermögen ist jedoch nötig und auch auf ein aktives Bewerben des Blogs darf nicht verzichtet werden. Die Zahlen, wie auch Feedback unserer Leser, bekräftigen uns aber nach wie vor, an diesem Kanal festzuhalten.

Events und Gadgets
Neben den erwähnten Kommunikationsmitteln ist der direkte Austausch mit den Mitarbeitenden wohl einer der wichtigsten Faktoren, das Thema (omni)präsent(er) zu machen.

Als Beispiel seien Kantinen-Events erwähnt, wo unseren Mitarbeitenden Themen wie der Umgang mit Kreditkarten im Zusammenhang mit NFC vorgestellt werden oder das Aufzeigen, warum es keine gute Idee ist, das Smartphone an einer öffentlichen «Charging Station» via USB aufzuladen – perfekte Themen für solche Veranstaltungen.

Events erlauben, Anwendungsfälle innerhalb einer Minute zu erklären und zusätzlich können Give-Aways /Gadgets überreicht werden, welche mit unserem Slogan gebrandet sind.

Als Beispiel kann der USB «Secure Charger» erwähnt werden, welcher als Zwischenstück verwendet wird. Die Leiterplatten für den ­Datenaustauch sind hier nicht vorhanden bzw. durchtrennt und somit kann nichts passieren, ausser eben eine sichere Stromzufuhr. Auch allenfalls mit Malware verseuchte USB Devices, ob die E-Zigarette oder der Mini-Ventilator, können so keinen Schaden anrichten.

Solche persönlichen Gespräche und der Austausch helfen einerseits, das Sicherheitsbewusstsein zu stärken, erlauben aber andererseits auch zu verstehen, wo die Sorgen der Mitarbeiter liegen und welche Themen noch verunsichern und vertieft werden müssen.

Wenn die Verantwortlichen in der Küche zudem noch überzeugt werden können, als Menü allenfalls einen «Hacker Braten» oder einen «Spam Burger» zuzubereiten, ist das Thema rundum abgedeckt und auf das Werben des Events kann verzichtet werden – er wird zum Selbstläufer.

Brown Bag Sessions
Neben den bekannten Web Based Trainings, welche gewisse Unternehmen aufgrund der Regulation im jährlichen Turnus durchführen müssen, zählen Awareness-Sitzungen vor Ort (Brown Bag Sessions) an den Standorten zu einem wichtigen Mittel (analog der Events) mit den Mitarbeitern im direkten Austausch das Thema zu diskutieren. Informationssicherheit ist ein faszinierendes Thema und diese Sessions werden entsprechend gestaltet, um die Mitarbeiter zu fesseln und einen Mehrwert für das tägliche Geschäftsleben wie auch für das private Umfeld zu schaffen.

In unseren Vor-Ort-Sitzungen wird die «Geschichte der Informationssicherheit» erzählt. Eine Geschichte, welche von unserem digitalen Fussabdruck (OSINT) handelt. Wenn Sie über Facebook, Instagram, Google und Weiteren sprechen, müssen Sie diese Social Media Tools auch verwenden und aus dem Effeff kennen, sonst fällt es schwer darüber zu referieren. Der Autor präsentiert seinen digitalen Fussabdruck – das persönliches Google-Profil birgt «interessante» Informationen und dient immer noch als «Eye Opener». Dass die Benutzung von LinkedIn in Ordnung ist, darf auch nicht fehlen, jedoch mit dem Hinweis, dass die Einstellungen angepasst werden müssen; dass eben Geburtstagsinformationen bereits zu viele Informationen sind. Ein guter Übergang, um das Need-to-Know / Need-to-have-Prinzip zu erwähnen. Im zweiten Schritt wird auf das Thema Social Engineering eingegangen – dass wir in diesem Thema eine Hauptrolle spielen – hoffentlich die des aufmerksamen Mitarbeiters, der die Manipulationen der Angreifer frühzeitig erkennt und entsprechend reagiert!

Transparenz
Transparenz hilft den Service stetig zu verbessern und den Mehrwert der Kampagne aufzuzeigen. Von Beginn an sollten die Aktivitäten gemessen und auch bewertet werden. Das Feedback der Mitarbeiter hilft, den Puls der Aktivitäten zu messen und unterstützt Diskussionen mit dem Management.

Das Wichtigste zum Schluss

Auch wenn es immer mal wieder heisst, dass der Mitarbeiter das schwächste Glied in der Cyber Abwehr darstellen, ist aus Sicht des Autors genau das Gegenteil der Fall – Mitarbeiter sind ein äus­serst wichtiges Element in der Abwehr gegen Cyber Bedrohungen. Falls dies in Ihrer Unternehmung noch nicht der Fall sein sollte, wird eine gezielte Aware­ness Kampagne helfen, diesen Umstand zu ändern.

Der Autor

Mischa Kemmer, Bank Julius Bär AG; CISM


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER