Security Tipps
Foto: CC0 - pixabay.com
Foto: CC0 - pixabay.com

Gamification in der IT-Sicherheit

Security-Awareness spielend fördern

Palo Alto Networks gibt Tipps zur Umsetzung von Sensibilisierungsprogrammen für bessere IT-Sicherheit im Unternehmen.

Die Mitarbeiter sind in vielen Fällen das schwächste Glied bei der Verteidigung gegen Cyberkriminelle, und sie sind daran meist nicht selbst schuld. Bei manchen Entscheidungen genügt der gesunde Menschenverstand, doch es gilt auch sicherzustellen, dass festgelegte Sicherheitspraktiken bei den Mitarbeitern "ankommen". Egal ob durch Unachtsamkeit oder wenn Mitarbeiter - aufgrund ihrer Zugangsberechtigung zu sensiblen Daten - unbewusst zu Zielen werden: Fehler von Mitarbeitern können leicht die Tür für Malware, Spionage oder Datendiebstahl öffnen. Aus diesem Grund gibt Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks, Tipps und Hinweise, wie Unternehmen ihre Mitarbeiter "spielend" schulen und motivieren können, um die IT-Sicherheit deutlich zu erhöhen.

Zeitler erklärt: "Erfolgreiche Angriffe nutzen oft unzureichende Prozesse und die Gutgläubigkeit oder Unachtsamkeit von Menschen aus. Um die Angriffsfläche zu reduzieren, muss sich der inhaltliche Schwerpunkt regelmäßiger Sicherheitsschulungen von Reaktion auf Prävention verlagern. Reine Compliance-getriebene Ansätze haben sich als unwirksam erwiesen, wenn sie für das Training von Mitarbeitern eingesetzt werden, weil sie nicht interessant oder persönlich genug sind. Die Unternehmen sollten sich darauf konzentrieren, die Mitarbeiter darüber zu informieren, wie sie ihre persönlichen Daten schützen können, wodurch die Mitarbeiter dazu ermutigt werden, weitere sicherheitsorientierte Praktiken am Arbeitsplatz umzusetzen."

Die Weiterbildung von Mitarbeitern kann Zeitler zufolge in unterschiedlichen Formen erfolgen, einschließlich der zunehmenden Praxis des "Gamifying"/"Gamification" – oder eingedeutscht "Gamifizierung". Dabei werden Gaming-Bestandteile in einem Nicht-Gaming-Kontext verwendet, was trockene Themen spannender und praxisnäher macht. Viele Unternehmen nutzen diesen Ansatz derzeit bereits in Bereichen wie Kundenengagement sowie Performance- und Motivationstraining. Die Gaming-Elemente umfassen Wettbewerbe, Incentivierungsprogramme und vieles mehr.

Es gibt laut Zeitler zwei grundlegende Möglichkeiten, wie Unternehmer die Gamifizierung zur Bewältigung der Sicherheitsherausforderungen nutzen können:

  1. Das Training spannender und attraktiver machen für die Mitarbeiter: Mit Gamifizierung können Unternehmen dazu beitragen, ihre Cybersicherheit in vielfältiger Weise zu verbessern. Mitarbeiter lernen, wie sie Cyberangriffe verhindern und welche Schwachstellen es in Software gibt. Die Beratungsfirma PwC lehrt Cybersicherheit durch ihr "Game of Threats", das "Spiel der Bedrohungen". Führungskräfte konkurrieren gegeneinander in realen Cybersicherheitssituationen, spielen als Angreifer oder Verteidiger. Die Angreifer wählen die Taktiken, Methoden und Fähigkeiten des Angriffs, während die Verteidiger Verteidigungsstrategien entwickeln und in die richtigen Technologien und Talente investieren, um auf den Angriff zu reagieren. Das Spiel gibt Führungskräften ein Verständnis dafür, wie man sich vorbereitet und auf Bedrohungen reagiert, wie gut vorbereitet das Unternehmen ist und was ihr Cybersicherheitsteam jeden Tag beobachtet. Gamifizierung trägt dazu bei, dass der Trainingsprozess spannender und attraktiver für die Mitarbeiter ist, wodurch das Bewusstsein für Sicherheitspraktiken erhöht wird, einschließlich Tipps, wie man mit Angriffen korrekt umgeht.
  2. Anreize und Belohnungen, um das gewünschte Verhalten zu fördern: Menschliche Fehler sind bei den meisten Sicherheitsverletzungen mitverantwortlich. Die Mitarbeiter setzen sich unter Druck, ihre Arbeit so schnell wie möglich abzuschließen, was dazu führen kann, dass sie Sicherheitsregeln übersehen oder vernachlässigen. Zum Beispiel können so genannte PhishMe-Kampagnen eine gute Möglichkeit sein, Mitarbeiter auf eine bessere E-Mail-Sicherheit hin zu schulen. Dazu gehören eigens entworfene Phishing-E-Mails, die immer wieder unternehmensweit versendet werden, um die Antwort und das Handeln des Personals zu testen.

Unternehmen können Mitarbeiter belohnen, die Sicherheitsverfahren korrekt befolgen und sich an die Sicherheitsrichtlinien halten, was ein vorbildliches Verhalten fördert. Dies kann in der Form erfolgen, dass Mitarbeiter ein Abzeichen oder Punkte erhalten, die dann auf einer Tafel angezeigt werden, damit jeder teilnehmen kann. Wenn Mitarbeiter bestimmte Meilensteine ​​erreichen, können sie belohnt werden, etwa mit einem Geschenkgutschein. Die Anerkennung und Belohnung von Mitarbeitern, wenn sie das Richtige tun, führt zu einem weiterhin positiven Verhalten, motiviert die Mitarbeiter, sichere Praktiken anzuwenden und für eine sichere Arbeitsumgebung zu sorgen.

Im Mittelpunkt jeder Sensibilisierungsmaßnahme steht Bildung, um Mitarbeitern ein gemeinsames Verantwortungsbewusstsein für die Daten, mit denen sie arbeiten, und die Daten, die sie erstellen und verwenden, anzutrainieren. Alle Sensibilisierungskampagnen sollten Teil eines laufenden Prozesses werden und nicht nur eine einmalige Initiative sein. Führungskräfte eines jeden Unternehmens, groß oder klein, gehen oft davon aus, dass hierfür die Ressourcen fehlen, aber es lässt sich auch mit wenig Aufwand viel erreichen:

  • Visuelle Hilfsmittel funktionieren gut. Beginnen Sie mit einigen kleinen Videos, Plakaten und/oder Wettbewerben als Erinnerung, damit alle verstehen, dass alle für die Sicherheit verantwortlich sind.
  • Autoritäre Taktiken funktionieren nicht. Das Ziel sollte sein, eine Kultur des Risikobewusstseins aufzubauen. Dies gelingt ähnlich wie bei einer Marketingkampagne mit der Absicht, Mitarbeiter zu überzeugen und deren Verhalten zu verändern.
  • Kurze und prägnante Anweisungen. Lange E-Mails werden meist ignoriert, besser ist es, sie kurz zu halten, mit etwas Humor. Stellen Sie sicher, dass es ein Top-down-Ansatz ist. Die Mitarbeiter schauen zu ihren Führungskräften auf. Wenn diese keine Sicherheitskultur verkörpern, warum sollten es dann die Mitarbeiter tun? Das Ziel ist es, Mitarbeitern Best Practices anzueignen, sie aber nicht zu zwingen, Cybersicherheitsexperten zu sein.
  • Wiederholte Schulungen und Nacharbeiten sind entscheidend. Training ist eine Konstante: Man lernt nie aus. Neue Mitarbeiter müssen grundlegend getestet werden, ebenso wie bestehende Mitarbeiter, ob sie auf eine Phishing-E-Mail hereinfallen. Überprüfen Sie, wie viele Mitarbeiter immer noch nicht eine gefälschte E-Mail erkennen. Ermutigen Sie Nachfragen und Kommunikation, um eine Fälschung zu melden und benennen Sie Abteilungsgruppen, die hier möglicherweise zurückbleiben. Das Ziel ist nicht, einzelne Menschen bloßzustellen, sondern eine gesunde Rivalität innerhalb des Unternehmens zugunsten von besserer Sicherheit schaffen.

"Die Eindämmung von Cyberrisiken ist in jedem Unternehmen ein andauernder Prozess. Es gilt herauszufinden, wo es noch hakt und je nach Bedarf Nachschulungen durchzuführen. Wenn die Mitarbeiter nachdenken, bevor sie auf etwas Riskantes klicken, dann haben die Sensibilisierungsmaßnahmen Früchte getragen", so Zeitler abschließend.

Mehr Artikel zum Thema: Security Tipps

"Wir kommen ins Spiel, wenn die Security umgangen wurde"

Mit einem Rekordquartal im Rücken und einem neuen Release...

Weiterlesen

PrivacyWeek 2017 des C3W

Über hundert internationale ExpertInnen diskutieren und...

Weiterlesen

it-sa mit neuen Bestmarken

Die Nürnberger IT-Security-Messe it-sa hat sowohl bei...

Weiterlesen

Digitalisierung der Kommunikation und Zusammenarbeit

Alle 11 Minuten lassen wir uns von E-Mails unterbrechen. Das...

Weiterlesen

Trends und Prognosen zur IT-Sicherheit

Für IT-Sicherheitsmaßnahmen geben Unternehmen heute mehr aus...

Weiterlesen

Bericht über Bankomaten-Hacker

Trend Micro und das European Cybercrime Centre (EC3) bei...

Weiterlesen

Österreichs Firmen zu sorglos

Fast jedes zweite österreichische Unternehmen war in den...

Weiterlesen

"Weniger Kryptografie ist manchmal mehr"

Nicht alle IT-Security-Probleme lassen sich mit Kryptografie...

Weiterlesen

Optimieren Sie Ihr Suchergebnis

Im letzten Teil unseres Crashkurses haben wir uns damit...

Weiterlesen

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

IT-Risikozone Finanzbranche

IT-Verantwortliche schlafen zur Zeit schlecht. Zu Recht! Sie...

Weiterlesen

"7 Todsünden" von Leadern – auch im digitalen Zeitalter

Welche Eigenschaften und Verhaltensweisen zeichnen eine gute...

Weiterlesen

Unternehmensweite Vertrauenskultur

Vertrauen entsteht nicht auf Zuruf und kann nicht...

Weiterlesen

10 DSGVO-Tipps für Österreichs Unternehmer

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung...

Weiterlesen

Von Wanzen und Phishen

E-Mail-Spionage und Identitätsklau zahlen sich für...

Weiterlesen

7 Wege aus der Komplexitätsfalle

Field Service Management-Projekte geraten manchmal ob ihrer...

Weiterlesen

SAP-Monitoring mit Open Source

Viele IT-Verantwortliche stehen beim Monitoring von SAP...

Weiterlesen

3 Schritte für sichere SaaS-Nutzung

Nicht genehmigte SaaS-Anwendungen bergen Risiken,...

Weiterlesen

Urlaub? Fällt aus!

Fluglinien schützen ihre IT-Infrastruktur oft nur...

Weiterlesen

Überwachungspaket vs. Demokratie

Österreich steht vor einer dramatischen Ausweitung der...

Weiterlesen