Security Tipps
Foto: CC0 - pixabay.com
Foto: CC0 - pixabay.com

Gamification in der IT-Sicherheit

Security-Awareness spielend fördern

Palo Alto Networks gibt Tipps zur Umsetzung von Sensibilisierungsprogrammen für bessere IT-Sicherheit im Unternehmen.

Die Mitarbeiter sind in vielen Fällen das schwächste Glied bei der Verteidigung gegen Cyberkriminelle, und sie sind daran meist nicht selbst schuld. Bei manchen Entscheidungen genügt der gesunde Menschenverstand, doch es gilt auch sicherzustellen, dass festgelegte Sicherheitspraktiken bei den Mitarbeitern "ankommen". Egal ob durch Unachtsamkeit oder wenn Mitarbeiter - aufgrund ihrer Zugangsberechtigung zu sensiblen Daten - unbewusst zu Zielen werden: Fehler von Mitarbeitern können leicht die Tür für Malware, Spionage oder Datendiebstahl öffnen. Aus diesem Grund gibt Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks, Tipps und Hinweise, wie Unternehmen ihre Mitarbeiter "spielend" schulen und motivieren können, um die IT-Sicherheit deutlich zu erhöhen.

Zeitler erklärt: "Erfolgreiche Angriffe nutzen oft unzureichende Prozesse und die Gutgläubigkeit oder Unachtsamkeit von Menschen aus. Um die Angriffsfläche zu reduzieren, muss sich der inhaltliche Schwerpunkt regelmäßiger Sicherheitsschulungen von Reaktion auf Prävention verlagern. Reine Compliance-getriebene Ansätze haben sich als unwirksam erwiesen, wenn sie für das Training von Mitarbeitern eingesetzt werden, weil sie nicht interessant oder persönlich genug sind. Die Unternehmen sollten sich darauf konzentrieren, die Mitarbeiter darüber zu informieren, wie sie ihre persönlichen Daten schützen können, wodurch die Mitarbeiter dazu ermutigt werden, weitere sicherheitsorientierte Praktiken am Arbeitsplatz umzusetzen."

Die Weiterbildung von Mitarbeitern kann Zeitler zufolge in unterschiedlichen Formen erfolgen, einschließlich der zunehmenden Praxis des "Gamifying"/"Gamification" – oder eingedeutscht "Gamifizierung". Dabei werden Gaming-Bestandteile in einem Nicht-Gaming-Kontext verwendet, was trockene Themen spannender und praxisnäher macht. Viele Unternehmen nutzen diesen Ansatz derzeit bereits in Bereichen wie Kundenengagement sowie Performance- und Motivationstraining. Die Gaming-Elemente umfassen Wettbewerbe, Incentivierungsprogramme und vieles mehr.

Es gibt laut Zeitler zwei grundlegende Möglichkeiten, wie Unternehmer die Gamifizierung zur Bewältigung der Sicherheitsherausforderungen nutzen können:

  1. Das Training spannender und attraktiver machen für die Mitarbeiter: Mit Gamifizierung können Unternehmen dazu beitragen, ihre Cybersicherheit in vielfältiger Weise zu verbessern. Mitarbeiter lernen, wie sie Cyberangriffe verhindern und welche Schwachstellen es in Software gibt. Die Beratungsfirma PwC lehrt Cybersicherheit durch ihr "Game of Threats", das "Spiel der Bedrohungen". Führungskräfte konkurrieren gegeneinander in realen Cybersicherheitssituationen, spielen als Angreifer oder Verteidiger. Die Angreifer wählen die Taktiken, Methoden und Fähigkeiten des Angriffs, während die Verteidiger Verteidigungsstrategien entwickeln und in die richtigen Technologien und Talente investieren, um auf den Angriff zu reagieren. Das Spiel gibt Führungskräften ein Verständnis dafür, wie man sich vorbereitet und auf Bedrohungen reagiert, wie gut vorbereitet das Unternehmen ist und was ihr Cybersicherheitsteam jeden Tag beobachtet. Gamifizierung trägt dazu bei, dass der Trainingsprozess spannender und attraktiver für die Mitarbeiter ist, wodurch das Bewusstsein für Sicherheitspraktiken erhöht wird, einschließlich Tipps, wie man mit Angriffen korrekt umgeht.
  2. Anreize und Belohnungen, um das gewünschte Verhalten zu fördern: Menschliche Fehler sind bei den meisten Sicherheitsverletzungen mitverantwortlich. Die Mitarbeiter setzen sich unter Druck, ihre Arbeit so schnell wie möglich abzuschließen, was dazu führen kann, dass sie Sicherheitsregeln übersehen oder vernachlässigen. Zum Beispiel können so genannte PhishMe-Kampagnen eine gute Möglichkeit sein, Mitarbeiter auf eine bessere E-Mail-Sicherheit hin zu schulen. Dazu gehören eigens entworfene Phishing-E-Mails, die immer wieder unternehmensweit versendet werden, um die Antwort und das Handeln des Personals zu testen.

Unternehmen können Mitarbeiter belohnen, die Sicherheitsverfahren korrekt befolgen und sich an die Sicherheitsrichtlinien halten, was ein vorbildliches Verhalten fördert. Dies kann in der Form erfolgen, dass Mitarbeiter ein Abzeichen oder Punkte erhalten, die dann auf einer Tafel angezeigt werden, damit jeder teilnehmen kann. Wenn Mitarbeiter bestimmte Meilensteine ​​erreichen, können sie belohnt werden, etwa mit einem Geschenkgutschein. Die Anerkennung und Belohnung von Mitarbeitern, wenn sie das Richtige tun, führt zu einem weiterhin positiven Verhalten, motiviert die Mitarbeiter, sichere Praktiken anzuwenden und für eine sichere Arbeitsumgebung zu sorgen.

Im Mittelpunkt jeder Sensibilisierungsmaßnahme steht Bildung, um Mitarbeitern ein gemeinsames Verantwortungsbewusstsein für die Daten, mit denen sie arbeiten, und die Daten, die sie erstellen und verwenden, anzutrainieren. Alle Sensibilisierungskampagnen sollten Teil eines laufenden Prozesses werden und nicht nur eine einmalige Initiative sein. Führungskräfte eines jeden Unternehmens, groß oder klein, gehen oft davon aus, dass hierfür die Ressourcen fehlen, aber es lässt sich auch mit wenig Aufwand viel erreichen:

  • Visuelle Hilfsmittel funktionieren gut. Beginnen Sie mit einigen kleinen Videos, Plakaten und/oder Wettbewerben als Erinnerung, damit alle verstehen, dass alle für die Sicherheit verantwortlich sind.
  • Autoritäre Taktiken funktionieren nicht. Das Ziel sollte sein, eine Kultur des Risikobewusstseins aufzubauen. Dies gelingt ähnlich wie bei einer Marketingkampagne mit der Absicht, Mitarbeiter zu überzeugen und deren Verhalten zu verändern.
  • Kurze und prägnante Anweisungen. Lange E-Mails werden meist ignoriert, besser ist es, sie kurz zu halten, mit etwas Humor. Stellen Sie sicher, dass es ein Top-down-Ansatz ist. Die Mitarbeiter schauen zu ihren Führungskräften auf. Wenn diese keine Sicherheitskultur verkörpern, warum sollten es dann die Mitarbeiter tun? Das Ziel ist es, Mitarbeitern Best Practices anzueignen, sie aber nicht zu zwingen, Cybersicherheitsexperten zu sein.
  • Wiederholte Schulungen und Nacharbeiten sind entscheidend. Training ist eine Konstante: Man lernt nie aus. Neue Mitarbeiter müssen grundlegend getestet werden, ebenso wie bestehende Mitarbeiter, ob sie auf eine Phishing-E-Mail hereinfallen. Überprüfen Sie, wie viele Mitarbeiter immer noch nicht eine gefälschte E-Mail erkennen. Ermutigen Sie Nachfragen und Kommunikation, um eine Fälschung zu melden und benennen Sie Abteilungsgruppen, die hier möglicherweise zurückbleiben. Das Ziel ist nicht, einzelne Menschen bloßzustellen, sondern eine gesunde Rivalität innerhalb des Unternehmens zugunsten von besserer Sicherheit schaffen.

"Die Eindämmung von Cyberrisiken ist in jedem Unternehmen ein andauernder Prozess. Es gilt herauszufinden, wo es noch hakt und je nach Bedarf Nachschulungen durchzuführen. Wenn die Mitarbeiter nachdenken, bevor sie auf etwas Riskantes klicken, dann haben die Sensibilisierungsmaßnahmen Früchte getragen", so Zeitler abschließend.

Mehr Artikel zum Thema: Security Tipps

SAP-Monitoring mit Open Source

Viele IT-Verantwortliche stehen beim Monitoring von SAP...

Weiterlesen

3 Schritte für sichere SaaS-Nutzung

Nicht genehmigte SaaS-Anwendungen bergen Risiken,...

Weiterlesen

Urlaub? Fällt aus!

Fluglinien schützen ihre IT-Infrastruktur oft nur...

Weiterlesen

Überwachungspaket vs. Demokratie

Österreich steht vor einer dramatischen Ausweitung der...

Weiterlesen

Bundestrojaner gefährdet IT-Security

Die geeinte österreichische Internetwirtschaft äußert in...

Weiterlesen

5 Funktionalitäten von Self-Service-Analysen

Erfüllt Ihre BI-Lösung sowohl die IT-Anforderungen als auch...

Weiterlesen

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018...

Weiterlesen

ESET MSP Roadshow

IT-Security Hersteller ESET lädt Anfang Oktober zur...

Weiterlesen

USB gehört gemanagt

Konstantin Fröse vom Storage-Security-Spezialisten...

Weiterlesen

IT-Security Messe und Kongress

Die it-sa zählt zu den weltweit wichtigsten Messen zum Thema...

Weiterlesen

Die Zukunft der IT-Fehlerbehebung

Wie sollte die IT-Fehlerbehebung in der Welt der hybriden IT...

Weiterlesen

Software-Audit – Keine Panik!

Lizenzmanagement ist keine exakte Wissenschaft. Stets muss...

Weiterlesen

10 Schritte zur Digitalisierung

Die Digitalisierungswelle erfasst nahezu jedes Unternehmen....

Weiterlesen

Gehalt verhandeln, aber richtig!

Wie viel ist zu viel? Was ist angemessen? Und warum verdient...

Weiterlesen

NTT Security baut Management um

Kai Grunwitz wird Senior Vice President EMEA, Patrick...

Weiterlesen

So wird online gesucht und gefunden

Es gibt keinen besseren Zeitpunkt, gefunden zu werden, als...

Weiterlesen

IoT-Sicherheit erfordert Security by Design

Das Internet der Dinge bringt auch für den Mittelstand...

Weiterlesen

EMEA-Firmen nutzen Public Cloud

Unternehmen in der EMEA-Region steigern ihre Investition in...

Weiterlesen

Handlungsfelder identifizieren

Workshifting ist extrem facettenreich und mit Chancen und...

Weiterlesen

Führen im digitalen Zeitalter – 12 Thesen

Digitalisierung hin oder her: Auch künftig werden...

Weiterlesen