Security Tipps
Foto: CC0 - pixabay.com
Foto: CC0 - pixabay.com

Gamification in der IT-Sicherheit

Security-Awareness spielend fördern

Palo Alto Networks gibt Tipps zur Umsetzung von Sensibilisierungsprogrammen für bessere IT-Sicherheit im Unternehmen.

Die Mitarbeiter sind in vielen Fällen das schwächste Glied bei der Verteidigung gegen Cyberkriminelle, und sie sind daran meist nicht selbst schuld. Bei manchen Entscheidungen genügt der gesunde Menschenverstand, doch es gilt auch sicherzustellen, dass festgelegte Sicherheitspraktiken bei den Mitarbeitern "ankommen". Egal ob durch Unachtsamkeit oder wenn Mitarbeiter - aufgrund ihrer Zugangsberechtigung zu sensiblen Daten - unbewusst zu Zielen werden: Fehler von Mitarbeitern können leicht die Tür für Malware, Spionage oder Datendiebstahl öffnen. Aus diesem Grund gibt Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks, Tipps und Hinweise, wie Unternehmen ihre Mitarbeiter "spielend" schulen und motivieren können, um die IT-Sicherheit deutlich zu erhöhen.

Zeitler erklärt: "Erfolgreiche Angriffe nutzen oft unzureichende Prozesse und die Gutgläubigkeit oder Unachtsamkeit von Menschen aus. Um die Angriffsfläche zu reduzieren, muss sich der inhaltliche Schwerpunkt regelmäßiger Sicherheitsschulungen von Reaktion auf Prävention verlagern. Reine Compliance-getriebene Ansätze haben sich als unwirksam erwiesen, wenn sie für das Training von Mitarbeitern eingesetzt werden, weil sie nicht interessant oder persönlich genug sind. Die Unternehmen sollten sich darauf konzentrieren, die Mitarbeiter darüber zu informieren, wie sie ihre persönlichen Daten schützen können, wodurch die Mitarbeiter dazu ermutigt werden, weitere sicherheitsorientierte Praktiken am Arbeitsplatz umzusetzen."

Die Weiterbildung von Mitarbeitern kann Zeitler zufolge in unterschiedlichen Formen erfolgen, einschließlich der zunehmenden Praxis des "Gamifying"/"Gamification" – oder eingedeutscht "Gamifizierung". Dabei werden Gaming-Bestandteile in einem Nicht-Gaming-Kontext verwendet, was trockene Themen spannender und praxisnäher macht. Viele Unternehmen nutzen diesen Ansatz derzeit bereits in Bereichen wie Kundenengagement sowie Performance- und Motivationstraining. Die Gaming-Elemente umfassen Wettbewerbe, Incentivierungsprogramme und vieles mehr.

Es gibt laut Zeitler zwei grundlegende Möglichkeiten, wie Unternehmer die Gamifizierung zur Bewältigung der Sicherheitsherausforderungen nutzen können:

  1. Das Training spannender und attraktiver machen für die Mitarbeiter: Mit Gamifizierung können Unternehmen dazu beitragen, ihre Cybersicherheit in vielfältiger Weise zu verbessern. Mitarbeiter lernen, wie sie Cyberangriffe verhindern und welche Schwachstellen es in Software gibt. Die Beratungsfirma PwC lehrt Cybersicherheit durch ihr "Game of Threats", das "Spiel der Bedrohungen". Führungskräfte konkurrieren gegeneinander in realen Cybersicherheitssituationen, spielen als Angreifer oder Verteidiger. Die Angreifer wählen die Taktiken, Methoden und Fähigkeiten des Angriffs, während die Verteidiger Verteidigungsstrategien entwickeln und in die richtigen Technologien und Talente investieren, um auf den Angriff zu reagieren. Das Spiel gibt Führungskräften ein Verständnis dafür, wie man sich vorbereitet und auf Bedrohungen reagiert, wie gut vorbereitet das Unternehmen ist und was ihr Cybersicherheitsteam jeden Tag beobachtet. Gamifizierung trägt dazu bei, dass der Trainingsprozess spannender und attraktiver für die Mitarbeiter ist, wodurch das Bewusstsein für Sicherheitspraktiken erhöht wird, einschließlich Tipps, wie man mit Angriffen korrekt umgeht.
  2. Anreize und Belohnungen, um das gewünschte Verhalten zu fördern: Menschliche Fehler sind bei den meisten Sicherheitsverletzungen mitverantwortlich. Die Mitarbeiter setzen sich unter Druck, ihre Arbeit so schnell wie möglich abzuschließen, was dazu führen kann, dass sie Sicherheitsregeln übersehen oder vernachlässigen. Zum Beispiel können so genannte PhishMe-Kampagnen eine gute Möglichkeit sein, Mitarbeiter auf eine bessere E-Mail-Sicherheit hin zu schulen. Dazu gehören eigens entworfene Phishing-E-Mails, die immer wieder unternehmensweit versendet werden, um die Antwort und das Handeln des Personals zu testen.

Unternehmen können Mitarbeiter belohnen, die Sicherheitsverfahren korrekt befolgen und sich an die Sicherheitsrichtlinien halten, was ein vorbildliches Verhalten fördert. Dies kann in der Form erfolgen, dass Mitarbeiter ein Abzeichen oder Punkte erhalten, die dann auf einer Tafel angezeigt werden, damit jeder teilnehmen kann. Wenn Mitarbeiter bestimmte Meilensteine ​​erreichen, können sie belohnt werden, etwa mit einem Geschenkgutschein. Die Anerkennung und Belohnung von Mitarbeitern, wenn sie das Richtige tun, führt zu einem weiterhin positiven Verhalten, motiviert die Mitarbeiter, sichere Praktiken anzuwenden und für eine sichere Arbeitsumgebung zu sorgen.

Im Mittelpunkt jeder Sensibilisierungsmaßnahme steht Bildung, um Mitarbeitern ein gemeinsames Verantwortungsbewusstsein für die Daten, mit denen sie arbeiten, und die Daten, die sie erstellen und verwenden, anzutrainieren. Alle Sensibilisierungskampagnen sollten Teil eines laufenden Prozesses werden und nicht nur eine einmalige Initiative sein. Führungskräfte eines jeden Unternehmens, groß oder klein, gehen oft davon aus, dass hierfür die Ressourcen fehlen, aber es lässt sich auch mit wenig Aufwand viel erreichen:

  • Visuelle Hilfsmittel funktionieren gut. Beginnen Sie mit einigen kleinen Videos, Plakaten und/oder Wettbewerben als Erinnerung, damit alle verstehen, dass alle für die Sicherheit verantwortlich sind.
  • Autoritäre Taktiken funktionieren nicht. Das Ziel sollte sein, eine Kultur des Risikobewusstseins aufzubauen. Dies gelingt ähnlich wie bei einer Marketingkampagne mit der Absicht, Mitarbeiter zu überzeugen und deren Verhalten zu verändern.
  • Kurze und prägnante Anweisungen. Lange E-Mails werden meist ignoriert, besser ist es, sie kurz zu halten, mit etwas Humor. Stellen Sie sicher, dass es ein Top-down-Ansatz ist. Die Mitarbeiter schauen zu ihren Führungskräften auf. Wenn diese keine Sicherheitskultur verkörpern, warum sollten es dann die Mitarbeiter tun? Das Ziel ist es, Mitarbeitern Best Practices anzueignen, sie aber nicht zu zwingen, Cybersicherheitsexperten zu sein.
  • Wiederholte Schulungen und Nacharbeiten sind entscheidend. Training ist eine Konstante: Man lernt nie aus. Neue Mitarbeiter müssen grundlegend getestet werden, ebenso wie bestehende Mitarbeiter, ob sie auf eine Phishing-E-Mail hereinfallen. Überprüfen Sie, wie viele Mitarbeiter immer noch nicht eine gefälschte E-Mail erkennen. Ermutigen Sie Nachfragen und Kommunikation, um eine Fälschung zu melden und benennen Sie Abteilungsgruppen, die hier möglicherweise zurückbleiben. Das Ziel ist nicht, einzelne Menschen bloßzustellen, sondern eine gesunde Rivalität innerhalb des Unternehmens zugunsten von besserer Sicherheit schaffen.

"Die Eindämmung von Cyberrisiken ist in jedem Unternehmen ein andauernder Prozess. Es gilt herauszufinden, wo es noch hakt und je nach Bedarf Nachschulungen durchzuführen. Wenn die Mitarbeiter nachdenken, bevor sie auf etwas Riskantes klicken, dann haben die Sensibilisierungsmaßnahmen Früchte getragen", so Zeitler abschließend.

Mehr Artikel zum Thema: Security Tipps

SEO Sommerfrische Woche 3 – Content optimieren

Nach dem letzten Teil der SEO-Sommerfrische haben Sie sicher...

Weiterlesen

"Die große Chance" für Security-Startups

Vom 9. bis 11. Oktober 2018 dreht sich in Nürnberg auf der...

Weiterlesen

Cyberforensiker wird EY-Partner

Benjamin Weißmann wurde in die Partnerschaft von EY...

Weiterlesen

SEO Sommerfrische Woche 2 – Care for your Keywords

Mit der "SEO Sommerfrische" bringen wir heuer praktische...

Weiterlesen

Die Wärme muss weg

Moderne datenzentrierte Geschäftsmodelle führen dazu, dass...

Weiterlesen

SEO Sommerfrische Woche 1 – Snippet optimieren

Mit der "SEO Sommerfrische" bringen wir heuer praktische...

Weiterlesen

Entscheidung für Windows 10: The Day After

Viele Unternehmen zögern noch, von Windows 7 oder 8/8.1 auf...

Weiterlesen

WP: Schnell und sicher durch Automatisierung

Routineaufgaben kosten viel Zeit und machen keinen Spaß:...

Weiterlesen

Der Wettlauf um mehr Sicherheit

Cyber-Sicherheit ist mitunter wie das Rennen zwischen Hase...

Weiterlesen

Cryptojacking am Vormarsch

Was bedeuten diese neueren Angriffsformen, die Unternehmen...

Weiterlesen

Lautloser Angriff: Alexa, Siri & Co. austricksen

Sehr zur Freude ihrer millionenfachen Besitzer erledigen...

Weiterlesen

Wie sicher sind Bitcoin & Co.?

NTT Security, die IT-Sicherheits-Experten der NTT Group,...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Bitcoin: Von Lösegeld und Schatztruhen

Sich als Unternehmen einen Notgroschen in Form von...

Weiterlesen

Steigende Budgets für Digitalisierung und Security

Viele Unternehmen nützen neue Technologien, um innovative...

Weiterlesen

Zeitenwende bei der Zutrittskontrolle

Industrie 4.0 ist mit beeindruckender Geschwindigkeit in...

Weiterlesen

Größte Security-Gefahren im Connected Car

Media-Schnittstellen, Car2X-Komunikation, Bus-Systeme: Autos...

Weiterlesen

Datensilos werden zum Problem

Ein schneller Zugriff auf konsistente Datenbestände ist für...

Weiterlesen

Schwache Passwörter als großes Sicherheitsrisiko

Exotische und komplexe Angriffsszenarien kommen vor und man...

Weiterlesen

Mehr Angriffe auf Finanzsektor

NTT Security, das auf Sicherheit spezialisierte Unternehmen...

Weiterlesen