Interview mit Lance Spitzner, SANS Institute
Verteiltes Arbeiten braucht Sicherheitsschulungen
Lockdown-Zeiten sind hart für alle Beteiligten, für Sicherheitsverantwortliche aber erst recht. Denn schickt ein Unternehmen möglichst alle Beschäftigten ins Home-Office, dann sind darunter zwangsläufig auch jene, die es mit der IT-Sicherheit nicht so ernst nehmen oder deren Bedeutung einfach nicht überreißen. Nun rächt sich, dass manch ein Unternehmen der Förderung des Sicherheitsbewusstseins lange Zeit zu wenig Budget, Personal und Liebe angedeihen ließ – warnt zumindest das SANS Institute (die eben solche Security-Awareness-Trainings anbieten) in einem neuen Bericht.
Laut dem „Security Awareness Report“ 2021 des SANS Institutes gehen als drei von vier Awareness-Verantwortliche ihrer Aufgabe nur als Nebentätigkeit nach. Dabei haben die Autoren des Reports ausgerechnet: Hinter Awareness-Programmen, die eine Verhaltensänderung bewirken, stand im Schnitt ein Team mit 2,5 Vollzeitstellen. Bei Programmen, die es sogar schafften, die Unternehmenskultur in Richtung höherer Sicherheit zu schubsen, lag der Schnitt bei mindestens drei Mitarbeitern. Die Awareness-Trainer fordern deshalb: Die Förderung des Sicherheitsbewusstseins muss stärker in den Fokus rücken. LANline sprach darüber mit Lance Spitzner, Security Awareness Director beim SANS Institute und Mitautor des Reports.
LANline: Herr Spitzner, welche Auswirkungen hatte die COVID-Pandemie auf den Bereich Security Awareness?
Lance Spitzner: Die Pandemie hat Security-Awareness-Programme in zweierlei Hinsicht beeinflusst: Erstens erkennen wir ihre Bedeutung jetzt noch stärker, da Unternehmen darauf angewiesen sind, dass die Mitarbeiter im Home-Office sicheres Verhalten an den Tag legen; zweitens haben wir gesehen, dass es wichtig ist, die Security-Message sehr einfach und fokussiert zu halten. Denn das Risiko, die Mitarbeiter zu überfordern, ist groß.
LANline: Worauf muss ein Unternehmen beim Thema Security Awareness im „Work from Home“-Kontext besonders achten?
Lance Spitzner: Sicherheit ist oft von Emotionen getrieben, wir müssen uns aber vielmehr die Daten ansehen. Die größten Risiken sind: Phishing, schwache Passwörter und mangelndes Patching. Wenn man diese drei Punkte abdeckt, kann man 80 bis 90 Prozent der Risiken bei der Arbeit von zu Hause aus entschärfen. Außerdem dürfen wir nicht vergessen, dass Phishing ein emotionaler Angriff ist: Stress macht es den Angreifern leichter.
LANline: Das gilt allerdings immer, egal ob im Büro oder zu Hause. Welche Risiken, die für mobiles Arbeiten von zu Hause aus typisch sind, muss man besonders im Auge behalten?
Lance Spitzner: Die Arbeit von zu Hause aus bringt zwei zusätzliche Risiken mit sich, die man angehen muss: Kinder, die Arbeitsgeräte verwenden, und Endanwender, die ihre privaten Geräte für die Arbeit nutzen.
LANline: Was raten Sie Awareness-Verantwortlichen bezüglich Schulungsprogrammen und Trainings, die sich an geografisch verteilte Arbeitskräfte richten?
Lance Spitzner: Erstens: Halten Sie es einfach! Zweitens: Ändern Sie den Fokus von „Tun Sie das, um das Unternehmen zu schützen!“ zu „Tun Sie das, um Ihr Privatleben und Ihre Familie zu schützen!“. Beschäftigte sind viel eher bereit, sich zu engagieren, wenn es um ihr Privatleben geht, sodass sie hier auch eher bereit sind, ihr Verhalten zu ändern. Zudem gilt: Bei der Arbeit von zu Hause aus müssen die Beschäftigten zu Hause sicher sein, um sicher arbeiten zu können.
LANline: Die IT-Branche ist sich weitgehend einig: Die Zukunft der Arbeit wird von mehr verteiltem Arbeiten geprägt sein. Was raten Sie IT-Security-Teams vor diesem Hintergrund?
Lance Spitzner: Investieren Sie in Awareness! Eine frustrierende Erkenntnis aus dem aktuellen Report ist, dass Awareness meist eine Teilzeitbeschäftigung ist: Nur zehn bis 15 Prozent der Verantwortlichen für Security Awareness sind engagierte Vollzeit-Profis, rund 80 Prozent machen das nur nebenbei. Das bedeutet, dass die meisten Unternehmen Security Awareness als eine Compliance-Initiative behandeln – ein Kästchen, das man einmal im Jahr ankreuzen muss. Aber Unternehmen müssen das menschliche Risiko managen, und dafür müssen sie Ressourcen bereitstellen. Um Security-Awareness-Programme zum Erfolg zu führen, braucht es ein Vollzeit-Team von Security-Awareness-Fachleuten.
- Verteiltes Arbeiten braucht Sicherheitsschulungen
- KI und ML sind kein Allheilmittel
Lesen Sie mehr zum Thema
