Warum ein technischer Experte vielleicht nicht die beste Wahl ist, um Security Awareness zu vermitteln

Nach offiziellen Schätzungen des Bundesamtes für Verfassungsschutz (BfV)[1] erleidet die deutsche Wirtschaft durch Cyberangriffe jährlich Verluste über rund 50 Milliarden Euro. Es ist bemerkenswert, dass die Cyberkriminellen bei ihrem Angriff auf Mitarbeiter in einem Unternehmen zielen, zum Beispiel mit Phishing-E-Mails oder einem Telefonanruf. Dabei versuchen sie, die Mitarbeiter dazu zu bringen, einen Fehler zu begehen. Dieser Ansatz ist auch 2018 bei Cyberkriminellen beliebt, weil die Erfolgsquote erschreckend hoch ist. Viele E-Mails, die mit böswilliger Absicht erstellt werden, sind jedoch leicht zu erkennen, was auf das tiefgreifende Problem hindeutet, dass die Mitarbeiter unzureichend geschult sind.

Die gute Nachricht ist, dass die Implementierung eines ausgereiften Security Awareness-Programms für die Mitarbeiter diese Risiken leicht senken kann. Dafür müssen die Unternehmen allerdings die richtigen Leute finden, die die richtigen Fähigkeiten mitbringen, ihr Security Awareness-Programm zu leiten. Es ist allerdings nicht notwendig, so erfahrene, technische Experten einzustellen, wie es auf dem ersten Blick scheint.

Mitarbeiter sind sich oft nicht im Klaren darüber, welche Auswirkungen ihr Handeln auf die Cybersicherheit in ihrem Unternehmen haben kann. Die SANS 2017 Threat Landscape Survey zeigt, dass die bekanntesten Bedrohungen sich an Einzelpersonen richteten, und betont, dass die Mitarbeiter deshalb eine Schlüsselrolle dabei spielen, Bedrohungen zu erkennen und ihnen vorzubeugen. Es ist ermutigend zu sehen, dass immer mehr Organisationen erkennen, dass das richtige Sicherheitsbewusstsein zu einer soliden „menschlichen Firewall“ beiträgt und sie in eine Security Awareness-Strategie investieren.

Wenn Fachwissen hinderlich wird

Ein Problem, mit dem sich ein effektives Security Awareness-Programm konfrontiert sieht, besteht darin, dass viele Unternehmen von ihren Sicherheitsbeauftragten verlangen, dass sie einen technischen oder sicherheitstechnischen Hintergrund haben. Allerdings ist ein sicherheits-technischer Hintergrund nicht nur unnötig, sondern kann sogar hinderlich sein. Je größer das technische Wissen der Verantwortlichen ist, desto tiefer sind sie im Thema Informationssicherheit eingearbeitet. Umso umfangreicher ihr Wissen wird, desto wahrscheinlicher ist, dass sie davon ausgehen, dass das Wissen und Können der Anderen ihrem eigenen ähnelt. Das wird in Fachkreisen als Fluch des Wissens bezeichnet und bedeutet letztlich, dass eine Person mit steigender Expertise auf einem Gebiet, zunehmend schlechter für die Kommunikation in diesem Gebiet geeignet ist.

Die meisten Unternehmen haben Sicherheitsteams mit technischen Experten, die die Probleme in- und auswendig kennen. Die Probleme entstehen, wenn von diesen technischen Experten erwartet wird, dass sie den Faktor „menschliches Risiko“ in ihrer Organisation kommunizieren und managen müssen. Das Problem ist dann nicht ein Mangel an technischem Fachwissen, sondern eher ein hoffnungsloser Mangel an Soft Skills.

Drei wesentliche Fertigkeiten für erfolgreiche Trainer

Auf die folgenden drei Fertigkeiten sollte auf der Suche nach jemanden geachtet werden, der für die Kommunikation im Bereich Security Awareness verantwortlich sein soll: Sozialkompetenzen, Teamfähigkeit sowie Kommunikations- und Marketingkompetenzen.

Sozialkompetenz: Einfach ausgedrückt bedeutet das, dass der Verantwortliche Menschen mögen und Spaß daran haben muss, täglich mit ihnen zu arbeiten und mit ihnen zu sprechen: Er muss sich engagieren, Emotionen und Kultur verstehen sowie mit anderen zusammenarbeiten wollen. Die Informationssicherheit ist übersäht mit Karrierepfaden, auf denen man sehr erfolgreich und effektiv sein kann, ohne wirklich gerne mit anderen Menschen zusammenzuarbeiten. Security Awareness ist keine dieser Optionen.

Teamfähigkeit: Der Security Awareness-Verantwortliche arbeitet mit zahlreichen, beteiligten Gruppen zusammen, darunter die Personalabteilung, das Auditing, die Rechtsabteilung, das Marketing und die Kommunikation, die Geschäftsführung, das Projektmanagement, die Buchhaltung, die internen Trainer für Fort- und Weiterbildung und den Service-Teams sowie zahlreiche andere Gruppen. Deshalb ist die Zeit und nicht das Budget für ein erfolgreiches Security Awareness-Programm entscheidend. Trainer werden die meiste Zeit damit verbringen, mit anderen zu interagieren und die Bemühungen anderer zu koordinieren, ohne die Technologien der Cybersicherheit zu verwenden.

Kommunikations- und Marketingkompetenz: Ein wesentlicher Bestandteil des Managements menschlicher Risiken ist die Einbindung der Mitarbeiter. Um sie für das Programm zu begeistern und sie zu echtem Engagement zu bringen, muss man sich in ihrer Sprache verständigen. Wer Security Awareness vermitteln möchte, muss ihnen vermitteln, warum Cybersicherheit wichtig ist, bevor er in einem einfach zu verstehenden Format, dem jeder folgen kann, über das von den Mitarbeitern erwartete Verhalten sprechen kann.

Das BJ Fogg Behavior Model hat wiederholt gezeigt, dass das Verhalten letztendlich von der Motivation und den Fähigkeiten einer Person abhängt. Allerdings ist dafür an keiner Stelle ein technischer Hintergrund notwendig. Die verantwortlichen Personalverantwortlichen sollten deshalb umdenken, wenn sie jemanden suchen, der ein Security Awareness-Programm erfolgreich leiten soll. Statt eines technischen Hintergrunds sollten sie nach Experten mit einem Hintergrund in den Bereichen Kommunikation, Marketing, Weiterbildung, Vertrieb oder Kommunikation suchen. Die Tatsache, dass der Betroffene keinen technischen Hintergrund hat, ist keine Einschränkung, sondern ein riesiger Vorteil: Denn angenommen, dass der Sicherheitsbeauftragte nicht versteht, was das Unternehmen über Cybersicherheit kommunizieren will, wie könnte es dann erwarten, dass es die restlichen Mitarbeiter verstehen?

Autor: Lance Spitzner, Leiter des Security-Awareness-Programms des SANS Institutes