2023 / Awareness / Research / Weiterbildung

Security Awareness Curve: Ein neuer Ansatz?

Schlecht umgesetzte Security Awareness Trainings und Seminare haben alle einen großen Schwachpunkt, denn sie führen häufig zu keinerlei Veränderungen im Verhalten Ihrer Mitarbeiter. Das hängt damit zusammen, dass die Schwachstellen und Sicherheitsrisiken zwar vermittelt, aber nicht verinnerlicht werden. Die teure Schulung hat dann zwar aufgeklärt, im Grunde nichts bewirkt. Die Security Awareness Curve ist hier ein neuartiger Ansatz.

Wenn Sie in Ihrem Unternehmen kein Geld verbrennen möchten und zudem ernsthafte Sorgen um die Informationssicherheit bestehen, sollten Sie sich das Konzept der Security Awareness Curve einmal genauer ansehen. Wir selbst sind große Unterstützer der Security Awareness Curve und Prof. Dr. Sasse, die Autorin des Papers, arbeitet auch gemeinsam mit uns im DigiFit Projekt des BMBF.

Welche Probleme gibt es mit dem aktuellen Sicherheitsbewusstsein?

Die Security Awareness Curve setzt dort an, wo klassische Security Awareness Trainings in aller Regel scheitern. Denn das, was Prof. Dr. Sasse in ihrem Paper ausführt, meint in erster Linie, dass sehr viel Potenzial verschenkt wird. Statt sinnvolle Maßnahmen einzuleiten, werden Mitarbeiter durch Weiterbildungen, Trainings und Seminare geschleust, ohne dabei brauchbares Wissen zu erlernen oder gar Erkenntnisse mitzunehmen. Die größte Kritik an dem System lautet daher, dass nicht genug getan wird, um das geschaffene Sicherheitsbewusstsein dauerhaft zu festigen. Es ist ein wenig so, als würden wir alle sehr viel Theorie lernen, daraus aber keine Schlüsse für die Praxis ziehen oder brauchbare Strategien entwickeln.

Hier setzt wiederum die Security Awareness Curve an, die einen anderen Weg zu gehen versucht. Nämlich den Weg des Verstehens und des Handelns. Statt einfach zur auf etwas aufmerksam zu machen, versucht die Security Awareness Curve neben dem Bewusstsein auch Verständnis und Handlungsfähigkeit zu vermitteln. Doch schauen wir uns die Kurve noch einmal gemeinsam an, um das Konzept dahinter ein wenig besser verstehen zu können.

Was ist die Security Awareness Curve?

Die Security Awareness Curve, oder auch die Lernkurve der Sicherheit, besteht aus verschiedenen Stufen. Diese Stufen müssen die Menschen vollständig durchlaufen, um sich das erwünschte sichere Verhalten anzueignen. Dabei geht es in der Security Awareness Curve aber speziell darum, eben nicht nur aufmerksam zu machen, sondern auch das Wissen zu vermitteln, um wirklich sicher reagieren zu können.

Die Kurve setzt dabei vorwiegend auf Maßnahmen, die durch gängige Trainings eben nicht oder nicht vollständig abgedeckt sind. Auch das ist laut dem Paper nämlich ein großes Problem. Es werden Maßnahmen durchgeführt, die schlichtweg nicht ganzheitlich funktionieren. Auf das Folgende hingegen setzt die Security Awareness Curve.

  • Informieren: Mitarbeiter:innen müssen verstehen, dass ein Risiko vorhanden ist und wie sie darauf reagieren sollten, um direkte Angriffe vermeiden zu können. Darüber zu informieren, stellt den ersten Punkt in der Lernkurve dar.
  • Sensibilisieren: Bei Security Awareness geht es immer auch um die Sensibilisierung für derartige Angriffe. Viele Mitarbeiter:innen fühlen sich sicher, obwohl sie es nicht sind. Eine Sensibilisierung dafür, dass es jeden treffen kann, hilft dabei Sicherheitsrisiken zu vermeiden.
  • Verstehen: Hier geht es nicht um reine Informationen, sondern darum, dass Mitarbeiter:innen verstehen lernen, wie derartige Angriffe genau ablaufen. Auch Hintergrundwissen kann bei dem Verständnis von Attacken hilfreich sein.
  • Zustimmung: Nun hören die meisten Security Awareness Trainings auf. Sie gehen davon aus, dass Mitarbeiter:innen sich mit dem erlernten Wissen darüber im Klaren sind, was passieren kann und derartigen Risiken somit automatisch aus dem Weg gehen. Das ist aber nicht so, da ein Handeln auch aktiv stattfinden muss.
  • Implementierung: Nun wird das aktive Handeln in das jeweilige Unternehmen integriert und mit den dortigen Bedingungen verknüpft.
  • Akzeptanz: Mitarbeiter:innen müssen bereit dazu sein, ihr Verhalten zu ändern oder Umwege in Kauf zu nehmen, weil sie verstanden haben, dass die Sicherheit nur so verbessert werden kann. Sie haben das Wissen erlangt und sind sich darüber im Klaren, welche Konsequenzen ihr Handeln nach sich ziehen könnte.
  • Selbstbeherrschung: Hier wird das sichere Verhalten zur Routine gemacht. Erlernte Verhaltensweisen werden abgelegt, wenn diese die Sicherheit des Unternehmens gefährden. Selbständig verstehen Angestellte, wie sie sich zu verhalten haben und worauf es ankommt. Sie besitzen eine Selbstbeherrschung, die unsicheres Verhalten verhindert.

Wobei soll die Security Awareness Curve helfen?

Die Security Awareness Curve verdeutlicht in erster Linie, dass klassische und oft zu kurz gefasste Schulungen, Trainings und Seminare nicht viel bringen. Sie verbessern nicht die Informationssicherheit und sie erzeugen auch nur bedingt ein Bewusstsein für die Sicherheit im Unternehmen selbst. Das liegt ganz einfach an dem Umstand, dass Mitarbeitende hindurchgeschleust werden, ohne Grundsätze oder Notwendigkeiten zu verstehen. Das alles bringt also nur bedingte Erfolge mit sich.

Mit der Security Awareness Curve wird nahegelegt, dass eine einfache Erklärung eben nicht ausreicht. Dass es mehr benötigt, um innerhalb von Unternehmen dafür zu sorgen, die IT-Sicherheit zu erhöhen. Mitarbeitende müssen gezielt angesprochen, weitergebildet und systematisch aufgeklärt werden müssen, damit genau das funktioniert. Security Awareness kann auch keine pauschale Maßnahme sein, denn ein Bewusstsein entsteht nur dort, wo verstanden wird, worauf es ankommt.

Security Awareness sollte also angepasst werden. An das jeweilige Unternehmen, die Branche, die Mitarbeiter:innen, deren Verhaltensweisen und Verhaltensmuster, eben an alles, was sich ergibt und möglich ist. Die Security Awareness Curve verdeutlicht noch einmal, dass schlichtweg mehr notwendig ist, als ein kurzer Lehrgang oder eine umfangreiche Show, damit Mitarbeitende ihr Verhalten auch wirklich ändern und sich die Sicherheit im Unternehmen dadurch tatsächlich erhöht.

Unsere Meinung zur Security Awareness Curve

Wir unterstützen die Ergebnisse und insbesondere die Schlussfolgerungen, die sich aus der Security Awareness Curve ergeben. Wir glauben schon lange, dass standardisierte Trainings nicht mehr ausreichend sind, um Security Awareness in Unternehmen zielführend umzusetzen. Daher versuchen wir schon seit jeher, unsere Trainings, Live Hacking Shows, Phishing-Simulationen und mehr ein wenig anders zu gestalten als in der Branche üblich.

Denn längst ist aus der Sicherheit ein Geschäft geworden und längst ist nicht mehr ersichtlich, wer die guten sind. Die Security Awareness Curve verdeutlicht diesen Umstand, indem es verschiedene Maßnahmen ad absurdum führt und aufzeigt, warum klassische Lehrgänge oft falsch sind und in Unternehmen nicht die gewünschte Wirkung zeigen. Die Lernkurve offenbart zudem, worauf es wirklich ankommt und wie und wo die gängigen Seminare enden, ohne weiterführende Maßnahmen zu ergreifen.

Um das Thema vollumfänglich zu verstehen, empfehlen wir Ihnen, das entsprechende Paper auch einmal selbst zu lesen. Dieses finden sie frei zugänglich an dieser Stelle und können sich dort auch ein PDF herunterladen.

Am Ende geht es darum, dass alle Parteien zufrieden sind und sinnvolle Maßnahmen einleiten. Denn was bringt es, wenn der Informationssicherheitsbeauftragte allerlei Maßnahmen einführt, die von Mitarbeitenden als unangenehm oder gar unmöglich empfunden werden? Sorgen Sie in Ihrem Unternehmen also lieber vor und schaffen Sie auf diese Weise eine Basis, die tatsächlich Sinn ergibt und somit wirklich die Sicherheit erhöht, statt selbige nur zu propagieren.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.