Security Awareness für Banken: spielt der Mensch nicht mit, bleibt die Technik wirkungslos
Was nützt die beste Technik, wenn der Mitarbeiter am Empfang auf den Anhang in der Mail klickt und so dem Trojaner die Tür öffnet. Doch wie setzen IT-Verantwortliche Security Awareness in ihrer Bank um? Dariush Ansari, Geschäftsführer der Network Box Deutschland GmbH, über Security Awareness Trainings als Teil eines ganzheitlichen Sicherheitskonzepts für Banken.
von Dariush Ansari, Network Box
Die Hälfte aller IT-Schäden wird durch Mitarbeiter verursacht.Das IT-Sicherheitssystem kann noch so ausgefeilten Schutz bieten – spielt der Mensch nicht mit, bleibt die Technik wirkungslos.”
Denn täglich kommen mehr als 390.000 neue Schadprogramme in Umlauf und so ist ein wirksamer Schutz vor Viren und Trojanern nur mit Hilfe der Mitarbeiter möglich. Damit IT-Sicherheit in allen Bereichen einer Bank greift, müssen also neben der IT-Infrastruktur alle Sicherheitsaspekte einbezogen werden, dazu gehört auch der Umgang mit Dokumenten, Zugangsregelungen und Datenschutz. Es reicht nicht, wenn die Aktualisierung der Software automatisch erfolgt, die Nutzer müssen sich auch verantwortungsbewusst im Netz bewegen.
Security Awareness zur Chefsache machen
Kaum eine Branche wird so oft von Cyber-Kriminellen angegriffen wie der Finanzsektor. Netzwerkausfälle durch Virenbefall verursachen enorme Kosten, weil die Wiederherstellung der Systeme und Daten Zeit braucht, in der die Mitarbeiter nicht arbeiten können. Hinzu kommen Imageschäden; IT-Probleme bleiben Kunden selten verborgen. Doch die Erhaltung der IT-Sicherheit kann die IT-Abteilung weder alleine gewährleisten noch ist sie als Einzige für dieses Thema zuständig. Ohne Zutun des einzelnen Benutzers kann nicht wirksam verhindert werden, dass Viren und Trojaner in das Firmennetzwerk eindringen. Daher kann die Verantwortung für ein sicheres Bankennetzwerk weder bei den betrieblichen IT-Experten noch beim Datenschutzbeauftragten abgegeben werden. Am Ende sind es die Menschen, die die Technik sicher machen. Mitarbeiter müssen Richtlinien nicht nur kennen, sondern auch verstehen, warum diese wichtig sind. Das beinhaltet, dass „von oben“ die entsprechenden Signale gesendet werden: Die Mitarbeiter müssen merken, dass IT-Sicherheit in der Vorstandsebene einen hohen Stellenwert besitzt und dass sie bei ihren Bemühungen um IT-Sicherheit am Arbeitsplatz unterstützt werden.
Erfolg durch Wiederholung
Wirksame Sensibilisierungseffekte sind keine Frage der Kosten oder eines hohen Aufwandes, sondern das Ergebnis einer angemessenen Strategie. Security Awareness Trainings sollten mit einer simulierten Phishing-Kampagne starten, gefolgt von Schulungsmodulen zu aktuellen Bedrohungen wie Sicherheit am Arbeitsplatz, Social Engineering oder Passwortschutz. Solche interaktiven Phishing-Kampagnen machen die Risiken der Cyber-Kriminalität greifbar. Sie können aus dem Alltag bekannte Mails etwa von Paketzustellern („Ihr Paket ist da!”) enthalten, aber auch E-Mails vermeintlich im Namen der Geschäftsführung an die Belegschaft, wonach die Gehaltsabrechnungen von nun an online verfügbar seien und der Mitarbeiter aufgefordert wird, auf den Link zu klicken, um zu prüfen, ob seine Angaben stimmen. Hinterher erhält der Vorstand eine Auswertung, wie viele Mitarbeiter auf den Link geklickt haben. Der Überraschungseffekt: Selbst IT-Verantwortliche ertappen sich dabei, wie schnell sie in der Hektik des Alltags auf eine gefälschte E-Mail klicken und wie gut diese heutzutage gefälscht sind. Mit Hilfe von Reports zeigt sich deutlich, wie sich der IT-Sicherheitsstatus der Mitarbeiter im Laufe des Trainings verbessert.
Trainig – und immer wieder Security Awareness schaffen
Die Mitarbeiter für den Umgang mit den digitalen Medien zu sensibilisieren, sollte in der Bank fest verankert sein. Je nach Betriebsgröße und IT-Infrastruktur empfehlen sich Ausgaben für IT-Sicherheit zwischen 10 und 20 Prozent des gesamten IT-Budgets. Das geht in der Regel nur, wenn die Vorstandsebene dies entscheidet und unterstützt.
Ein geringer Etat ist kein Hinderungsgrund für regelmäßige Awareness Trainings.”
Preiswert und schnell umsetzbar sind Materialien, die Awareness am Arbeitsplatz schaffen, wie Poster, CAM-Schutz, Mousepads oder Tassen, aber auch Infos übers Intranet oder in der Mitarbeiterzeitung.
Ein IT-Sicherheitskonzept beinhaltet:
1. Virenschutzkonzept
2. Notfallpläne
3. Benutzerrichtlinien (Passwörter, Internet etc.)
4. Backup-Konzept
5. Berechtigungskonzepte
6. Definition der Zuständigkeiten
7. Security Awareness Trainings
Worauf achten bei der Wahl eines externen Dienstleisters?
Welche Erfahrungen/Referenzen hat der Anbieter in diesem Bereich? Auf welche Awareness-Projekte kann er verweisen? Schlägt er ein breites Maßnahmenspektrum vor oder bietet er seine Beratung nur in Zusammenhang mit dem Kauf eines seiner Produkte an? Ein zentraler Punkt bei der Suche nach einem externen Dienstleister ist das Kosten-Nutzen-Verhältnis. Die Zusammenarbeit mit einem Managed Service Provider soll dazu dienen, sowohl die IT-Landschaft als auch das eigene Arbeiten effizienter zu gestalten. Am Ende des Tages ist es natürlich wichtig, dass die IT-Belegschaft oder das zuständige Systemhaus zu dem Anbieter ein gesundes Vertrauensverhältnis aufbauen kann. Wie sind die Prozesse beim MSP hinterlegt? Bestehen Zertifizierungen wie zum Beispiel ISO27001? Vorgabe sollte eine faire, unkomplizierte Zusammenarbeit auf Augenhöhe sein.
Ganzheitliche IT-Sicherheit in 3 Schritten:
1. Themenbereiche identifizieren
In welchen Bereichen besteht Handlungsbedarf? Bei allgemeinen IT-Sicherheitsthemen wie Passwortsicherheit, Umgang mit vertraulichen Dokumenten, sichere Administration und Virenschutz oder auf die Bank bezogene Themen wie die Verarbeitung personenbezogener Daten, mobile Sicherheit im Außendienst und im Home Office. Um den Erfolg der Maßnahmen sicherzustellen, sollten bereits in der Planungsphase Personen und Gruppen beteiligt werden, deren Meinung für die Bank wichtig ist. Dazu gehört auch der Datenschutzbeauftragte oder die Kommunikations- bzw. Presseabteilung. So lässt sich vermeiden, dass sich Personen übergangen fühlen.
2. Kommunikationskanäle festlegen
Warum das Rad neu erfinden? Sicherlich bestehen in der Bank bereits etablierte Kommunikationskanäle wie eine Mitarbeiterzeitung, Intranet oder ein E-Mail-Newsletter. Diese zu nutzen, erhöht die Akzeptanz bei den Mitarbeitern und erleichtert dem IT-Sicherheitsbeauftragten die Arbeit.
3. IT-Sicherheitsmaßnahmen umsetzen
Sicherheitsregeln erfreuen sich nicht gerade besonderer Beliebtheit. Visuelle Präsentationen verstärken hier den Lerneffekt. Online-Schulungen mit Prüfungen, interaktive Phishing-Simulationen und Poster am Arbeitsplatz prägen sich bei den Mitarbeitern besser ein als ein einfaches Rundschreiben. Eine spielerische, unkonventionelle Wissensvermittlung verspricht dabei einen größeren Erfolg als strenge, regelorientierte Maßnahmen.Dariush Ansari, Network Box
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/100555
Schreiben Sie einen Kommentar