Ihre Mitarbeiter haben kein Interesse an IT-Sicherheit und Security Awareness? Ändern Sie das doch – per Live Hacking.

Unüberlegte Klicks auf verseuchte Anhänge in Phishing Mails, zu weitreichende App-Berechtigungen, unzureichende Passwörter und unbeaufsichtigte, frei zugängliche Endgeräte: Sicherheitsbeauftragte in Unternehmen sind oft nicht zu beneiden.

Die Unachtsamkeit von Mitarbeitern – und auch Managern – fußt einerseits auf der menschlichen Fehlbarkeit, andererseits auf mangelnder Security Awareness. Während sich gegen den menschlichen Hang zur Schwäche wenig ausrichten lässt, verhält es sich mit der abstrakten Gefahr anders. Bleiben die Auswirkungen des eigenen Handelns im Dunkeln, bleibt für die Nutzer auch die Gefahr lediglich eine abstrakte Größe.

 

Wie Security-Gefahren konkret werden

Um das zu ändern, stehen Ihnen verschiedene Mittel zur Verfügung, die Ihren Mitarbeitern näherbringen, welche Folgen Verstöße gegen IT-Sicherheitsrichtlinien mit sich bringen können. Mit Hilfe von Live Hacking etwa lassen sich die potenziellen Gefahren veranschaulichen und ins Bewusstsein rücken – wo sie dann auch nachhaltig vorgehalten werden. Schließlich werden in einem solchen Rahmen nicht nur konkrete Bedrohungsszenarien aufgezeigt – die Teilnehmer werden dazu befähigt, in die Rolle der Angreifer zu schlüpfen, getreu dem Motto „Kenne deinen Feind“. Wenn die Nutzer verstehen, worauf es kriminelle Hacker abgesehen haben, können sie nicht nur ihr individuelles Risikopotenzial besser einschätzen, sondern Angriffe überhaupt erst als solche erkennen.

Wichtig ist dabei: Ein Live Hack sollte keine Einzelmaßnahme darstellen, sondern idealerweise Teil einer übergeordneten Security-Awareness-Kampagne sein oder zumindest auf Grundlage entsprechender Expertise kommunikativ begleitet werden.

 

Live Hacking als IT-Sicherheitsplattform

Solche geplanten Hackerangriffe sollen nicht zeigen, wozu kriminelle Angreifer grundsätzlich in der Lage sind. Vielmehr lässt sich auf diese Weise demonstrieren, wie einfach es ist, in IT-Systeme einzubrechen, wenn Security Policies keine Beachtung finden. Gleichzeitig kann auf diesem Wege ein Verständnis für unter Umständen unpopuläre Maßnahmen der IT geschaffen werden. Bei allen Unterhaltungsambitionen und Anstrengungen zum humorvollen Transport des Themas ist ein wichtiger Teil eines solchen Live Hackings außerdem die Vermittlung von Tipps und Tricks. Schließlich nützt es wenig, wenn die Mitarbeiter sich zwar der Security-Bedrohungen bewusst sind und auch erkennen, wenn sie angegriffen werden, dann aber nicht wissen, wie sie darauf reagieren sollen.

Sie sollten deshalb im Rahmen solcher Veranstaltungen gesteigerten Wert darauf legen konkrete Lösungswege aufzuzeigen. Auch aus diesem Grund sollte ein Live Hack nur von Profis durchgeführt werden, die die Didaktik entsprechend beherrschen und die Vorgänge erklären können. Wenn Sie bei dieser Gelegenheit auf einen externen Dienstleister setzen, sollte dieser idealerweise mit dem Sicherheitsverantwortlichen Ihres Unternehmens – etwa dem CISO – zusammenarbeiten, da dieser die unternehmensinternen Abläufe und Möglichkeiten kennt. Der CISO erhält im gleichen Atemzug eine Plattform, um sich selbst und sein Team zu präsentieren.

Daraus ergibt sich eine Win-Win-Situation: Die Mitarbeiter befassen sich auf unterhaltsame Weise mit dem Thema Sicherheit, verstehen die Anatomie eines Hackerangriffs und lernen Gegenmaßnahmen zu ergreifen – der CISO erhält die Gelegenheit, IT Policies zu erläutern und Hemmschwellen für die Kontaktaufnahme abzubauen. Live Hacking stellt demnach eine unverzichtbare Komponente jeder Security-Awareness-Kampagne dar.