„Wir können beim Menschen nicht einfach einen Patch einspielen und schon ist alles gut“

Menschen sind keine Maschinen, sagt Marcus Beyer vom Schweizer Telekommunikationsunternehmen Swisscom. Awareness-Maßnahmen betont er, müssen sich an den Lebenswelten der Mitarbeiter orientieren.

Für Awareness-Jobs sind Techniker eher ungeeignet, denn bei Fragen der Awareness stehen Menschen im Mittelpunkt, nicht Maschinen. Als Security Awareness Officer bei der Schweizer Swisscom weiß Marcus Beyer das aus Erfahrung. Für seinen Arbeitgeber hat er sehr erfolgreich eigene Awareness-Ideen erarbeitet und umgesetzt, die in vielen Punkten von klassischen Konzepten abweichen. Dabei ist ihm wichtig, die Mitarbeiter und Mitarbeiterinnen im Blick zu haben, denn sie sind es, die die Sicherheit eines Unternehmens letztlich gewährleisten. Beyer hat Psychologie studiert und ist seit vielen Jahrzehnten in der Technikwelt tätig. Im Gespräch erklärt er typische Fehler gängiger Awareness-Maßnahmen und zeigt, wie es besser geht.

• Verantwortliche müssen Mitarbeitern zunächst klar machen, warum sie sich überhaupt für Security interessieren sollten.
• Klassische Awareness-Konzepte scheitern häufig daran, dass sie nicht auf die Personen der Zielgruppe angepasst sind.
• Erfolgreiche Maßnahmen orientieren sich an den Lebenswelten der Mitarbeiter.
• Lernplattformen und KI-Tools sind sehr hilfreich und steigern die Effizienz.

Sie sind bei dem schweizerischen Telekommunikationsunternehmen Swisscom als Security Awareness Officer tätig. Was genau ist unter in dieser Rollenbezeichnung zu verstehen?

Ich bin dort Teil des Bereichs Group Security, was in anderen Unternehmen auch als Konzernsicherheit bezeichnet wird. Das ist nicht IT- und Informationssicherheit. Wir haben auch die Verantwortung für die physische Sicherheit. Wir sind rund 80 Leute, ich bin für das ganze Thema Security Awareness und Training zuständig. Die Swisscom hat rund 19.000 Mitarbeiter und Mitarbeiterinnen, plus Externe sind es etwa 23.000. Meine Tätigkeit besteht zu einem erheblichen Teil in der Planung und Umsetzung von Trainings für die gesamte Belegschaft aber auch in der Tiefe für die Cyber Professionals in unserem Unternehmen. Außerdem liegen in meinem Themenbereich auch Kommunikationsaufgaben, zum Beispiel, wenn wir irgendetwas Neues einführen oder Veränderungen anstehen. Im Wesentlichen versuche ich, unsere Belegschaft auf den Geschmack für IT-Security zu bringen, sie dafür zu interessieren.

Das machen nicht nur wir so, andere Konzerne sind ähnlich aufgestellt. Unternehmen verstehen immer mehr, dass sie Spezialisten für Awareness brauchen. Das sind in der Regel keine Techniker. Techniker betrachten die Sache aus technischer Sicht und nur selten aus der Nutzersicht. So etwas können sich natürlich meist nur große Unternehmen leisten, bei kleineren wird das oft von anderen Fachkräften nebenbei mitgemacht.

Awareness ist längst kein neues Thema mehr und wird inzwischen weitläufig praktiziert. Wie aktuell ist dieses Thema noch? Existiert nach wie vor die Notwendigkeit, die Belegschaft für Cybersecurity zu sensibilisieren oder hat sich das Ganze weiterentwickelt?

Wir müssen immer stärker über Risiken reden, bei denen der Mensch im Fadenkreuz steht. Das ist auch das, wo sich das Themenfeld Awareness hinbewegt. Es ist nicht mehr getan mit Phishing-Simulation und anschließendem Training. Es geht stattdessen darum, eine Verhaltensänderung bei den Mitarbeitern zu erreichen. Dazu muss ich die Menschen erst mal für das Thema empfänglich machen. Wir können sie schließlich nicht einfach impfen oder einen Patch einspielen und schon ist alles gut. Warum sollte sich ein Mitarbeiter mit Security beschäftigten? Das ist gar nicht sein Business. Diese Menschen werden auch nicht zu Security-Experten. Wir müssen sie aber dazu bringen, sich für Security zu interessieren, dann sind sie auch bereit, entsprechende Maßnahmen zu ergreifen.

Die ISO-27001 fordert lediglich Training und Kommunikation zum Thema IT- und Informationssicherheit, wie ist egal. Das funktioniert aber so nicht. Wir müssen Mitarbeiter befähigen, die richtigen Security-Vorkehrungen umzusetzen, damit das Unternehmen resilient ist, damit es nicht in eine Krise gerät oder zumindest schnell wieder herauskommt.

Gerade habe ich in einem Vortrag von einem Unternehmen gehört, das angegriffen wurde. Auf einer der Folien stand: „Die menschliche Firewall hatte vier Möglichkeiten, den Angriff zu verhindern“. Aus dieser Darstellung spricht eine Arroganz der IT, die mit Mitarbeitern umgeht wie mit Maschinen. Demgegenüber lautet mein Dreiklang immer: People, Process and Technology. Denn wenn Prozesse nicht funktionieren oder nicht verständlich sind, dann hat man ein Problem. Nehmen wir zum Beispiel Policies und Richtlinien, die oft von der Rechtsabteilung verfasst wurden und die keiner mehr versteht. Wenn man etwas nicht versteht, wie soll man es dann umsetzen?

Awareness besteht nicht einfach nur aus technischen oder organisatorischen Maßnahmen. Rein disziplinarische Maßnahmen bei Fehlverhalten sind der völlig falsche Ansatz. Was weiß man denn, warum es bei einem Mitarbeiter zu einem sogenannten Fehlverhalten gekommen ist? Die Maßnahmen sollen die Belegschaft schützen, erst daraus entsteht dann ein Schutz für das Unternehmen. Das klassische IT-Denken funktioniert für Awareness nicht, es geht um Kulturveränderung. Das ist ein Change-Prozess.

Eine Ihrer Leitlinien, die Sie auch in einem IT Security Update auf der Digitalplattform it-sa 365 hervorheben, lautet: Nah an den Lebenswelten der Mitarbeiter sein. Wie funktioniert das?

Damit thematisiere ich ein Problem, das manchmal entsteht, wenn ein Unternehmen seine Belegschaft auf Phishing sensibilisiert, aber Mitarbeitern und Mitarbeiterinnen gar nicht klar ist, inwieweit sie das betrifft. Wir haben deshalb eine Broschüre gemacht, die den Tagesablauf einer Person aus der Belegschaft nachvollzieht und einen normalen Arbeitstag durch die Security-Brille betrachtet. Es geht los mit dem Frühstück. Die Person liest nebenbei Nachrichten, wir thematisieren dazu Fake-News und Desinformation. Dann kommt sie ins Unternehmen, muss einen Hausausweis tragen. Wir erklären, warum. Anschließend kommt die erste Videokonferenz, wir beleuchten die Gefahren, die damit einhergehen. So gehen wir durch den Tag und zeigen, wo im Arbeitsalltag Gefahren und Risiken liegen. Wir versuchen aber immer auch, einen privaten Bezug herzustellen, also etwa die Relevanz von Passwörtern im Privaten und so weiter. Wir zeigen, dass ein Passwort-Manager auch im Privaten eine gute Hilfe darstellt. Wenn die Leute im Privaten für Cybersecurity sensibilisiert sind, dann sind sie auch im Unternehmen sensibilisierter. Beispielsweise sollte ich mich auch zu Hause um Vertraulichkeit kümmern: Im Homeoffice muss man aufpassen, was man am Telefon erzählt, wenn etwa Familienmitglieder mithören könnten. Denn ich möchte meinen Kindern nicht immer sagen müssen, dass sie nicht weitererzählen dürfen, was Mama und Papa in einem dienstlichen Videogespräch gesagt haben.

Welche Mittel und Methoden setzen Sie ein, welche sind Ihnen besonders wichtig?

Wir lassen eigentlich nichts aus, wir greifen auf das ganze Repertoire zurück. So haben wir eigens ein Spiel entwickelt und setzen damit Gamification um. Hinzukommen selbst entwickelte Kartenspiele, die sind recht lustig. Wir versuchen, Themen mit Humor anzugehen, auch lustige Sachen zu machen. Es ist wichtig, freundlich rüberzukommen, nicht als Polizisten oder Aufpasser. In unserem Unternehmen herrscht eine Kultur, die das ermöglicht und fördert – digital wie auch offline.

Es gibt meiner Meinung nicht die „one size fits all“-Lösung. Jedes Unternehmen muss die Maßnahmen und Methoden einsetzen, die zur Firma passen. Zwischen den Unternehmenskulturen gibt es große Unterschiede.

Sie haben auch eine Trainingsplattform eingekauft. Wozu setzen Sie die ein, was ist der Vorteil so einer Lösung?

Wir können unsere Kollegen und Kolleginnen nach Zielgruppen einteilen, womit die Leute auf ihren Job zugeschnittene Maßnahmen erhalten. Nicht jeder braucht alle Themen, es geht um das, was für sie im Alltag relevant ist. Techniker, die mehr wissen müssen, können das über die Plattform auch bekommen und zum Beispiel im Deep Dive bis zu Security für Cloud- oder App-Entwickler gehen. Die Lernplattform steht jedem Mitarbeiter zur Verfügung. Doch die Plattform erlaubt noch mehr: Anhand der Auswertungen können wir sogar Talente entdecken, die spannende Ansätze entwickelt haben. Diese Lernform kommt bei der Belegschaft gut an, nach einem Jahr hatten schon rund 3800 Leute damit gearbeitet und das sogar außerhalb der Arbeitszeit.

Viele Security-Maßnahmen sind aufwendig oder umständlich. Das ist wahrscheinlich der häufigste Kritikpunkt von Mitarbeitern und Mitarbeiterinnen. Sie plädieren für Sicherheitsmaßnahmen, die eine einfache und vorgabenkonforme Bearbeitung von Daten ermöglichen. Wie lässt sich das realisieren?

Das ist ein konfliktreiches Thema. Wir hatten das beispielsweise bei der Einführung unseres Password-Managers. Die gewählte Softwarelösung gilt als besonders sicher, ist nur leider in der Benutzung nicht gerade intuitiv. Aber Passwörter sind wichtig, auch deren Länge. Sie müssen aber handhabbar sein, wobei ein Password-Safe sehr hilfreich ist.

Oft haben wir einen Konflikt zwischen einer technisch guten Lösung und einer einfachen, leicht verständlichen Lösung. Da ist es wichtig, sehr gut zu kommunizieren, man muss es den Leuten sehr gut erklären und man muss es auch vorleben. Es ist notwendig, herauszufinden, was für die Mitarbeiter das Problem ist, um dafür dann eine Lösung zu finden. So lässt sich die Akzeptanz deutlich erhöhen.

In bestimmten Branchen stoßen Awareness-Konzepte auf besondere Schwierigkeiten, etwa im OT- oder Gesundheitssektor. Dort wird unter anderem im Schichtdienst und teils unter hohem Zeitdruck gearbeitet. Wie geht man damit um?

Da lautet meine Empfehlung, auf die Lebenswelten der Personen, auf deren privaten Bereich zu schauen. Im Privaten betrifft Security die Leute ja auch und bereitet Ihnen häufig mehr als genug Schwierigkeiten. Wenn es gelingt, zu verdeutlichen, welche Risiken dort bestehen und welche Möglichkeiten sie gleichzeitig haben, dann lässt sich das auf das Unternehmen übertragen. Wer zum Beispiel Kinder hat, ist damit konfrontiert, wie man seine Kinder im Netz schützen kann.

Zudem muss man sich sehr genau den Alltag zum Beispiel von Krankenschwestern oder Fließbandarbeitern anschauen. Dabei stellt sich oftmals heraus, dass Prozesse umgestellt werden müssen, um die Sicherheit zu erhöhen. Es ist klar, dass bei einer Not-OP nicht erst umfassend Passwörter eingegeben werden können usw.  Doch es gibt für die Zugangssicherung in diesen Bereichen geeignete technische Lösungen wie RFID-Armbänder. Die halte ich einfach in die Nähe des PCs und der Zugang ist ohne Passworteingabe möglich. Gehe ich wieder weg, ist der Zugang wieder gesperrt.

Es existierten noch viele Bereiche, die nicht auf die Thematik vorbereitet sind, beispielsweise Schulen. Hier wird es notwendig sein, erst mal das Thema selbst zu vermitteln, bevor ich mir über Maßnahmen Gedanken machen kann.

Was erwarten Sie für die Zukunft, wenn man beispielsweise an KI denkt?

Ich nutze bereits KI-Lösungen wie ChatGPT, wenn es beispielsweise darum geht, ein Quiz zu einer Problematik zu entwickeln. Aber auch um Bilder zu generieren, die ich so sonst nicht habe. KI wird unsere Prozesse einfacher und schneller machen. Man kann etwa recht leicht eine Wissensdatenbank mit Security-Know-how anlegen. Die können Mitarbeiter dann abfragen, wenn sie ein bestimmtes Anliegen haben, zum Beispiel um eine Azure-Cloud einzurichten. KI wird uns helfen, unsere Arbeit besser zu machen.

Autor: Uwe Sievers

IT Security Awareness: Weil es auf den Faktor Mensch ankommt