Nach dem aktuellen „Internet Crime Report“ des amerikanischen Sicherheitsbehörde FBI ist nach wie vor „Phishing“ die größte Bedrohung im world wide web. Und Unternehmen weltweit bekommen es einfach nicht in den Griff. Woran das liegt möchte ich in diesem Artikel näher erörtern.
Quelle: FBI Internet Crime Report
Die größten Herausforderungen
Die beiden größten Herausforderungen beim Aufbau eines ausgereiften Awareness-Programms sind der Mangel an Zeit zur Verwaltung und der Mangel an Personal, um das Programm zu bearbeiten und das Programm umzusetzen.Über 80 % der Sicherheitsbeauftragten Fachleute wenden die Hälfte oder weniger ihrer Zeit für Awareness an, was darauf hindeutet, dass das Training für Sicherheitsbewusstsein in der IT viel zu oft eine Teilzeitbeschäftigung ist.
Organisationen, die von Erfolgen berichten, die über Verhaltensänderung und Einfluss auf die Kultur berichten, dass sie mindestens 3 Vollzeitstellen für das Sicherheits Bewusstsein Training besetzt haben. Um menschliche Risiken effektiv zu managen, müssen Führungskräfte langfristige, strategische Investitionen in Menschen investieren, genau wie in andere Sicherheitsmaßnahmen Sicherheitsmaßnahmen wie Vulnerability Management, Incident Response oder Security Operations Centers. Menschen, nicht das Budget, sind der Schlüssel zum Management menschlicher Risiken.
Die Vermittlung des Wissens ist das Problem
Ein ausgeprägter technischer oder sicherheitstechnischer Hintergrund kann von Vorteil sein, weil sie mit den gängigen Technologien und Verhaltensweisen, die ein Risiko für die Organisation darstellen vertraut sind und einschätzen können. Die Mehrheit der Programmleiter sind technischer Natur, es fehlt an Soft Skills, wie Kommunikation und Marketing um ihre Belegschaft zu engagieren. Ebenso ist die Art und Weise der Vermittlung der größte Störfaktor bei solchen Trainingsprogrammen. Denn die Verantworltichen der IT Sicherheit sind immer überlastet und das Aufgabenspektrum wird immer größer. Kein Wunder das hier nicht viel oder meist gar keine Zeit bleibt sich mit Trainingsmethoden oder gar Neurowissenschaft auseinander zu setzten. Das ist absolut verständlich aber ein großer Fehler! Denn das ganze Wissen das in Programmen stecken die sich IT Sicherheitsverantwortliche ausdenken, verschwimmt im Sand, wenn die Trainingsmethoden nicht richtig sind.
Aktuelle Situation der Trainingsmethoden
28 Prozent der deutschen Unternehmen verlassen sich auf ein- oder zweimalige Schulungen pro Jahr, um das Nutzerverhalten zu verbessern. 46 Prozent der deutschen Befragten gaben an, dass ihr Unternehmen Mitarbeiter sanktioniert, die regelmäßig auf (simulierte oder echte) Phishing-Angriffe hereinfallen. Weltweit lag der Durchschnitt hier bei 55 Prozent.
Um Awareness zu schaffen, muss man das Gedächtnis verstehen
Alle Trainingsmethoden sind weitgehend nutzlos, so lange man das Prinzip des menschlichen Gedächtnis nicht versteht bzw. wie man dieses Trainiert.
Grundlegend kann man das menschliche Gedächtnis in drei Bereiche aufteilen:
Ultrakurzzeitgedächtnis:
Dieses dient lediglich als Filter der verschiedenen Reize die wir wahrnehmen, Die maximale Dauer die Informationen hier verweilen beträgt gerade mal 2 Sekunden. Relevante Informationen werden dann an das Kurzzeitgedächtnis weiter gegeben.
Kurzzeitgedächtnis:
Dieses könnte man mit einer Speicherkarte vergleichen mit einem Volumen von ca. 20 Minuten. Nach diesen 20 Minuten ist unsere Speicherkarte voll. Wenn wir also nach 20 Minuten keine Pause machen und einfach weiter lernen, wird das zuerst erlernte einfach von dem neuen Stoff überschrieben.
Langzeitgedächtnis:
In unser Langzeitgedächtnis kommen Dinge die wir oft wahrnehmen, erleben, sehen usw. Also sprich durch Wiederholung. Egal ob es Texte, Bilder oder sonstiges ist. Nur durch gezielt Wiederholung haben wir die Chance, Wissen dauerhaft in unseren Köpfen zu manifestieren.
Die Netzwerke der Erinnerung
So viel wissen wir: Das Netzwerk der Neuronen in der Großhirnrinde – ist im Gegensatz zu einem Computer nicht nach einem detaillierten Plan geknüpft, sondern weitgehend zufällig organisiert. Sind miteinander verbundene Zellen gemeinsam aktiv, verstärken sich die Synapsen. Dieser simple, von dem kanadischen Psychologen Donald Hebb bereits in den 1940er Jahren postulierte Mechanismus schweißt Teilnetzwerke besonders eng zusammen, zu so genannten „neuronalen Assemblys“, deren „Zündung“ die Aktivierung der ihnen entsprechenden Information bedeutet.
Häufiger, aber kürzer üben!
Demnach aktiviert der Anblick beispielsweise eines Apfels immer wieder eine Anzahl miteinander verknüpfter Pyramidenzellen. Deren Verbindung verstärkt sich nach und nach, eine neuronale Assembly entsteht, deren Aktivität den Apfel repräsentiert. Je öfter sich der synaptische Lernprozess wiederholt, desto leichter lässt sich die Assembly aktivieren. Irgendwann reicht es, nur Teile des Apfels verschwommen zu erblicken, um das Zellensemble zu zünden und damit den ganzen Apfel im Geist aufscheinen zu lassen. Solch synaptisches Lernen in der Großhirnrinde ist langsam und lebt von der Wiederholung. Dabei kommt es nicht auf die absolute Zeitdauer an: „Häufiger, aber kürzer üben“ lautet der Rat, der sich mit etwas Vorsicht ableiten lässt. Das bedeutet jedoch keineswegs, sich die immer gleichen Inhalte einzubläuen. Im Gegenteil: Stumpfsinn scheint der Hauptfeind des Lernens zu sein. Mehr Erfolg verspricht, das Gehirn auf stets etwas andere Weise anzuregen, ihm durch variierte Aufgaben und andere Herangehensweisen immer wieder neuen Anlass zur Auseinandersetzung mit dem Thema zu geben, je reicher und vielfältiger, desto besser.