Spielerisch zu mehr IT-Sicherheit

Wohl kaum ein anderes Sprichwort beschreibt ein Security-Awareness-Programm so treffend wie «Steter Tropfen höhlt den Stein». Cyberkriminelle versuchen mit unterschiedlichsten Angriffsformen immer wieder, die gleichen menschlichen Schwachstellen wie Naivität, Nachlässigkeit oder Unwissenheit auszunutzen. Die Zürcher Kantonalbank achtet darauf, mit regelmässigen Phishing-Simulationen, wiederkehrenden Veranstaltungen, aktuellen Intranetbeiträgen und unterschiedlichen Lern-Gadgets sicherheitsbewusst auf das Verhalten ihrer Mitarbeitenden einzuwirken.

Awareness kann auch mit «Gewahrsein» übersetzt werden. Doch die Wahrnehmung und die Reaktion auf Situationen ist so individuell wie der Mensch selbst. Was die einen als eine ernst zu nehmende Bedrohung einschätzen, tun andere als hypothetisches Schreckensszenario ab. Diesen Spagat gilt es, in der Security Awareness zu meistern.

Viele der Ursachen für solche Verhaltensmuster beruhen auf dem Mangel an notwendigem Wissen, ausreichendem Training und sinnvoller Motivation. Sicherheitsmassnahmen dienen in erster Linie dazu, eine Firma vor Schaden zu bewahren und im Cyberfall sogar ihr Überleben zu sichern. Die Art der Vermittlung solcher Vorgaben zielt darauf ab, ihren Sinn und Zweck klarzumachen. Der Mensch ist ein zweckgebundenes Wesen. Nur wenn wir einen Sinn in unserem Handeln sehen, werden wir aktiv.

Die Devise lautet demnach: Trainiere jede Mitarbeiterin und jeden Mitarbeiter so, wie sie oder er es braucht. Was nach einer fast unmöglichen Aufgabe klingt, erfordert ein hohes Mass an Einfühlungsvermögen und Kreativität – im Einklang mit risikoorientierten und betriebswirtschaftlichen Grundsätzen.

«Wir haben einen Computervirus in unserem Netzwerk entdeckt und unsere letzte Hoffnung ist die Cyber Task Force.» Was im Falle der Zürcher Kantonalbank die Einladung zu einer kreativen Ausbildungsmethode ist, gehört in der Wirklichkeit zu den Hiobsbotschaften, die heute weltweit Unternehmen in Angst und Schrecken versetzen. Erlebnisorientierung wird – nicht nur in Awareness Trainings – grossgeschrieben. Lernmodule sollen Spass machen und die Lernenden möchten mit ihrem Lernstoff interagieren. Doch wo und wie können Mitarbeitende in dieser oft sehr abstrakt wirkenden Cyberwelt wortwörtlich «Hand anlegen»? Und aus welchem Grund sollten sie freiwillig wertvolle Arbeitszeit dafür opfern?

Bei der Zürcher Kantonalbank mitten im Zürcher Kreis 5 können seit einigen Monaten jeden Tag von Montag bis Freitag drei Teams mit bis zu fünf Personen eine Cyber-Story im physischen «Security Escape Room» erleben. Sie müssen sich dabei mit sicherheitsrelevanten Fragen auseinandersetzen, um die ihnen gestellten Rätsel unter Zeitdruck lösen zu können. Wer davor einige grundlegenden Sicherheitselemente der Bank nicht kannte, kennt sie auf jeden Fall danach.

«Serious Play» gehört bei der Konzeption eines Security Escape Room zu den wichtigsten Grundlagen. So unterhaltsam solche Ausbildungsmassnahmen auch sind, sie müssen einen spürbaren Lerneffekt aufweisen. In Sachen Sicherheit geschultes Personal in der Betreuung des Security Escape Room ist somit unerlässlich, um die Teilnehmenden im Anschluss des Besuchs in einen Dialog verwickeln und kompetent Fragen zur Sicherheit beantworten zu können. Ein kurzer Blick hinter die Kulissen mit Facts & Figures aus der Cyberwelt prägt danach noch tagelang die Kaffeegespräche.

Awareness-Massnahmen sollten sich möglichst nahe an die Realität anlehnen, um einen nachhaltigen Lernerfolg zu erzielen. So hat die Zürcher Kantonalbank ihre Belegschaft in unterschiedliche Risikogruppen hinsichtlich Cyberkriminalität eingeteilt und mit dem bankinternen «Red Team» existierende Angriffsformen analysiert und am eigenen Sicherheitsdispositiv getestet. Dabei erkannte technische Schwachstellen dienen der Bank unter anderem als Basis für Phishing-Kampagnen. Mitarbeitende, deren Fehlverhalten im Angriffsfall ein höheres Schadenspotenzial aufweist, werden mit praxisnahen Phishing-Kampagnen gezielt geschult. Im Nachgang wird mit ihnen ihr Verhalten reflektiert und die Tragweite solcher Angriffsszenarien aufgezeigt. Oft beginnen die Betroffenen, sich über Prozessverbesserungen Gedanken zu machen.

Dies ist eine Win-win-Situation. Denn was will man mehr, als Betroffene zu Beteiligten zu machen, damit sie einen persönlichen Beitrag zum Sicherheitsdispositiv einer Unternehmung leisten können?

Was ist verheerender für eine Unternehmung, als wenn sich schadhafte Funktionen bereits in Applikationen befinden, die in geschäftskritischen Prozessen eingesetzt werden? Auch in der Programmierung von Software wird heute das Rad nicht neu erfunden. Ganze Programmcodes können fixfertig aus dem Internet bezogen werden, was die Bereitstellung solcher Applikationen erheblich effizienter macht und im gleichen Atemzug die Sicherheitsanforderungen steigert. Auch bei der Zürcher Kantonalbank wird für einige Businessprozesse die Software durch eigene Entwicklerinnen und Entwickler programmiert. Dadurch war schnell klar, dass es einen sicheren Entwicklungsprozess mit sicherheitsbewussten Mitarbeitenden braucht, die mit der Unterstützung entsprechender Analyse-Software Schwachstellen in eingekauftem und selbstprogrammiertem Code erkennen und beheben können. Ein Shift-Left-Ansatz, bei dem Sicherheitsaspekte bereits in frühen Phasen des Entwicklungsprozesses berücksichtigt werden und damit das Problem an der Wurzel angepackt wird.

Spezifische Security Trainings mit praxisnahen Beispielen und auf die Technologie und Jobprofile zugeschnittenen Lerninhalten sind unverzichtbar. Mit Step-by-Step-Tutorials führen die Mitarbeitenden in geschützten Umgebungen effektive Angriffe durch. Dabei sehen die Entwicklerinnen und Entwickler, wo der geschriebene oder verwendete Code anfällig ist und Sicherheitslücken aufweist und wie die Manipulation beim Angriff erfolgte. Das Tutorial unterstützt anschliessend dabei, eine Lösung zu finden, um die Sicherheitslücke zu schliessen. Alle Ak­tionen werden dabei mit spielerischen Anreizen belohnt und es entsteht eine richtige Challenge, wer den eigenen Code schneller und besser sicher machen kann.