Aufsatzpunkt und Zielsetzung: Sicherheitsvorfälle gewinnen trotz deutlich gestiegener, vor allem technischer Vorsichtsmaßnahmen an Bedeutung. So musste der internationale Zahlungsverkehrsanbieter Mastercard erst jüngst den Diebstahl tausender Kundendaten hinnehmen. Der BSI meldet für 2018 mehr als 150 Cyberattacken auf kritische Infrastrukturen.  

Hierbei wird der Mensch immer wieder als ein wesentlicher und nur sehr schwer zu steuernder Faktor genannt. Längst ist die Zeit, in der Awarness ausschließlich durch unregelmäßige Pishing Kampagnen geschaffen wird, vorüber. Oft ist das grundsätzliche Bewusstsein bei den Mitarbeitern vorhanden, es fehlt allerdings die Übersetzung in konkrete Arbeitsvorgänge, in denen Sicherheitsrisiken bestehen. Auch ist das Verständnis der Mitarbeiter für die gesamte Risikolandkarte eines Unternehmens von der Software über die Hardware bis hin zum Verhalten wie dem Umgang mit Endgeräten oder Passwörtern nicht gegeben. Was nützt das längste Password, wenn es auf einem Post-it am Schreibtisch notiert ist, um es nicht zu vergessen. 

Hier setzt der von uns entwickelte Security Dojo an. Er etabliert auf spielerische, dezentrale und günstige Art eine sichere Unternehmenskultur und weckt die Motivation des Mitarbeiters, sich mit dem oft als nervig abgestempelten und stiefmütterlich behandelten Thema Security auseinanderzusetzen. 

Der Security Dojo – unsere Methode

„Ein Dojo im klassischen Sinne ist sowohl eine Übungshalle für japanische Kampfkünste, als auch eine Mediationshalle der Zen-Mönche“ – Dieses ist ein gutes Bild, für das von unser entwickelte Trainingsprogramm, mit dem Mitarbeiter aller Bereiche eines Unternehmens in Bezug auf die Informationssicherheit geschult werden (siehe Abbildung 1 für einen Überblick).

Der Security Dojo erlaubt es, über vier Schwierigkeitsgrade stufenweise eine entsprechende Qualifikation zu erlangen. Pro Schwierigkeitsstufe werden insgesamt 36 Fragen bzw. Aufgaben in vier Themenclustern absolviert. Die Durchführung der Aufgaben erfolgt zunächst auf haptischen Themenkarten, deren erfolgreiche Bearbeitung auf einem Plakat markiert und der Fortschritt dementsprechend nachgehalten wird. Hängt man das Plakat im Büro an prominenter Stelle auf, so ist gleichzeitig ein entsprechender Dialog sichergestellt. Das passt auch zu dem Ansatz, dass „Gürtelprüfungen“ in einem moderierten Community Meeting abgenommen werden. 

Abbildung 2 gibt einen Überblick über das konkrete Vorgehen in einer Gürtelkategorie. Abbildung 3 zeigt bespielhaft die Ausgestaltung einer Trainingskarte für die Nutzung eines „Adblockers“. 

Im Rahmen des Security Dojos werden vier Themenfelder schrittweise in zunehmender Schwierigkeit bearbeitet: 

  • Secure Software Development – hierbei geht es um die Erstellung qualitativ hochwertiger Software von der Fachspezifikation über die Programmierung bis hin zu Test und Produktivsetzung in regelmäßigen „Deployments“. Hierbei werden nicht nur Softwareentwickler der IT, sondern auch Fachabteilungen sowie externe Dienstleister mit einbezogen. 
  • Secure Operations – umfasst die Datenverschlüsselung, die technische Verwundbarkeit der Infrastruktur sowie die Sicherheit von Endgeräten. Sie umfasst Penetration Tests genauso wie Patching von technischen Verwundbarkeitslücken oder Netzwerksicherheit. 
  • Secure Usage – Hierbei geht die Schulung deutlich über die Pishing Mails hinaus. Nutzung von Kommunikationsmedien wie WhatsApp, die Sicherheitslücken des heimischen Internetzugangs inkl. der Schnittstellen zu Sprachbots wie auch die private als auch geschäftliche Nutzung mobiler Endgeräte spielen eine große Rolle. 
  • Secure Governance – hierzu gehören das Bewusstsein für sichere Daten, ein konsolidiertes, redundanzfreies und vom Adressaten beherrschbares Set von Vorschriften als auch ein entsprechendes System für das Incident-Management. 

Wie können Sie es einführen? 

Für die Einführung bietet sich das von uns entwickelte Vorgehensmodell an. Nach einer Einführungsphase von vier bis acht Wochen findet der breite Roll-out statt. 

  • Einführungsphase: In drei Stufen wird das vorbereitete Fragenset nochmals auf die Situation des Unternehmens feinadjustiert, die haptischen Schulungsmaterialien werden vorbereitet und ein Einführungsplan mit konkreten Adressaten erstellt. Bröskamp Consulting koordiniert das Gesamtprogramm und steht mit der fachlichen Expertise zur Verfügung. 
  • Umsetzungsphase: Im Roll-out unterstützen wir die Koordination und helfen bei der Moderation der Community Feedback-Session. Bei Bedarf können wir helfen, eine entsprechende Hotline aufzusetzen. 

Wir würden uns freuen, wenn unser Ansatz Ihr Interesse findet. Für Rückfragen melden Sie sich gerne bei Hakan Yesilmen unter yesilmen.hakanbroeskamp.com oder mobil unter 0151 70119910. 

Nehmen Sie Kontakt mit ((name)) auf.