Security-Awareness in der Hochschulbildung

Eine kürzlich von der Universität Edinburgh veröffentlichte Studie bietet Einblicke in die Art und Weise, wie Security-Awareness an Hochschulen gehandhabt wird. Sie bietet eine gute Gelegenheit, wichtige Konzepte für den Aufbau einer nachhaltigen Sicherheitskultur zu diskutieren. Die Autoren analysierten über einen Zeitraum von neun Monaten 270 Helpdesk-Phishing-Tickets, um zu verstehen, wie Benutzer mit Phishing-E-Mails umgehen und vor allem, wann und wie sie sie melden.

Aus der Forschung ist bekannt, dass ein positives Lernumfeld für die Motivation und für Verhaltensänderungen entscheidend ist. Die Schaffung einer Kultur des Übens, Scheiterns und Lernens ist ein Schlüsselelement für die kontinuierliche Verbesserung. Andernfalls könnten Angst und Zweifel die Gefühlswelt beherrschen, was zu Untätigkeit, mangelndem Engagement und im schlimmsten Fall zur Umgehung von Sicherheitsrichtlinien und -instrumenten führt.

Das zeigte sich auch im Verhalten der Studienteilnehmer: Die Mitarbeiter wollen nicht als paranoid angesehen werden und passen ihre Sprache bei der Meldung von E-Mails entsprechend an – im schlimmsten Fall vermeiden die Benutzer die Meldung ganz und gar. Um ein positives Umfeld zu schaffen, sollten die Mitarbeiter durch Feedback und Berichte ermutigt werden, denn positives Feedback erhöht die Selbstwirksamkeit. Mechanismen für positives Feedback müssen in die Meldeprozesse integriert werden.

Ein weiterer kritischer Punkt, der von den Wissenschaftlern angesprochen wurde, ist die Wirksamkeit von Phishingsimulationen. Wenn sie nicht mit Bedacht eingesetzt werden, kann das Fehlen eines kontextbezogenen Feedbacks den Aufbau von Selbstwirksamkeit eher behindern als fördern. Wird ein Test nicht bestanden, muss den Mitarbeitern klar sein, welche Warnsignale und anderen Anzeichen sie übersehen haben. Deshalb sollte es auch  einen Mechanismus geben, der den Benutzern eine Rückmeldung darüber gibt, ob sie alle „roten Flaggen“ erkannt und ihre Bedeutung verstanden haben. Wie die Autoren anmerken, ist das entscheidend, um das einzigartige kontextuelle Verständnis eines Mitarbeiters für seinen Posteingang zu nutzen, d. h. das Wissen darüber, wann welche E-Mail von wem und in welchem Stil zu erwarten ist.

Chancen für computergestützte Schulungen zum Sicherheitsbewusstsein

Aus den Studienergebnissen leiteten die Forscher folgende Empfehlungen zur Verbesserung von Programmen zur Förderung der Security.Awareness ab:

1. Ermutigung zur Meldung von Phishing: Die Meldung eines Phishing-Angriffs ist eine Gelegenheit zum Lernen. Unternehmen sollten Berichte als Gesprächsanlass nutzen, um Feedback und Ratschläge zu geben. Die Benutzer sollten nicht zögern, jede E-Mail zu melden. Mithilfe von Tools können Informationssicherheitsteams Tausende von gemeldeten verdächtigen E-Mails im Auge behalten, indem sie maschinelles Lernen und Automatisierung nutzen.

2. Steigerung des Engagements und des Vertrauens durch individuelle Berichterstattung: Chatbots sind eine Methode, um die individuelle Interaktion in großem Umfang zu steigern. Unternehmen erhöhen das Vertrauen in ihre Sicherheit, indem sie individuelles Feedback geben und wertende Sprache vermeiden. Large-Language-Modelle und andere KI-Tools und -Techniken können dabei helfen, personalisierte Interaktionen zu ermöglichen, aber auch Berichte verständlicher zu machen.

3. Beruhigung der Nutzer: Zumindest müssen die Nutzer eine Bestätigung erhalten, dass ihre Meldung erfolgreich war. Im Idealfall würde dies eine kurze, persönliche Interaktion beinhalten, bei der offene Fragen geklärt werden können. Eine interaktivere Kommunikation ist ein möglicher nächster Schritt, der es den Nutzern auch ermöglicht, offen und frei über ihre Beobachtungen zu sprechen.

Unternehmen tun gut daran, Vertrauen, Transparenz und Verantwortlichkeit als die „Nordsterne“ ihrer Programme für das Sicherheitsbewusstsein zu positionieren. Dadurch wird ein Umfeld geschaffen, in dem die Menschen Mitgefühl für sich selbst und für andere entwickeln können. Momente der Selbstbeobachtung und Reflexion helfen, die eigenen Vorurteile und Auslöser zu verstehen, und tragen dazu bei, die Sicherheitslage einer Organisation zu verbessern.

Die Wissenschafter stellten fest, dass eine emotionale Komponente in ihrem Programm zum Sicherheitsbewusstsein fehlte. Es sind emotionale Sicherheit und Empathie erforderlich, um einen sicheren Raum für Lernen und Entwicklung zu schaffen. Wo dies fehlt, sind die Benutzer besonders anfällig für Täuschungen und Angriffe von Angreifern, die auf emotionale Unsicherheit setzen.

Fazit

Security-Awareness-Trainer beobachten häufig, dass Umgebungen, in denen Mitarbeiter aktiv und offen über Themen wie Social-Engineering und Phishing diskutieren, weniger anfällig für Cybersicherheitsbedrohungen sind. Eine gute Sicherheitskultur zeichnet sich auch durch eine Umgebung aus, in der die Mitarbeiter Hilfe finden, um über ihre Beweggründe für das Klicken auf einen Link in einer Phishing-E-Mail oder das Herunterladen eines bösartigen Anhangs nachzudenken. Die proaktive Teilnahme an Programmen zur Sensibilisierung für Sicherheitsfragen ist ein Zeichen für eine gute Sicherheitskultur, und diese Kultur ist notwendig, um die Bemühungen zur Verringerung des Risikos menschlichen Verhaltens zu unterstützen.

Dr. Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.