Vor wenigen Tagen war Marcus Beyer zu Gast bei G DATA CyberDefense. Im Webinar hat der Security Awareness Officer bei Swisscom und Host des Security Awareness Insider Podcasts aus seinem Arbeitsalltag berichtet und erzählt, auf welchen verschiedenen Ebenen er sich mit "Awareness" auseinandersetzt. Im Gespräch mit ihm: Christian Laber, Product Owner des Product Developments der G DATA academy. Ein Thema war die Frage, wie Verantwortliche es schaffen, dass sicheres Verhalten von Angestellten im gesamten Unternehmen eine hohe Priorität hat.
Christian Laber: Herzlich willkommen, lieber Markus. Vielen Dank, dass du da bist. Vielleicht stellst du dich und deine Aufgaben kurz vor.
Marcus Beyer: Danke für die Einladung Christian. In meiner Rolle als Security Awareness Officer bei der Swisscom verantworte ich Awareness Trainings und Sensibilisierungsmaßnahmen über die gesamte Belegschaft mit circa 18.000 Angestellten plus 7000 Externer. Also ich bespiele summa summarum 25.000 Personen. Die Swisscom ist der größte Telekommunikationsanbieter in der Schweiz. Ich mache das aber nicht nur in der Breite, sondern auch in der Tiefe. Das heißt, ich bin viel im Bereich Upskilling unserer Cyber Professionals aktiv. Ich habe einen Psychologie-Background und bin als Kind der New Economy in die IT-Branche gekommen. Bevor ich vor über vier Jahren zu Swisscom gewechselt bin, habe ich viele große Unternehmen in der Umsetzung von Security-Awareness-Maßnahmen, Kampagnen und Programmen unterstützt. In meinen Aufgaben war ich immer der Übersetzer zwischen den Fronten, also der Übersetzer zwischen den Entwicklern und dem Management oder den Kunden und der Firma. Mich hat dabei immer die Frage umgetrieben, warum Menschen bestimmte Dinge tun. Warum surfen sie im Web?
Christian Laber: Bei vielen Firmen steht das Thema Awareness ganz am Anfang, während ihr ja schon lange auf einem ganz anderen Level unterwegs seid.Was war da die Triebfeder der Swisscom?
Marcus Beyer: Gute Frage. Ich glaube, die Schwierigkeit für die meisten Unternehmen besteht tatsächlich darin, dass viele aktuell eine eierlegende Wollmilchsau suchen, um Awareness-Maßnahmen umzusetzen. Und das ist ganz schwierig. Ich habe jahrelange Erfahrung in der Kommunikation, in meinem Trainingsumfeld, in der Pädagogik und auch in der Security. Aber das findet man sehr schwer auf dem Markt. Es gibt nur wenig Leute, die so ein breites Portfolio haben. Was ich aber sehe, ist, dass ganz viele Unternehmen jetzt gerade Anstrengungen machen, um diese Rolle des Security Awareness Officers zu besetzen. Sie haben verstanden, dass der Faktor Mensch ein wichtiges Element bei einer umfassenden IT-Sicherheitsstrategie ist und vielleicht sogar wichtiger als Technologien.
Christian Laber: Das kann ich nur bestätigen. Aber noch merke ich immer ein Gap zwischen großen Unternehmen und kleinen Betrieben. Denn große Unternehmen sind in meiner Wahrnehmung schon einen Schritt weiter. Die wissen, dass sie an Security-Awareness-Schulungen nicht mehr vorbeikommen. Wie siehst du da die aktuelle Entwicklung?
Marcus Beyer: Also der kleine Mittelstand hat tatsächlich ein Problem, was die Awareness und auch Trainings angeht. Der Grund: Es gibt einfach viel zu wenig auf dem Markt und das, was man auch an kostenfreien Dingen bekommt, ist jetzt auch noch nicht wirklich durchdacht. Aber ich stelle auch fest, dass dies eine Frage des Mindsets ist und nicht unbedingt etwas mit Unternehmensgröße zu tun hat. Wie wichtig ist mir das Thema? Wie weit kann ich mich absichern?
Schließlich ist auch Security Awareness kein Heilsbringer. Es ist ein Steinchen mehr im Gesamtgefüge und das braucht Zeit. Es ist zudem auch immer noch ein Problem in der IT, dass wir erst auf die Technologie gucken, danach auf Prozesse und zum Schluss erst auf die Mitarbeitenden. Da holen sich viele Unternehmen lieber eine Policy, die alle Angestellten unterschreiben. Das ist einfacher, als die Prozesse oder die Strategie anzupassen. Dabei ist ein anderer Punkt viel wichtiger, nämlich die Frage, was brauchst du eigentlich?
Christian Laber: Du hast mir gerade perfekt die Brücke zu meinem nächsten Thema gebaut. Was mir bei verschiedenen Consulting-Angeboten fehlt, ist dieser ganzheitliche Ansatz. Ich sehe einen sehr großen Flickenteppich und viele Unternehmen schlagen sich immer noch ohne klar erkennbaren Ansatz oder Konzept durch. Das finde ich für das Jahr 2024 schwierig.
Marcus Beyer: Viele Unternehmen glauben, dass sie mit irgendeinem Phishing-Training alle Vorgaben erschlagen können. Und genau das funktioniert nicht. Den Erfolg von Sensibilisierungsmaßnahmen macht der Methodenmix aus. Bei Swisscom setzen wir auch Phishing-Trainings ein, aber in einer ganz anderen Art und Weise, wie man das noch vor drei Jahren gemacht hat. Da spielt das Thema Gamification eine viel, viel wichtigere Rolle.
Mir begegnet immer wieder die Frage, wie Unternehmen ihr mittleres Management davon überzeugen können, dass das Thema wichtig ist. Die Konzernleitung macht mit und die Geschäftsleitung sagt „Ja“ und delegiert das Ganze dann an die IT-Abteilung. Die stehen aber vor dem Problem, Mitarbeitende anzusprechen, weil sie nicht die gleiche Sprache sprechen. Ich stelle dann immer die ehrliche Frage nach dem Warum. Warum soll denn eine Mitarbeiterin oder ein Mitarbeiter sich um Security kümmern? Warum soll sich auch eine Führungskraft um Security scheren? Die sind dafür überhaupt nicht ausgebildet. Die sind auch nicht aufgeschlossen für das Thema, nur weil sie einen NDA oder eine Vertraulichkeitserklärung bei der Einstellung unterschreiben. Man muss sich immer im Klaren sein, dass die Leute das zusätzlich zu ihrer Arbeit machen.
Daher müssen wir aus meiner Sicht versuchen, den Leuten zu erklären, warum sie es eigentlich tun und Motivation dafür aufbauen, dass sie Bock darauf haben, sich mit dem Thema überhaupt zu beschäftigen. Dabei kann der Verweis auf das private Umfeld hilfreich sein. Wenn ich im Unternehmen sicher bin und mich sicher verhalte, dann kann ich das auch nach Hause mitnehmen oder umgedreht. Nur zu sagen, dass die Mitarbeitenden sich darum kümmern müssen, ist aus meiner Sicht zu banal.
Viele Unternehmen glauben, dass sie mit irgendeinem Phishing-Training alle Vorgaben erschlagen können. Und genau das funktioniert nicht. Den Erfolg von Sensibilisierungsmaßnahmen macht der Methodenmix aus.
Christian Laber: Ehrlicherweise kann ich alles so unterschreiben, wie du das gesagt hast. Du musst deinen Angestellten etwas Sinnstiftendes geben. Wir sehen oftmals, dass bei Firmen irgendeine Zertifizierung oder ein Audit ansteht und dann brauchen die fünf Trainings wie Datenschutz oder Compliance. Das reicht an dieser Stelle einfach nicht, um ein Unternehmen sicher zu machen. Wie seid ihr denn vorgegangen?
Marcus Beyer: Ich bin ganz froh, so viele Kolleginnen und Kollegen zu haben, die mich fachlich unterstützen und enablen. Denn ich weiß beispielsweise nicht, was MFA-Fatigue ist oder wie eine Webapplikation-Firewall funktioniert. Ich rede dann mit den Leuten, die für die Themen zuständig sind. Das ist wirklich das Erste, was ich auch bei uns gemacht habe. Ich bin zur Group-HR gegangen und habe mir einen Ansprechpartner gesucht. Dann habe ich die Kommunikationsabteilung kontaktiert, weil ich einen direkten Draht zur internen Kommunikation brauche. Auch einen Kontakt zum Helpdesk habe ich aufgebaut, denn dort landen die ersten Fragen von der Mitarbeiterschaft. Mit diesen Personen treffe ich mich zweimal im Monat. Ich glaube, dass ein gut ausgebautes Netzwerk das A und O ist. Denn warum sollten Security-Leute oder IT-Angestellte jetzt auf einmal pädagogische Kenntnisse haben oder kommunizieren müssen? Das ist nicht ihre Hauptaufgabe und das haben sie auch nicht gelernt.
Genau aus diesem Grund ist es so wichtig, eine vernünftige Security-Kultur zu etablieren, die auch von allen Seiten getragen wird. Ich möchte, dass bei den Mitarbeitenden eine Verhaltensänderung erfolgt. Auch bei denen, die sich schon mit Security und IT beschäftigen. Das bringt mich zu einem weiteren Aspekt. Wir versuchen immer, Angestellte zu ändern. Aber wir versuchen nicht, die Technologie oder die Prozesse zu ändern. Warum gucken wir nicht erst mal auf die Prozesse? Vielleicht sind einfach die Prozesse schlecht anwendbar oder viel zu kompliziert.
Christian Laber: Ein anderes Thema, über das ich mit dir sprechen wollte, ist die Messbarkeit. Aus meiner Sicht ist das kein Thema, das ich in irgendeinen Index packen oder ich sofort taggleich reporten kann. Die Aussage, dass etwa Markus Bayer zu 3,7 Prozent ein Risikofaktor ist, hilft auch nur bedingt weiter. Aber immer wieder fragen mich Geschäftsleitungen, ob die Trainings was bringen und woran sie das ablesen können. Eigentlich müssen wir doch verstehen, dass es um Menschen und nicht um Technologie geht.
Marcus Beyer: Natürlich kann ich gewisse Dinge messen und diese lassen sich auch zeigen. Wenn ich sage, dass wir eine Abschlussquote von 87 Prozent haben, dann muss ich mir die Frage gefallen lassen, warum wir im Training keine Abschussquote von 100 schaffen. Dabei ist die Antwort banal, denn Angestellte haben Urlaub, sind in Elternzeit oder vielleicht auch langzeitkrank. Ich bin mit 87 Prozent sehr happy.
Bei unserer Phishing-Simulation interessiert mich die Klickrate überhaupt nicht mehr. Die liegt jetzt bei 2,6 Prozent und als wir damit angefangen haben, waren es mehr als 46 Prozent. Für mich ist doch viel wichtiger zu wissen, wie schnell die Leute eine Phishing-Mail über den Meldebutton melden. Das ist für mich derzeit ein entscheidender Zeitfaktor.
Ich werde auch immer gefragt, wie wir den Erfolg unserer Maßnahmen messen können. Aber mir konnte noch niemand beweisen, dass er quantitativ, also mit Form eines Fragebogens menschliches Verhalten messen kann. Man kann eine Einstellung messen, man kann sehen, wie die Leute drauf sind, ob sie Bock haben, sich damit zu beschäftigen (oder so). Aber am Ende des Tages sind das alles nur Menschen.
Für mich ist doch viel wichtiger zu wissen, wie schnell die Leute eine Phishing-Mail über den Meldebutton melden. Das ist für mich derzeit ein entscheidender Zeitfaktor.
Christian Laber: Wer ganz am Anfang bei Awareness Trainings steht, stellt sich oft die Frage, wie man das Thema am besten angehen kann. Welchen Tipp würdest du hier geben?
Marcus Beyer: Also aus meiner Sicht sollten Unternehmen vorne anfangen. Einfach mal einen Pentester ins Haus holen und sich zeigen lassen, wie ein Angriff abläuft. Ich finde das immer sehr Augen öffnend. Aber ich bin teilweise wirklich froh, wenn überhaupt etwas passiert.
Christian Laber: Und eine allerletzte Frage: Wohin geht eigentlich die Reise auf dem Awareness-Markt? Was siehst du denn so in den nächsten Jahren?
Marcus Beyer: Das ist eine gute Frage. Ich bin überzeugt, dass sich größere Unternehmen bewusst sind, dass sie für ihre Awareness-Reise eine dedizierte Stelle, also einen Security Awareness Officer brauchen. Dann glaube ich auch, dass uns KI einiges abnehmen wird. Wir haben auch bei Swisscom ein eigenes Swisscom GPT. Damit machen wir Erklärtexte und auch Bilder. Aber auch auf Angreiferseite ist KI natürlich das große Thema wie Deep Fake oder Deep Voice. Phishing-Mails lassen sich ebenfalls mit KI besser gestalten und Mails sind immer noch der Angriffspunkt Nummer eins.
Christian Laber: Vielen Dank für das Gespräch.