Security Awareness

Zu wenig Zeit, Geld und Rückendeckung

Das SANS Institut bewertet mit dem „Securing Human Security Awareness Report 2016“ den aktuellen Status von Sicherheitsprogrammen in aller Welt. Als wichtigste Probleme, mit denen sich Experten für Security Awareness konfrontiert sehen, nennt der Bericht Mangel an Ressourcen, Unterstützung, Zeit und Soft Skills.

Der Securing Human Security Awareness Report 2016 der Aus- und Weiterbildungsorganisation SANS Institut liefert eine detaillierte Analyse besonderer Herausforderungen, ihrer Ursachen sowie der Maßnahmen, mit denen Unternehmen diese anzugehen und zu überwinden versuchen. Als wichtigste Erkenntnisse, mit denen sich Experten für Security Awareness beschäftigen müssen, nennt der Bericht Mangel an Ressourcen, Unterstützung, Zeit und Soft Skills. Die Ausarbeitung eines ausgereiften Programms zur Stärkung des Sicherheitsbewusstseins steht somit für Unternehmen ganz oben auf der Agenda.

Dass Experten für Security Awareness-Programme in ihrer Handlungsfähigkeit eingeschränkt sind, wird ebenfalls aus dem Report deutlich: Als die drei größten Einschränkungen nannten die Befragten hier den Mangel an Unterstützung durch die Führungsebene, ein begrenztes Budget sowie Zeitmangel. Über 50 Prozent der Awareness-Mitarbeiter hat ein Budget von 5.000 US-Dollar oder weniger zur Verfügung. Nur 25 Prozent gaben ein Budget von 25.000 US-Dollar oder mehr an. Weniger als 15 Prozent des Awareness-Personals widmet sich seiner Aufgabe in Vollzeit. Über 65 Prozent der Befragten berichteten, sie würden weniger als ein Viertel ihrer Zeit auf Awareness verwenden. 35 Prozent gaben hingegen an, aus der Führungsetage nicht die notwendige Unterstützung zu bekommen.

„Die Mehrheit derer, die an der Securing the Human-Komponente arbeiten, verbringt damit bestenfalls zehn Stunden pro Woche. Überlegen wir einmal, wie gut die Sicherheit eines Unternehmen wäre, wenn das Incident-Response- oder Netzwerksicherheitsteam seiner Aufgabe lediglich zehn Stunden pro Woche nachginge: katastrophal. Dieses Problem beschränkt sich nicht nur auf kleine Unternehmen, sondert betrifft Unternehmen jeder Größe“, erklärt Lance Spitzner, Trainer für Security Awareness beim SANS Institut.

Ein großer Teil aller Security Awareness-Programme basiert auf Soft Skills wie Change Management, Lerntheorie und Verhaltensmodellierung. Security Awareness-Experten müssen ihren Mitarbeitern in einfachen, verständlichen Worten erklären, warum Awareness wichtig für sie ist und was ihre Aufgaben diesbezüglich sind. Jedoch mangelt es den Personen, die diese Programme kommunizieren, oft an den wesentlichen Soft Skills. Über 80 Prozent der Security Awareness-Mitarbeiter haben einen technischen Hintergrund und verfügen über Fähigkeiten wie Debuggen von Netzwerk-Traffic, Aufbau von Webseiten oder Sicherung eines Servers. Dies bedeutet jedoch auch, dass viele Security-Awareness-Teams die bewährten Konzepte und Techniken zur Änderung von Verhalten und Kultur nicht verstehen. „Die Kommunikationsfähigkeit ist ein weiterer fehlender Soft Skill, der jedoch unabdingbar ist. Unter Kommunikation verstehen wir das zielgerichtete Vermitteln von Inhalten an die Mitarbeiter, das Anwenden verschiedener Kommunikationsmethoden sowie das Erstellen einer Roadmap, die all dies zusammenfasst“, sagt Lance Spitzner.

Autor: Peter Schmitz

(c)2016 Vogel Business Media

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.