Security-Strategie in Unternehmen
Gamification für mehr IT-Sicherheit
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Hacks und Cyberangriffe auf Unternehmen, immer größere und verheerendere Datenlecks - der Spaß ist beim Thema IT-Security längst vorbei. Immer neue Security-Lecks, Schwachstellen und Angriffsvektoren lassen Unternehmen neue Wege zur Schaffung von Awareness unter ihren Mitarbeitern suchen. Ein Ansatz ist dabei der Einsatz von Gamification, der die Angestellten die Erfolgsmethoden - neudeutsch auch Best Practices - der IT-Sicherheit mit Nachdruck in die Gehirnwindungen pressen soll.
So profitiert IT-Security von Gamification
Was sich jetzt vielleicht ein wenig ruppig liest, meint den Prozess, Mitarbeiter zum Nachdenken und zu Verhaltensänderungen zu bewegen - und zwar durch die Anwendung von spielerischen Mechaniken im Arbeitsalltag. Einfacher ausgedrückt: das was in einem Spiel für Spaß sorgt, kommt in Situationen zur Anwendung, die unter Umständen gar nicht so spaßig sind.
Durch die Anwendung von Gamification (zum Beispiel in Form von Wettbewerben oder Prämien-Programmen) können Unternehmen neue Wege ergründen, wenn es um die Schulung und Sensibilisierung ihrer Mitarbeiter in Sachen IT-SecurityIT-Security geht. Mark Stevens, seines Zeichens Senior Vice President of Global Services beim US-Sicherheitsanbieter Digital Guardian, gibt Ihnen nun sieben gute Gründe dafür, warum sich die Verschmelzung von IT-Sicherheit und Gamification lohnt. Alles zu Security auf CIO.de
- Belohnung erwünscht
Belohnen Sie Mitarbeiter, die sich an die Unternehmensvorgaben beziehungsweise Sicherheitsrichtlinien halten. Das wird diese wiederum anspornen, ihr Verhalten beizubehalten. Ein Beispiel für Gamification wäre in diesem Zusammenhang, dass Mitarbeiter digitale (oder physische) Plaketten, Pokale oder Auszeichnungen erhalten - etwa wenn Sie es schaffen, 100 E-Mails ohne Compliance-Verstoß zu verschicken. - Anreize schaffen
Wenn ein Angestellter in ihrem Unternehmen bereits eine beeindruckende Sammlung an digitalen Auszeichnungen erlangt hat, bieten Sie ihm die Möglichkeit, diese gegen "echte" Vorteile einzutauschen - zum Beispiel Geschenkgutscheine oder Sonderzulagen. - Offener Dialog
Durch den Einsatz von Gamification können Unternehmen einen neuen Umgang mit dem Thema Datenschutz fördern. Statt externe Spezialisten gähnend langweilige Vorträge über Compliance und Datenschutz halten zu lassen, könnte ein offener Dialog zwischen den Mitarbeitern entstehen, in dem diese sich - auf Basis ihrer Erfolge, Herausforderungen und Erfahrungen im Gamification-System - aus freien Stücken über Best Practices austauschen. - Bewusstseinsbildung
Cybersecurity-Trainings sind am effektivsten, wenn sie einmal pro Jahr abgehalten werden. Allerdings hält sich ein großer Teil der Unternehmen nicht an diesen Zyklus, in der Regel aus Zeit- und/oder Kostengründen. Durch den Einsatz von Gamification sind Mitarbeiter eher in der Lage, eigenes Fehlverhalten anzuerkennen, die Folgen ihres Handelns zu erkennen und ihr Verhalten auf lange Sicht zu ändern. - Engagement fördern
Sie sollten Ihre Angestellten dazu ermutigen, ihre Auszeichnungen am Arbeitsplatz zur Schau zu stellen. Außerdem sollten Sie ihren Führungskräften auftragen, gutes Verhalten dadurch zu belohnen, dass eine monatliche Bestenliste veröffentlicht wird (Mitbestimmung beachten!). Ranglisten und Auszeichnungen sorgen dafür, dass die Spielteilnehmer sofort ins Game hineingezogen werden. Davon abgesehen fördert ein solches Vorgehen die interne Kommunikation, wodurch wiederum das Engagement aller Mitarbeiter gestärkt wird. - Fachkräfte finden
Immer noch ringt die IT-Branche mit einem ausgeprägten Fachkräftemangel - insbesondere wenn es um das Thema IT-Sicherheit geht. Einige Organisationen - etwa die britische Cyber Security Challenge - haben es sich zur Aufgabe gemacht, dieses Problem mit jährlichen Wettbewerben zu lösen. Bei diesen Veranstaltungen werden die Teilnehmer mit simulierten Bedrohungssituationen konfrontiert, die sie dann auf Grundlage ihrer Fähigkeiten meistern müssen. Die Gewinner bekommen in der Regel lukrative Job-Angebote von großen IT-Unternehmen oder Regierungsinstitutionen, die die Challenge mit Sponsorgeldern unterstützen. - Kontrolle ist besser
Natürlich kann der Einsatz von Gamification nur dann Früchte tragen, wenn die Mitarbeiter das Gelernte auch auf Szenarien in der echten Welt anwenden. Um das sicherzustellen, sollten Unternehmen unbedingt die Effektivität ihrer Gamification-Bemühungen an der Entwicklung des realen Risikopotentials messen. Zu diesem Zweck sollten Sie regelmäßige, interne Prüfungen durchführen, um herauszufinden welche Mitarbeiter trotz aller Bemühungen immer noch ein Sicherheitsrisiko darstellen.
Gamification im Unternehmenseinsatz
Der Einsatz von Gamification kann Unternehmen jedoch nicht nur beim Thema IT-Sicherheit neue Möglichkeiten der Mitarbeitermotivation und so schlussendlich mehr Produktivität bescheren. Bereits in der Vergangenheit berichtete die COMPUTERWOCHE über zahlreiche Projekte in diesem Zusammenhang. Sogar ein gemeinhin eher abgeschlafftes Themengebiet wie Controlling kann durch den Einsatz spielerischer Elemente an Attraktivität gewinnen. Auch im Bereich Big Data und Analytics versprechen sich Unternehmen positive Effekte. Dabei sollten Sie allerdings nicht vergessen, dass der Einsatz von Gamification auch Risiken birgt, die Sie sich unbedingt im Vorfeld bewusst machen sollten.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Dieser Beitrag basiert in Teilen auf einem Artikel unserer Schwesterpublikation csoonline.com.