profile

Michael Mayer

Security Policies: Vom Flurfunk zum Pamphlet

Published about 2 months ago • 5 min read

"Ich habe da eine komische E-Mail erhalten. Weißt du, was man da machen soll?"

"Nein, frag mal Markus vom Einkauf. Der kennt sich da aus!"

Das ist wie Schulung per stille Post. Kann man machen, aber was dabei rauskommt, weiß jedes Kind.

Der krasse Kontrast sind Konzerne mit IT-Security-Richtlinien, die so lang sind wie die StVO. Jeder sollte sie kennen, aber eigentlich fahren alle "nach Gefühl". Und wenn es kracht, zeigt man gegenseitig den Finger aufeinander.

Die Lösung? T-Shirt-Size: XM … also EXTRA Medium!

Aber, vorher noch ein kurzer Exkurs …

Statische Dokumente

Wenn Firmen sich die Mühe gemacht haben, eine Security-Policy zu erstellen, dann ist die meistens ziemlich umfangreich. Man versucht, so viele Informationen und Präventionen in ein zentrales Dokument zu packen, dass man alles beisammen hat. Ein echtes Nachschlagewerk … quasi der Security-Brockhaus. Von A wie Anti-Virus bis Z wie Zero-Trust.

Das hängt dann in den ersten Wochen penetrant auf der Startseite im Intranet und verschwindet dann irgendwann im 57. Untermenü, oder gammelt als PDF auf einem SharePoint der IT-Abteilung herum. Mit der Zeit wissen die Mitarbeiter dann nicht mal, wo sie ist, geschweige denn, dass es eine gibt.

Ich habe das schon zu oft miterlebt und es tut mir immer noch weh.

So macht man keine Security Awareness für IT-Anwender. Wenn das Wissen nicht in der Praxis ankommt, ist es wertlos.

Flurfunk

Wie ich schon gesagt habe, ist es nicht gut, wenn sich Mitarbeiter gegenseitig Richtlinien erzählen. Da gehen so lange wichtige Details verloren, bis das genaue Gegenteil, zur gelebten Kultur wird.

Von: “Bei verdächtigen E-Mails von externen Sendern, dürfen keine Links angeklickt und keine Anhänge geöffnet werden. Sie müssen über den “Melden” Button in Outlook gemeldet werden.”

Zu: “Klick ja keine Links in Mails an und öffne auch keine Anhänge. Lösch sie einfach, ist zu riskant.”

Problem: Der eigenen IT und auch externen Partnern und Kunden wird misstraut. Ein erzeugt ein verzerrtes Bild, hemmt bei der Arbeit, man lebt in Angst etwas falsch zu machen und obendrauf kriegt die IT dann nicht mal mehr mit, wenn etwas durch den Spamfilter rutscht. Das ist nicht gut!

Multiple-Choice schafft keine Awareness

Ich finde es super, wenn du deine Mitarbeiter regelmäßig auf Security-Awareness schulst. Steter Tropfen höhlt die Birne, oder so … 🍐

Aber mit Multiple-Choice-Tests kannst du zwar das Wissen deiner Mitarbeiter prüfen und verbessern. Das ändert aber nichts an ihrem Verhalten. Ich vergleiche das gerne mit Fahrsicherheitstrainings. Du musst erst mal selbst über die Schleuderplatte fahren, um zu fühlen, in welche Richtung dein Popometer ausschlägt. Erst dann erfährst du, was du dagegen tun kannst. Das kann man nicht mit Stift und Papier lernen.

Ich habe bereits einen Artikel über Awareness durch Gamification geschrieben. Wenn du schulen möchtest, dann am besten hands-on.

Security-Richtlinie: Enzyklopädie oder Post-It?

Eine Security-Richtlinie ist keine Anleitung für eine ISO27001-Zertifizierung. Du musst also nur die Punkte integrieren, die unbedingt für die tägliche Arbeit von IT-Anwendern nötig sind. Wenn du auch die Tätigkeit von Admins regeln möchtest, dann erstell einfach ein ergänzendes Dokument und gib sie auch nur den Admins.

Das krasse Gegenteil wäre ein ⚠️-Schild neben dem Monitor. Achtung, Internet. Wenn klar ist, was damit gemeint ist, wie bei einem Schild mit der Aufschrift "Rutschiger Boden", dann kannst du das machen. Das bezweifle ich bei IT-Security aber einfach mal generell. 😬

Du kannst also die "Dos and Don'ts" ruhig etwas ausführlicher beschreiben. Stell dir einfach die Sicherheitskarte im Flugzeug vor. Dort wird dir auch nicht die Luftfahrtverordnung erklärt, aber alle wissen, wo die Schwimmweste ist und wie sie aufgeht.

Der Mittelweg: Ein Pamphlet zur gelebten Kultur

Das Wort "Pamphlet" hat mehrere Bedeutungen. "Broschüre", aber auch "satirisches Schriftstück". Wir wollen beides! Die IT und IT-Security nehmen sich oft zu ernst. Das merken auch die Anwender. Ein bisschen Humor kann nie schaden. Quelle: Ich bin Wiener und kenn mich da aus. 😁

Lieber ein kurzes Pamphlet als Leitfaden, das neugierig macht, als ein 42 Seiten PDF, das niemand liest, außer den Erstellern. Das kann man sich auch einfacher ausdrucken und griffbereit haben. Ja, auch als PDF, oder in den Favoriten.

Wenn ich so viele Klicks auf meinen wöchentlichen Newsletter hätte wie auf meine täglichen Security-Snippets auf LinkedIn, würde ich JEDEN Tag einen Newsletter schreiben! Short-Form-Content ist nicht umsonst voll im Trend!

Das heißt jetzt nicht, dass die große Sicherheitsrichtlinie überflüssig wird. Definitiv nicht! Lass sie von neuen Mitarbeitern lesen und verstehen, während sie eingearbeitet werden, oder hol sie beim jährlichen Checkup mal raus. Für den Alltag ist sie aber nichts. Wie die StVo – außer, du bist Anwalt für Verkehrsrecht! 😁

Richtlinien müssen Spaß machen

Nein, ernsthaft! Dreh deine Gedanken mal um 180° und überleg dir, was du tun müsstest, damit ABSOLUT NIEMAND Lust hat, deine Security-Policy zu lesen, zu lernen und anzuwenden. 🤔

  • Mach sie unendlich lang
  • Mach sie unendlich komplex
  • Gehe sehr technisch tief ins Detail
  • Verwende Begriffe, die du sonst NIE im Gespräch sagen würdest, wie
    • "Zur Kenntnisnahme und Beachtung"
    • "Im Sinne der geltenden Vorschriften"
    • "Zugriffsberechtigungsmanagementprozess"

Dämmerts? Gut!

Es gibt so viele bessere Formate, um Menschen etwas beizubringen. Du kannst FAQs erstellen, mit kurzen und prägnanten Antworten über Themen, die Leute tatsächlich und oft fragen. Ich würde einfach mal den IT-Support nach deren Top10 fragen.

Du kannst auch einen wöchentlichen Newsletter mit 2-3 Nuggets versenden. Nicht mehr und nicht weniger! Es soll eher ein kurzer Reminder sein als eine Belehrung.

Kurze Erklär- oder Demo-Videos mit maximal 5 Minuten funktionieren auch perfekt. Und nein, du musst dafür keine Agentur beauftragen und Unsummen bezahlen. Hol dir eine Loom-Lizenz, ein Ansteck-Mikrofon für 30 € und jemanden aus der IT, der zwei gerade Sätze rausbringt. Nein, das war jetzt keine Schelte. 😁

Jeder vom IT-Support, der Anwendern tagtäglich hilft, kann diese Videos drehen. Zeig den Leuten, was sie wissen müssen. "Kannst du mir mal zeigen, wie eine Ransomware aussieht und wie ein schadhaftes Office-Makro?" "Und was passiert, wenn man draufklickt?" Aber bitte in einer abgeschotteten Umgebung. 😅 Zeig auch, wie die kleinen und feinen Details zu echten E-Mails aussehen und vor allem, wie man die Unterschiede erkennt.

Auch wenn du über komplizierte Themen wie Compliance sprechen musst, kannst du das unterhaltsam machen. Wenn du schon mal große Projekte in drei PowerPoint-Slides unterteilt hast, kannst du das. Ein paar Slides als bildliche Untermalung und ein paar einfache Sätze, als ob man mit einem Freund über das Thema spricht, reichen schon.

Es muss nicht alles perfekt sein, sondern nur anwendbar und verständlich.

Wenn der Markus vom Einkauf sich eh auskennt, können wir ihn auch die Videos drehen lassen. Ihn fragen sowieso alle. Im Gegensatz zur stillen Post, skalieren Videos und du kannst deren Ausgang bestimmen. 😎

Fazit

Eine Richtlinie ist nur so stark, wie die Leute, die sie umsetzen. Sichtbarkeit und Anwendbarkeit sind der Schlüssel zum Erfolg.

Wenn deine Mitarbeiter nicht den ganzen Tag herumsitzen, haben sie auch keine Zeit, sich eine zig Seiten lange Richtlinie zu lesen, zu verstehen und zu lernen.

Nimm die Kommunikation dafür selbst in die Hand. Erstell Snippets und Clips und lass sie die Mitarbeiter regelmäßig in kleinen Häppchen konsumieren.

Wenn die Richtlinie keiner kennt, ist sie nur ein Gerücht, mach lieber ein Pamphlet draus…

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Stell dir eine IT-Messi-WG vor. Überall liegt Dreck herum, Zettel stapeln sich, Laptops türmen sich zwischen Servern und Geräten, die noch in Verwendung sind – oder auch nicht. Wer weiß das schon? Irgendwann erbarmt sich jemand und startet eine Aufräumaktion. Auf die Frage “Wem gehört dieser Server?” folgt nur Stille. In Filmen würde ein Dornenbusch von links nach rechts rollen, aber dafür ist hier einfach kein Platz. Irgendwann reißt der Geduldsfaden, der Stecker wird gezogen und in einer...

6 days ago • 4 min read

Schach ist ein komplexes Spiel mit klaren Regeln und definierten Feldern. Man spielt zu zweit und hat jeweils die gleichen Figuren und Voraussetzungen. Das Ziel ist klar: Den gegnerischen König zu schlagen, bevor der eigene geschlagen wird. Wenn man gewinnen will, braucht man eine solide Strategie und eine bewährte Taktik. Es gibt viele Parallelen zur Cybersecurity, aber auch einige große Unterschiede. Wer ist dein König? Beim Schach geht es nicht darum, alle Figuren zu retten, sondern nur...

13 days ago • 5 min read

"Welches Recht nimmst du dir bitte heraus, um mir sowas anzutun???" "Öh … ich bin doch Admin!" 😬 In einem früheren Beitrag habe ich schon mal über alte Rechte geschrieben. Heute beschäftigen wir uns aber mit Berechtigungen, die auch neu, sehr großzügig vergeben werden. Dazu gibt es einen Fachbegriff: "Principle of Least Privilege". Worum geht es beim Principle of Least-Privilege? Die Idee dahinter ist ganz einfach: Jeder hat nur Zugriff auf das, was er auch wirklich braucht. Nicht mehr, aber...

20 days ago • 5 min read