ComConsult auf der Human Firewall Conference 2025

Perspektivwechsel gewünscht!

In der Informationssicherheit hat man sich mittlerweile daran gewöhnt, als Spielverderber wahrgenommen zu werden. Immer mehr Unternehmen haben die Wichtigkeit des Schutzes der eigenen digitalen Infrastruktur anerkannt, oder sind mit Anforderungen von Geschäftspartnern und nicht zuletzt der NIS-2-Richtlinie konfrontiert. Dafür wollen nicht nur Aktenschränke abgeschlossen, Netze segmentiert und Geheimhaltungsvereinbarungen geschlossen, sondern vor allem das Bewusstsein bei Mitarbeitenden und Kollegen für einen sicheren und verantwortungsvollen Umgang mit Informationen geschaffen werden.

Bei der Vermittlung dieses Bewusstseins stoßen viele Unternehmen an ihre Grenzen. Langweilige Frontalschulungen reihen sich ein neben den üblichen Compliance-Themen, bei drögen Videoschulungen machen Mitarbeiter eher einen Wettbewerb daraus, wer die Module am schnellsten durchklicken kann, statt den Inhalten Aufmerksamkeit zu schenken.

Wer mag es ihnen auch verübeln, wenn der mahnende Zeigefinger erhoben ist? Im Bereich Awareness ist der sonst so sinnvolle risikobasierte Ansatz der Informationssicherheit leider eher hinderlich. Zumindest wenn dem Mitarbeiter direkt vermittelt wird, dass in ihm die größte Gefahr für die unternehmenseigenen Informationen gesehen wird.

Stattdessen ist der Ansatz, in jedem Mitarbeiter eine Chance zu erkennen. Denn aus einer Managementperspektive können weder alle Prozesse im Unternehmen im Detail bekannt sein, noch kann ihre korrekte und sichere Ausführung kontrolliert werden. Wenn durch zielgerichtete und interessante Schulungs- und Sensibilisierungsmaßnahmen erreicht werden kann, dass alle Mitarbeiter ein Verständnis von Vertraulichkeit und das unternehmenseigene Risikobewusstsein teilen, und diese auf ihre tägliche Arbeit übertragen, sind diese Mitarbeiter nicht mehr das schwächste Glied in der Kette meiner Maßnahmen, sondern spannen ein an vielen Stellen verankertes Sicherheitsnetz.

Der Ausrichter der mittlerweile vierten HuFiCon, SoSafe, versteht sich darauf, den Perspektivwechsel des Mitarbeiters als größte Chance, statt als größtes Risiko nicht nur im eigenen Produkt sondern auch bei den Teilnehmern der Veranstaltung anzuregen.

Informationssicherheit und KI

Das Thema des verantwortungsvollen Einsatzes der Künstlichen Intelligenz liegt derzeit im Fokus der Informationssicherheit – zwar gibt es z.B. die Norm ISO 42001, die ein KI-Managementsystem analog zu anderen Managementsystemen und so auch einem ISMS spezifiziert. In den meisten Unternehmen wird die Entscheidung für eine solche eigene Verantwortlichkeit oder Abteilung und vor allem der Aufbau und die Etablierung, wenn überhaupt, noch einige Zeit kosten. So lange werden wohl ISBs und CISOs zusammen mit Datenschutzverantwortlichen die KI-Systeme als Assets in ihren Informationssicherheitsmanagementsystemen bewerten und die damit verbundenen Risiken behandeln müssen.

Denn was die (potenziell) drei Bereiche vereint, ist ein Fokus auf Sicherheit der Daten und Informationen. Mit dem Fokus Mensch als Sicheerheitsmaßnahme ist es hier wichtig, den Fokus auf der Vermittlung des Schutzbedarfs der verwendeten Informationen und der damit verbundenen Nutzungsbedingungen und Risiken gekonnt zu vermitteln.

Jasmine Jalava und Dr. Gundula Zerbes sprachen in diesem Zuge über die Notwendigkeit, in besonderen Schulungen Mitarbeiter für den Umgang mit KI zu wappnen. Es liegt in der Verantwortung eines Unternehmens, jedem Mitarbeiter verständlich zu vermitteln, wie sensibel genau die Daten und Informationen sind, mit denen er/sie täglich arbeitet, und wie diese genutzt werden dürfen. Die Sensibilisierung dafür, dass z.B. eine Tabelle mit Betriebsausgaben eine vertrauliche Information darstellt, und dass ein kostenfreies, im Internet verfügbares Datenauswertungstool mit neuen KI-Features nicht zum Kreis der vertrauten Dienste gehört, ist nicht trivial. Hervorgehoben wurde auch hier wieder, dass Mitarbeiter nicht hauptsächlich als Bösewichte wahrgenommen werden sollen, die KI nutzten, die noch nicht freigegeben wurde. Vielmehr können sie auch in diesem Bereich als Multiplikatoren dienen und Chancen aufzeigen, wie die eigenen Arbeitsprozesse durch KI optimiert werden können. Neben Informationssicherheitsbewusstsein spielt hier der Begriff

AI Literacy oder KI-Kompetenz hinein. Dazu zählt nicht nur „Was darf ich mit KI nicht machen?“ sondern auch „Was kann ich mit KI machen“?

Bedrohungslage oder Threat Landscape

Schon im ersten einführenden Vortrag wurde jedoch auch auf die umfassenden Bedrohungen in Zusammenhang mit Künstlicher Intelligenz aufmerksam gemacht. Denn das Ignorieren der Risiken in Zusammenhang mit der Nutzung von KI hilft der Angreifer-Seite. Bei diesen gibt es weder ethische Bedenken noch Regularien wie die EU KI-Richtlinie zu beachten. So kann Dr. Niklas Hellemann, die Statistiken aus den letzten Jahren zusammenfassend, feststellen, dass der Bereich, in dem KI am meisten genutzt ist, der der Cyberangriffe ist. Hier sei eine massive Zunahme sowohl in der Geschwindigkeit der Ausnutzung von Schwachstellen als auch in der Genauigkeit der Angriffe zu verzeichnen.

Die Tradition weitergeführt, einen bekannten deutschsprachigen Autor eine Einschätzung bzw. Perspektive zur Informationssicherheit geben zu lassen, wurde in diesem Jahr fortgeführt. Wladimir Kaminer sprach in seinem Beitrag “Meine Mutter, der Algorithmus und ich” über den Menschen in der digitalen Welt und legte damit den Fokus wiederum auf das menschliche Befinden. Und auch eine politische Einschätzung aus erster Hand fand eine Plattform: Der (unter anderem) ehemalige deutsche Außenminister Sigmar Gabriel konnte in einer Podiumsdiskussion zur internationalen Sicherheitslage die aktuellen geopolitischen Bedrohungen in einen Kontext für konkrete Gefährdungen für Unternehmen einordnen.

Inge van der Beijl ordnete diese in ihre Erfahrungen in der Verhandlung mit Cyberkriminellen ein. Denn hinter organisierten Hacker-Firmen, die mit Erpressung nach Verschlüsselung von Unternehmensdaten oder der Drohung ihren Umsatz machen, diese zu veröffentlichen, stecken immer noch Menschen. Sie erklärte auch, dass im Kontakt mit diesen Angreifern äußerste Expertise und Kontrolle gefragt seien, da jede Kommunikation potenziell weitere Informationen preisgäbe, die das Ausmaß des Angriffs noch verschlimmern könnten. Platz fand der Beitrag von Frau van der Beijl auf der Konferenz gerade deshalb, weil viele Ransomware-Angriffe das Einfallstor über den Menschen nehmen.

Werkzeuge und Tools für mehr Awareness

Natürlich kommt man nicht umher, das Produkt des Ausrichters SoSafe genauer kennenzulernen. Die Awarenessplattform vereint die psychologische und sozialwissenschaftliche Perspektive des Unternehmens und liefert eine enorme Menge anpassbarer Lernmodule, die von Verantwortlichen verpflichtend oder optional an verschiedene Mitarbeitergruppen weitergegeben werden können. Diese können im eigenen Tempo abgearbeitet und jederzeit als Wissensdatenbank referenziert werden. Aufgebaut ist das Ganze sehr spielerisch, um den Spaßfaktor beim Durchführen der Module aufrecht zu erhalten, sowie den Lernerfolg anzutreiben.

Tommy Courtney führte Phishing-Simulationen durch, die von legitimen E-Mails kaum zu unterscheiden waren. Seine Vorstellung des erweiterten Awareness-Tools bietet Verantwortlichen die Möglichkeit, entweder aus einer Vorlagen-Bibliothek adressatengerechte Phishing-Mails auszuwählen, oder selbst mit geringem Aufwand am Beispiel realer Mails die eigene Kampagne zu finetunen. Vom technisch versierten Mitarbeiter bis hin zu Personen mit wenig Berührungspunkten zur Informationstechnik können Phishing-Versuche granular abgestimmt werden. Durch die persönliche und realistische Erfahrung soll so eine nachhaltige Sensibilität im Bereich E-Mailsicherheit für jeden Mitarbeiter erreicht werden. Schließlich handelt es sich beim Schriftverkehr immer noch um die beliebteste Form des Phishings neben neuen Angriffsvektoren wie Quishing (über QR-Codes) oder Voice-Phishing (über Telefonanrufe).

Resümee

Passend zur psychologischen Ausrichtung des Unternehmens hat der Veranstalter der Human Firewall Conference den Menschen im Kontext Informationssicherheit ins Rampenlicht gestellt. Nicht nur als Teilnehmer an Awarenessmaßnahmen, sondern auch als Besucher der Messe in Köln. Interaktive Stände, eine positive Atmosphäre und ein mit bekannten Persönlichkeiten gespicktes Vortragsprogramm machen es leicht, sich für das Thema Informationssicherheit und Awareness zu begeistern. Wir gehen mit neuen Ansätzen zurück in die Beratung unserer Kunden.