Blog
Sicherheitsbewusstseinstraining
DICE: Eine Weiterentwicklung des ACE-Frameworks für Sicherheitsschulungen
Identity Threat Defense

DICE: Eine Weiterentwicklung des ACE-Frameworks für Sicherheitsschulungen

Share with your network!
Dr. Bob Hausmann und Kimberly Pavelich

Vor drei Jahren hat Proofpoint eine Kurzvorstellung veröffentlicht, die eine Drei-Phasen-Methode für die Entwicklung eines effektiven Security-Awareness-Schulungsprogramms vorstellt. Diese als ACE-Framework bezeichnete Methode ist hervorragend für die Entwicklung eines soliden, langfristigen Lehrplans zu grundlegenden Cybersicherheitsthemen geeignet.

Vereinfacht gesagt, setzt das ACE-Framework beim aktuellen Kompetenzniveau der Lernenden an und verbessert ihre Kenntnisse in diesem komplexen Bereich. Daher erhalten Sie mit dieser Methode ein proaktives Security-Awareness-Programm.

Die Bedrohungslandschaft entwickelt sich jedoch ständig weiter. In den letzten zwei Jahren verzeichneten wir eine Zunahme bei Phishing-Angriffen mit QR-Codes sowie beim Missbrauch von Chatbots und großen Sprachmodellen (LLMs). Darüber hinaus wissen wir, dass Mitarbeiter wissentlich riskant handeln. Wie können wir also mit diesen dynamischen und kurzfristigen Sicherheitsherausforderungen umgehen?

Unsere Antwort auf diese Frage ist die Weiterentwicklung des ACE-Frameworks zum DICE-Framework. Im Folgenden erfahren Sie, wie diese beiden Frameworks aussehen, in welcher Beziehung sie zueinander stehen und wie man sie nutzt.

Grundlagen des ACE-Frameworks

Das ACE-Framework ist ein proaktiver Ansatz für Sicherheitsschulungen und umfasst die drei Phasen Assess (Bewerten), Change Behavior (Verhalten ändern) und Evaluate (Evaluieren):

  1. Bewerten: Zu Beginn machen sich Ihre Lernenden anhand von Tests, Simulationen und Umfragen mit dem Thema vertraut.
  2. Verhalten ändern: Die Interventionen stützen sich auf kognitionswissenschaftlichen Lernprinzipien. Sie sollen das Verständnis der Lernenden für die Sicherheit erhöhen und sie motivieren, im Bedarfsfall die richtigen Maßnahmen zu ergreifen.
  3. Evaluieren: In der letzten Phase analysieren Sie die Wirksamkeit der Schulungsmaßnahmen.

Sobald diese Phasen abgeschlossen sind, beginnt der Prozess wieder von Neuem, denn seien wir ehrlich: Cybersicherheitsschulungen sind niemals ganz abgeschlossen.

Die Weiterentwicklung des ACE-Frameworks: DICE

Bei der Weiterentwicklung des ACE-Frameworks unterteilen wir die erste Phase (Bewerten), in die Prozesse Detect (Erkennen) und Intervene (Intervenieren).

  1. Erkennen: Hier kann es um die Erkennung externer oder interner Bedrohungen gehen. Externe Bedrohungen sind in der Regel Angriffe, die sich gegen eine Einzelperson richten, z. B. eine von Proofpoint Targeted Attack Protection identifizierte BEC-E-Mail (Business Email Compromise). Bei internen Bedrohungen geht es oft darum, das Verhalten einer Einzelperson zu betrachten und zu entscheiden, ob es den Unternehmensrichtlinien entspricht (z. B. bei der Meldung eines Phishing-Falls) oder nicht (z. B. bei der Verwendung eines nicht genehmigten USB-Geräts). Letzterer Fall wird als Verstoß gegen die DLP-Richtlinie (Datenverlustprävention) eingestuft.
  2. Intervenieren: Sobald riskantes Verhalten erkannt wird, muss eingegriffen werden. Idealerweise erfolgt die Intervention zum unmittelbaren Zeitpunkt des Vorfalls. Es kann zum Beispiel eine Belehrung angezeigt werden, wenn ein Lernender bei einer Phishing-Simulation versagt. Andere Maßnahmen können in diesem Fall einige Tage später erfolgen, zum Beispiel weil bei Nichterkennen der Phishing-Simulation automatisch eine Schulung zum Thema Phishing zugewiesen wurde.

Die letzten beiden Phasen des DICE-Frameworks folgen weitgehend dem gleichen Muster wie das ACE-Framework.

ACE-Framework und DICE-Framework im Vergleich

Die Weiterentwicklung des ACE-Frameworks zum DICE-Framework. Die Bewertungsphase ist in den Erkennungs- und den Interventionsprozess unterteilt. Die Verhaltensänderungs- und die Evaluierungsphase bleiben nahezu unverändert.

Wann sollte die DICE-Methode angewendet?

Das DICE-Framework ist reaktiver als ACE, weil es sich mit sicherheitsrelevanten Problemen befasst, die im jeweiligen Moment auftreten. Darüber hinaus passt DICE gut zu einem Cybersicherheitsansatz, der sich auf die Abwehr personenbezogener Risiken konzentriert (Human Risk Management (HRM)), weil die Schulungen kontinuierlich stattfinden und sich nach dem Wissensbedarf der Lernenden richten.

Wir empfehlen die Verwendung des DICE-Frameworks in folgenden Situationen:

1. Ihr Unternehmen wird mit neuen Bedrohungen konfrontiert. In diesem Fall müssen Sie Ihre Mitarbeiter schnell über diese neuen Angriffsformen informieren und Ihnen Folgendes vermitteln:

  • Worauf müssen sie achten?
  • Wie sollen sie potenzielle Angriffe melden?
  • Welche Konsequenzen können diese Angriffe haben?

2. Es wurden unsichere Verhaltensweisen erkannt. Entsprechende Meldungen können von Proofpoint-Diensten oder Drittanbieter-Integrationen kommen. Dann müssen Sie Ihre Mitarbeiter zu den empfohlenen Vorgehensweisen nachschulen bzw. zu deren konsequenter Anwendung motivieren (vgl. Nudge-Theorie).

Fazit

Wir sind der Meinung, dass Sicherheitsschulungen am besten mit zwei sich ergänzenden Ansätzen gelingen. Ein proaktiver Ansatz (ACE) vermittelt grundlegendes Wissen, während ein reaktiver Ansatz (DICE) das Kernwissen durch laufende, sofort anwendbare Informationen ergänzt. Auf diese Weise wird Lernenden das erforderliche Wissen vermittelt, das sie zur sicheren Erledigung ihrer Arbeit benötigen.

Erfahren Sie mehr über offensive und defensive Sicherheitsschulungen.

Previous Blog Post