Wir haben kürzlich unsere dritte Runde der jährlichen Sicherheitsschulung bei PagerDuty abgeschlossen. Wir bieten zwei Schulungen an: für alle Mitarbeiter , wo wir Themen wie Social Engineering, Passwortverwaltung und Datenverarbeitung diskutieren; und ein weiteres für Engineering-Teams , wo wir häufige Schwachstellen und deren Ausnutzung und Beseitigung besprechen.

Dies sind beides Schulungskurse, die wir intern entwickelt und selbst durchgeführt haben, und ich wollte die Geschichte erzählen, warum wir uns für einen anderen Schulungsansatz als die meisten anderen entschieden haben und wie sich dieser für uns bewährt hat – sowohl die guten als auch die schlechten Seiten.

Ich freue mich außerdem sehr, Ihnen mitteilen zu können, dass wir unsere Sicherheitstraining für die Nutzung durch die Community. Wenn Sie die Geschichte dahinter lieber überspringen und direkt einsteigen möchten, können Sie sie unter https://sudo.pagerduty.com .

Das Problem mit Sicherheitsschulungen

Im Laufe meiner Karriere habe ich an vielen obligatorischen Sicherheitsschulungen teilgenommen. Normalerweise muss man sich auf einer Website anmelden und sich über zwei Stunden lang mehrere nicht überspringbare Videos ansehen, die meist konstruierte und peinliche Rollenspiele beinhalten. Anschließend muss man eine Reihe von Multiple-Choice-Fragen beantworten, wobei man unbegrenzt viele Versuche hat. Ich habe noch nie jemanden getroffen, der diesen Schulungen wirklich aufmerksam zugehört hat, und schlimmer noch: Ich habe noch nie jemanden getroffen, der das Gefühl hatte, seine Zeit gut investiert und etwas Nützliches gelernt zu haben.

Ich verstehe zwar, warum solche Schulungen branchenweit üblich sind: Sie erfordern nur geringe Vorabinvestitionen und ermöglichen Unternehmen die Nachverfolgung der Teilnahme (da möglicherweise Compliance-Anforderungen bestehen, die die Teilnahme an der Schulung dokumentieren und nachverfolgen müssen). Aber wenn niemand an der Schulung teilnimmt, Antworten mit Gewalt erzwungen werden und jeder sie als lästige Pflicht betrachtet, die er ignorieren kann, wozu dann überhaupt noch Schulungen? Das Ankreuzen eines Compliance-Kästchens nützt wenig, wenn Ihre Mitarbeiter nicht gut gegen gängige Sicherheitsbedrohungen geschult sind.

Solche Schulungen waren schon lange ein Ärgernis für mich. Ich schwor mir, wenn ich jemals die Möglichkeit hätte, etwas anders zu machen, würde ich es tun. Bei PagerDuty hatte ich genau diese Chance – und habe sie voll ausgenutzt.

Trainingsphilosophie

Die erste Aufgabe bestand darin, zu entscheiden, wie ich das Training angehen wollte. Was waren meine Ziele? Was hatte ich in der Vergangenheit nicht geschafft? Wie konnte ich das verbessern? Dies sollten meine Leitprinzipien bei der Entwicklung des Materials sein. Schließlich entschied ich mich für diese vier:

1. Lehren Sie das Warum, nicht nur das Was.
2. Scheuen Sie sich nicht vor technischen Details.
3. Machen Sie es für jedes Fähigkeitsniveau zugänglich.
4. Es ist in Ordnung, lustig zu sein.

Lehren Sie das Warum, nicht nur das Was

Ich fand es immer ärgerlich, wenn ich eine Regel oder Anweisung bekam, die ich befolgen sollte, aber keinen Kontext dazu bekam, Warum Ich sollte mich daran halten. Bei der Entwicklung unseres Sicherheitsschulungsprogramms wollte ich unbedingt darüber sprechen, warum bestimmte Regeln existieren, anstatt sie einfach wörtlich aufzusagen und alle zu zwingen, sie zu befolgen.

Wenn ich beispielsweise jedem sage, dass er einen Passwort-Manager verwenden und alle Passwörter lang, zufällig und einzigartig sein sollten, ernte ich wahrscheinlich nur verständnislose Blicke. Die Leute nicken zwar, ignorieren den Rat aber sofort wieder, da es viel einfacher ist, einfach das gleiche Passwort zu verwenden. Wir können zwar das Kästchen ankreuzen, das besagt, dass alle Mitarbeiter an der Schulung teilgenommen haben, aber es bringt keinen wirklichen Nutzen.

Deshalb habe ich mich bei unserem Ansatz zunächst dafür entschieden, den Leuten zu zeigen, warum gutes Passwortmanagement wichtig ist. Ich habe anhand von Beispielen aus der Praxis gezeigt, wie Passwörter geknackt werden, wie einfach es ist, gestohlene Passwörter zu „knacken“ und wie viel schwerer man es einem Angreifer mit einem besseren Passwort machen kann.

Ich habe eine gestohlene Beispieldatenbank genommen und sie durchgearbeitet, um die Passwörter in Echtzeit zu knacken.

Wir begannen damit, Passwörter zu knacken, indem wir einfach auf der Grundlage der uns bereits vorhandenen Informationen rieten, und arbeiteten uns schließlich zu komplizierteren Methoden vor. Am Ende waren alle Passwörter geknackt.

Ich zögerte zunächst, einen solchen Abschnitt einzubauen, da ich befürchtete, er würde Laien abschrecken. Doch ich hätte mich nicht mehr irren können. Es war der spannendste Teil der gesamten Schulung. Den Teilnehmern zu zeigen, wie leicht Passwörter geknackt werden können, war für viele Mitarbeiter augenöffnend. Die Enthüllung am Ende, dass Passwörter bei einigen früheren Sicherheitsverletzungen genau so gespeichert wurden, war für viele Zuhörer der Wendepunkt. Allein dieser Abschnitt veranlasste viele unserer Mitarbeiter, ihre Passwortgewohnheiten zu ändern, worauf ich später noch näher eingehen werde.

Es gab auch einen Abschnitt über Phishing-Versuche. Ich zeigte echte Phishing-Versuche gegen PagerDuty. Manche waren leicht zu erkennen, andere weniger. Wir spielten eine kurze Runde „Reel or Phish“ (zu Wortspielen komme ich später), bei der das Publikum erraten musste, ob eine E-Mail echt war oder ein Phishing-Versuch. Normalerweise bin ich kein Fan von Publikumsbeteiligung bei Präsentationen, deshalb habe ich dafür gesorgt, dass es nicht zu peinlicher Stille kam, wenn niemand etwas sagte. Die Leute haben sich aber wirklich Mühe gegeben und lautstark erklärt, ob sie Beispiele für Phishing-Versuche hielten oder nicht.

Natürlich habe ich auch die Warnsignale für solche Phishing-Versuche aufgezeigt, damit jeder etwas darüber lernen konnte, wie man sie erkennt. Aber anhand von Beispielen aus der Praxis und der Darstellung Warum Dinge sind wichtig, ist einer der Grundpfeiler unserer Ausbildung.

Scheuen Sie sich nicht vor technischen Details

Um zu zeigen, wie Passwörter geknackt werden, mussten wir über Passwort-Hashing sprechen. Allein die Erwähnung des Wortes „Hashing“ lässt bei nicht-technischen Mitarbeitern wahrscheinlich die Augen glasig werden. Deshalb nenne ich es einfach „Magie“. Denn ehrlich gesagt braucht man keine technischen Fachbegriffe, um die Konzepte zu verstehen. Wir können die Dinge einfach und für jeden leicht verständlich halten, anstatt die Leute mit Fachbegriffen abzuschrecken.

Allerdings wollte ich die Leute nicht in die Irre führen. Deshalb haben wir ihnen klar gemacht, dass es sich um einen Fachbegriff handelt; er ist für den Rest des Inhalts einfach nicht wichtig. Hier ist eine Gratwanderung, denn man möchte die Leute nicht bevormunden. Auch hier kommt es darauf an, das „Warum“ zu erklären, nicht nur das „Was“.

Konzepte wie Rainbow Tables lassen sich dann erklären, ohne den eigentlichen Namen nennen zu müssen. Wir können einfach zeigen, wie man eine Nachschlagefunktion erstellt und sie als „magische Liste“ bezeichnet. Die Verwendung einer allgemein verständlichen Sprache stellt sicher, dass die Inhalte für ein möglichst breites Publikum zugänglich sind und gleichzeitig wichtige technische Konzepte vermittelt werden.

Machen Sie es für jedes Fähigkeitsniveau zugänglich

Ich wollte, dass die Inhalte für alle zugänglich sind, unabhängig von ihrem jeweiligen Fachwissen. Das bedeutete, dass wir ausreichend Informationen für diejenigen bereitstellen, die sich bereits gut mit den Inhalten auskennen, aber auch einfache englische Beschreibungen für diejenigen, die sich nicht damit auskennen.

Ich habe versucht, die Konzepte Stück für Stück zu entwickeln, um sicherzustellen, dass alle auf dem gleichen Stand sind. Bei der Multi-Faktor-Authentifizierung hätte ich beispielsweise einfach sagen können, dass es die drei Faktoren „Wissen“, „Besitz“ und „Inhärenz“ gibt, und es dabei belassen. Aber die meisten Leute werden diese Begriffe nicht verstehen. Deshalb habe ich es stattdessen in einfachem Englisch formuliert und einige Beispiele hinzugefügt, um es noch verständlicher zu machen. Genau wie beim „Hashing“ zuvor sind die Fachbegriffe für diejenigen, die damit besser vertraut sind, weiterhin vorhanden.

Es ist okay, lustig zu sein

Sicherheit ist ein ernstes Thema, aber jemandem eine Stunde lang ernsthaft zuzuhören, macht selbst die besten Leute müde. Ich bin ein großer Fan davon, Humor einzubringen, wann immer ich kann. Gerade in ernsten Momenten muss man am meisten lachen. Ich bin zwar kein Meister der Komik (wie meine Familie bestätigen wird), und Ihr Training muss auch kein Stand-up-Programm sein. Aber fügen Sie ab und zu ein lustiges Bild oder eine kleine Botschaft in die Folien ein, damit die Zuhörer aufmerksam sind. Wenn das Publikum über einen schlechten Wortwitz lacht, bleibt die Aufmerksamkeit erhalten und es macht allen mehr Spaß.

Ich empfehle jedoch, den Kontext zu berücksichtigen. Verwenden Sie nicht einfach ein lustiges Katzenbild ohne Kontext. Achten Sie darauf, dass es inhaltlich relevant ist. Hier ist beispielsweise eine wichtige Folie aus dem Training. Sie zeigt einen Phishing-Versuch, bei dem wir einige Indikatoren hervorgehoben haben. Die wichtigen Informationen sind alle vorhanden: Wir zeigen, was mit der E-Mail nicht stimmt und dass es sich um einen Phishing-Versuch handelt. Für alle, die aufmerksam sind, gibt es hier ein nettes kleines Wortspiel.

Ebenso habe ich im Vorfeld des Trainingstermins habe ein paar lustige Poster gemacht Wir haben sie in unseren Büros aufgehängt. Sie dienen einem wichtigen Zweck: Sie erinnern alle an die bevorstehende Sicherheitsschulung, sorgen aber auch für eine lockere Stimmung und sorgen für Lacher – mit vielen kleinen Witzen für alle, die aufmerksam zuhören.

Wie sah es letztendlich aus?

Die Präsentation dauerte 1 Stunde und 15 Minuten, am Ende gab es 15 Minuten für Fragen und Antworten.

Fünf Hauptthemen wurden behandelt:

1. Soziales Engineering: Vorwiegend Phishing, aber auch andere Formen des Social Engineering wurden erwähnt.
2. Passwörter: Ein Crashkurs zum Knacken von Passwörtern und warum sichere Passwörter wichtig sind. Außerdem werden Passwortmanager und ihre Vorteile behandelt.
3. Physische Sicherheit: So schützen Sie die Büros und Geräte von PagerDuty und melden verdächtige Aktivitäten.
4. Datenverarbeitung: Die Arten von Daten, die wir verarbeiten, und wie wir diese Daten sicher verarbeiten.
5. Einhaltung: Beschreibungen verschiedener Compliance-Vorschriften und wie diese uns betreffen.

Natürlich hätten wir noch viele weitere Themen behandeln können, aber wir haben diese ausgewählt, da sie unserer Meinung nach für alle Mitarbeiter am relevantesten sind. Es gibt keine 100%ige Sicherheit, und ebenso wenig gibt es ein Sicherheitstraining, das alles abdeckt. Wir entwickeln unser Schulungsmaterial ständig weiter und werden die Themen in den kommenden Jahren wahrscheinlich ändern, je nachdem, welche Bedrohungen unserer Meinung nach am wichtigsten sind.

Wie war das Feedback?

Am Ende der Schulung konnten die Teilnehmer im Rahmen einer Umfrage optional Feedback geben. Es wurden zwei Fragen gestellt, und es gab ein Feld für zusätzliche Kommentare. Wir erhielten über 300 Antworten auf die Umfrage, die uns wertvolle Daten lieferte.

Die erste Frage war: „Hat Ihnen das Training gefallen?“, Mit einer Bewertung von 1 bis 5, wobei 1 die schlechteste und 5 die beste Bewertung ist. Über 98 % der Antwortenden gaben eine Bewertung von 3 oder höher ab, die durchschnittliche Bewertung lag bei 4,54 von 5 Punkten. (Es ist erwähnenswert, dass ich niemanden bestochen oder durch Social Engineering beeinflusst habe, um diese Bewertungen zu erhalten.)

Die zweite Frage war: „Wie relevant oder hilfreich war es Ihrer Meinung nach für Ihren Job?“, Mit der gleichen Bewertungsskala wie bei der vorherigen Frage. Über 99 % der Antwortenden gaben eine Bewertung von 3 oder höher ab, die durchschnittliche Bewertung lag bei 4,56 von 5 Punkten.

Was lief gut?

Beide Ergebnisse sind äußerst ermutigend und zeigen, wie wertvoll und angenehm die Schulung für die überwiegende Mehrheit unserer Mitarbeiter war.

Dank der Schulung sind noch einige weitere interessante Dinge passiert, die nicht unbedingt im Feedback enthalten waren, auf die ich aber hinweisen wollte:

• Über 30 Mitarbeiter haben kommentiert, wie viel Zeit sie nun mit dem Wechsel zu einem Passwort-Manager verbracht haben. Nicht nur für ihre Mitarbeiterkonten, sondern auch für ihre persönlichen Konten!
• Mehr als 20 Mitarbeiter forderten eine Open-Source- oder bereinigte Version der Folien an, damit sie diese mit ihrer Familie teilen können (mehr dazu gleich).
• Das Sicherheitsbewusstsein scheint im gesamten Unternehmen gestiegen zu sein.

Der größte Gewinn aus meiner Sicht war die Tatsache, dass mehrere Mitarbeiter auf einen Passwort-Manager umgestiegen sind. Das ist enorm, denn wir haben den Leuten nie gesagt, dass sie hatte einen Passwort-Manager zu verwenden! Wir haben lediglich gezeigt, wie Passwörter geknackt werden und warum wir glauben, dass Passwort-Manager zur Sicherheit beitragen. Die Mitarbeiter haben sich selbstständig für den Wechsel entschieden und dies auch mit ihren privaten Konten getan.

Das Sicherheitsteam erhält immer mehr Fragen. Wir werden mittlerweile zu allen möglichen Themen befragt, von der Legitimität eines Telefonanrufs bis hin zur optimalen Sicherung des Facebook-Kontos. Es geht nicht nur um die Sicherheit von PagerDuty , sondern auch um den Schutz persönlicher Konten. Ich weiß, dass dies in früheren Jobs wahrscheinlich als „außerhalb des Rahmens“ gegolten und keine Antworten gegeben hätte. Wir beantworten diese Fragen jedoch gerne in unserem Team. Es führt immer zu einer guten Diskussion über Online-Schutz, stärkt das Vertrauen im Unternehmen und fördert eine tolle Community.

Ich bin der festen Überzeugung, dass Sicherheitsteams nicht diejenigen sein sollten, die einfach zu allem „Nein“ sagen. Das Motto unseres Teams bei PagerDuty lautet: „ Machen Sie es sich leicht, das Richtige zu tun Wir sind nicht hier, um jedem im Weg zu stehen. Wir sind hier, um den „richtigen“ Weg (d.h. den sicherer Weg ) der einfachste Weg, sodass die Leute diesen Weg automatisch nutzen.

Was lief nicht so gut?

Es gab allerdings nicht nur gute Nachrichten. Wie Sie den Diagrammen oben entnehmen können, bewerteten einige das Training sehr schlecht. Es wäre fahrlässig, sich nur selbst auf die Schulter zu klopfen und diese Daten nicht genauer zu untersuchen. Die negativen Kommentare im Feedback lassen sich in zwei Kategorien einteilen:

1. Bei der Schulung handelte es sich um eine Wiederholung der Schulung der letzten beiden Jahre, was bedeutete, dass einige unserer Mitarbeiter dasselbe Material bereits zum dritten Mal sahen.
2. Die Ausbildung war zu lang.

Diesen Punkten kann man nur schwer widersprechen. Dank des Feedbacks möchten wir unseren Kurs für das nächste Jahr anpassen und einen deutlich kürzeren Auffrischungskurs mit neuem Material für alle Teilnehmer anbieten, die diese Schulung bereits absolviert haben. Wir hoffen, dass wir damit die wichtigsten Punkte der diesjährigen Schulung ansprechen können.

Ein weiterer Bereich, der nicht so gut lief, war die Vorbereitung. Oh Mann, habe ich unterschätzt, wie lange die Erstellung des Trainings dauern würde? Die Erstellung des Trainings dauerte nicht ein paar Tage. Es waren mehrere Wochen Arbeit nötig, um das Material zusammenzustellen und die Inhalte so zu gestalten, dass sie ansprechend sind. Die Erstellung der Folien war sehr aufwendig – viel mehr als ursprünglich geplant. Das war eine erhebliche Investition an Zeit und Geld.

Anschließend haben wir alle Mitarbeiter für anderthalb Stunden von ihren Arbeitsplätzen abgezogen, um die Schulung durchzuführen. Auch dies ist eine erhebliche Investition, insbesondere angesichts der heutigen Größe von PagerDuty .

Hat es sich gelohnt? Ich denke schon. Mein Team findet das auch. Und viele Mitarbeiter denken das auch. Aber ist es das Richtige für Ihr Unternehmen? Vielleicht nicht. Ich kann durchaus verstehen, dass man eine solche Anfangsinvestition nicht tätigen möchte. Wir haben das Glück, dass die Inhalte bereits erstellt sind. Sobald diese Anfangsinvestition abgeschlossen ist, ist der Wartungsaufwand relativ gering. Und das bringt mich zu einer guten Nachricht …

Ich bin überzeugt! Kann ich das Training sehen?

Ich freue mich sehr, Ihnen mitteilen zu können, dass wir ab heute unsere Sicherheitstraining für jedermann nutzbar!

Nicht alle Materialien sind öffentlich zugänglich, da einige Inhalte weiterhin nur für PagerDuty Mitarbeiter zugänglich sind. Der Großteil der Schulung ist jedoch allgemeiner Natur und nicht spezifisch für PagerDuty . Alle redigierten Inhalte sind deutlich gekennzeichnet und enthalten eine Beschreibung des Inhalts.

Derzeit enthält die Website nur unsere Schulungen für alle Mitarbeiter. Bleiben Sie dran für die ingenieurspezifischen Schulungen, die ich hoffentlich in den kommenden Wochen auf der Website veröffentlichen werde.

Wenn das nach etwas klingt, woran Sie gerne arbeiten würden, oder wenn Sie nur die internen Folien sehen möchten, Wir stellen ständig ein .