Security Awareness: Mehr als E-Learning und Phishingtest

Ein einmaliges Training oder ab und zu einen Phishingtest, um den aktuellen Status der Awareness zu messen, sind wie eine Checkliste, die für das Security Audit abgearbeitet wird. Die entscheidende Frage ist jedoch: Hat sich das Verhalten der Mitarbeitenden hin zu mehr Sicherheit wirklich verändert? 
 
Security Awareness ist das Bewusstsein für Sicherheit. Es lässt sich gut als «Grundbauchgefühl» beschreiben in Bezug auf: 
  • Was sind Sicherheitsbedrohungen 
  • Was sind keine Risiken und 
  • Wie handelt man optimal, um sich selbst und andere zu schützen 
 
Security Awareness – alle Stakeholder inklusive der Endnutzenden von Beginn an einbeziehen (Symbolbild: Parradee / AdobeStock)
 
 
Informationssicherheit zielt auf die Sicherung aller Informationen ab, online sowie offline. Hier entsteht oft eine Verwechslung mit der Datensicherheit, die sich nur auf Daten in Verbindung mit Personen bezieht. Beide Bereiche sind eng miteinander verknüpft, aber nicht identisch.
 
Cybersicherheit oder auch IT Security Awareness beschreiben das IT Security Bewusstsein der Endnutzer, wie beispielsweise Mitarbeitende eines Unternehmens oder einer Organisation. Hierbei ist die Rede von Bewusstsein hinsichtlich der vorherrschenden Sicherheitsbedrohungen im Zusammenhang mit IT-Anwendungen sowie der spezifischen Unternehmensrichtlinien und -prozesse. Cyber Security Awareness ist also ein Bestandteil der Schaffung des Bewusstseins für Informationssicherheit, aber bei weitem nicht alles. Auch im persönlichen oder telefonischen Kontakt sind die firmeninternen Informationen zu schützen.
 
Schon allein die Unterscheidung der verschiedenen Begrifflichkeiten verdeutlicht, dass das keine einfache Angelegenheit ist. Nichtsdestotrotz führt für Unternehmen kein Weg daran vorbei. Was also machen, wenn die meisten Mitarbeitenden bereits beim Hören der Begriffe schreiend davonlaufen?
 
 

Security Awareness – Aufbau einer Sicherheitskultur

Haben Sie schon mal Information Security Awareness gegoogelt? Sie finden dort erstmal 10 bis 15 Anbieter für E-Learning und Phishing-Tests, bevor die eigentlichen Informationen zum Thema aufgelistet werden. Die beiden Methoden sind sicherlich hilfreich zum Vermitteln von Wissen, jedoch wird dabei der inhaltliche Umfang von Security Awareness unterschätzt, denn es ist komplexer als man denkt
 
Ein einmaliges Training oder ab und zu ein Phishing-Test, um den aktuellen Status der Awareness zu messen, sind eher sowas wie eine Check-Liste abzuarbeiten für das Security Audit. Die entscheidende Frage ist jedoch, wie sich die Mitarbeitenden nach dem absolvierten Training verhalten. Hat sich das Wissen wirklich verankert? Die Antwort ist Nein. Das Wissen wurde zwar vermittelt und angeeignet, aber es hat sich nicht bei Endnutzenden manifestiert. Allein der über Jahre etablierte Standardweg ist hier nicht ausreichend. Es ist ein Wandel des Verständnisses von Awareness Bildung notwendig.
 
Es fehlt also der langfristige Aufbau einer Sicherheitskultur. Das Ziel sollte dabei sein, ein Bewusstsein für Sicherheit zu schaffen, so wie wir es auch privat kennen. Wenn Sie beispielswiese nachts aufwachen, sich ein Glas Wasser aus der Küche holen und beim Blick aus dem Fenster maskierte Personen mit Taschenlampen vor dem Nachbarhaus sehen, dann gehen Sie sicherlich auch nicht einfach wieder schlafen, oder?
 
Eine solche Sicherheitskultur benötigen wir auch in Unternehmen. Diese lässt sich mit Hilfe von verschiedenen Methoden aus dem Change-Management entwickeln.
 
 

Effektive Umsetzung von Security Awareness

Der Hauptaspekt, der bei klassischen Awareness Kampagnen ausser Acht gelassen wird, ist, dass es um die Interaktion zwischen Mensch und Maschine geht. Es ist also kein rein technisches Problem. Es geht um Menschen. Hier hilft kein einmaliges «Schema F», was überall gleich funktioniert und zum Erfolg führt. 
 
Unternehmen und Organisationen sollten sich bei dem Thema Cyber Security Awareness eher in der Vermittlerrolle gegenüber ihren Mitarbeitenden sehen und müssen dafür Sorge tragen, dass sie bezüglich ihres IT-Security-Bewusstseins gestärkt werden. 
 
Diese Angaben liefern zwar noch keine konkreten Hinweise, wie genau das Bewusstsein für Informationssicherheit gestärkt werden kann, aber es ist ein erster Anhaltspunkt, was die Basis darstellt.
 
Wie bei allen Vorhaben, Projekten, Strategien müssen Sie sich zuallererst die Frage stellen: Was will ich denn eigentlich erreichen?
 
Das Primärziel ist nicht, einen Haken auf der To-do-Liste zu setzen, Mitarbeitende sollen sich sicherer verhalten und so dabei das Unternehmen schützen. Doch dieses Primärziel kann nur durch Unterziele erreicht werden wie:
  • Routinen durchbrechen 
  • Benefits erklären 
  • Positives Image schaffen
  • Bewusstsein etablieren, dass verantwortungsvolles Handeln einen Effekt hat
  • und noch viele mehr 
Dabei gilt für jedes dieser Ziele: Nicht nur trainieren, sondern auch kommunizieren!
 
 

Sechs Grundprinzipien als Erfolgsrezept

Werden folgende sechs Prinzipien beachtet, kommt der Erfolg von Security Awareness automatisch:
 

1. Von Beginn an einbeziehen

Wenn alle Stakeholder inklusive der Endnutzenden von Beginn an einbezogen werden und nicht erst im Nachhinein, ist eine gute Entwicklung der Sicherheit im Unternehmen garantiert und die IT-Security gesichert. Doch oftmals sind die Lösungen hierzu in der IT-Abteilung verankert und finden nicht einmal ihren Weg in diejenigen Bereiche, die es eigentlich betrifft. Tauschen Sie sich verstärkt mit anderen Abteilungen wie Kommunikation, Marketing, Change-Management, Vertrieb oder auch der Geschäftsführung und anderen Führungskräften aus. Bitten Sie um Unterstützung. So bekommen Sie gebündeltes Wissen und gleichzeitig entsteht ein Netzwerk aus Multiplikatoren.
 

2. Interdisziplinäre Umsetzung

Bei dem Schaffen von Bewusstsein für Informationssicherheit findet ein Veränderungsprozess statt. Es soll das Verhalten der Mitarbeitenden verändert werden. «Awareness für Awareness schaffen», so lautet in diesem Fall bei jeder Kampagne die Mission. Dies geschieht nicht mit technischen, sondern mit persönlichkeitsgestützten Themen. Doch ohne interdisziplinäre Zusammenarbeit wird das nicht funktionieren. Vor diesem Hintergrund sollte die Nutzung von Methoden aus dem Change-Management und die Anwendung von Erkenntnissen aus der Psychologie selbstverständlich sein.
 

3. Zielgruppenspezifisch

Jeder tickt anders, egal ob Jurist, HR-Manager oder Produktionsmitarbeitende. Es benötigt auch nicht jede Person die gleichen Informationen. So sind IT-Systemadministratoren stärker zu schulen als Mitarbeitende im Marketing. Bieten Sie am besten allen eine schlanke Basis-Schulung zum Einstieg an und dann geht es zielgruppenspezifisch ins Detail, je nach Bedarf. 
 

4. Regelmässig, wiederkehrende Massnahmen

Um für ein starkes Bewusstsein für Informationssicherheit der Mitarbeitenden zu sorgen, sind regelmässige «Awareness Kampagnen» notwendig. Das führt dazu, dass sich eine extrinsische und intrinsische Motivation bei den Endnutzenden entwickelt und diese somit äusserst effektiv sensibilisiert sind. Dies trägt auch dazu bei, dass die unbewusste Kompetenz in den Köpfen dauerhaft greift.
 

5. Verschiedene Kanäle

Wie schon erwähnt sind die Verkaufsschlager E-Learnings und Phishing-Tests. Sie behandeln die Wissensvermittlung und das Trainieren von Themen. Das Problem dabei ist, dass wir hier mit Menschen arbeiten, die unterschiedliche Bedürfnisse, Bildung, Affinitäten für Medien oder gar verschiedene Zugangsvoraussetzungen zu Online-Inhalten haben. Ein alleiniger Rollout von technikbasierten Anwendungen ist somit völlig ungenügend. Deshalb ist es ratsam diverse Kanäle – online, offline, print, gaming etc. – zu nutzen, um alle Beteiligten zu erreichen.
 

6. Methodenmix

Der Aufbau von Security Awareness kann neben E-Learning und Phishing-Test beispielsweise mithilfe von «Lunch & Learn-Events», regelmässig kommunizierten Handlungsempfehlungen auf Security-Postern oder Events zu spezifischen Sicherheitsthemen erfolgen. Für weitere Anregungen laden Sie sich gerne den kostenlosen re4ming Ratgeber «63 ultimative Awareness Hacks»  herunter.  
 
 

Die Autorin 

Rebecca Enke ist Inhaberin von re4ming und Expertin für Prozess- und Kommunikationsoptimierung.
Im Bereich Security Awareness ist Rebecca Enke spezialisiert auf Sensibilisierung für Fachthemen, E-Learning-Prozesse, Projekt- und Change-Management. Sie fokussiert sich dabei vor allem auf den Aufbau einer Sicherheitskultur. In diesem Zusammenhang hat sie bereits über 150‘000 Personen mit ihren Awareness Kampagnen begeistert und wurde dafür mit dem PR Award in der Kategorie «Corporate Media – digital» ausgezeichnet.
 
 

Der Beitrag erschien im topsoft Fachmagazin 22-3

 

Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren

Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.