Facebook Twitter Instagram Youtube
Contact Us
Facebook Twitter Instagram Youtube

Security Awareness Trainings: Schulungen richtig managen

Security Awareness Trainings: Schulungen richtig managen Security Awareness Trainings: Schulungen richtig managen

Lesen Sie, welche Aspekte besonders entscheidend sind, damit Ihr Security Awareness Training erfolgreich ist.

Lesen Sie, welche Aspekte besonders entscheidend sind, damit Ihr Security Awareness Training erfolgreich ist.

Foto: nialowwa – shutterstock.com

Studien wie die von Verizon oder IBM zeigen immer wieder auf, dass die Manipulation von zwischenmenschlichen Verhaltensweisen die vielversprechendste Vorgehensweise ist, um Zugang zu sensiblen Daten zu erlangen. Social Engineering bleibt die größte, fortbestehende Herausforderung der Cybersicherheit.

Eine Möglichkeit, die Anfälligkeit des eigenen Unternehmens zu verringern, ist die Einführung von regelmäßigen Security Awareness Trainings (SAT) als Teil der Sicherheitskultur. Dabei ist die Unterstützung des Managements zur reibungslosen Umsetzung der Maßnahme ausschlaggebend. Beispielsweise kann die Leitung höchstpersönlich die Ziele festlegen und ein zugehöriges Narrativ zur Motivation der SAT-Maßnahme beitragen.

Cyberrisiken verstehen

Falls Sie die Management-Ebene noch von der Notwendigkeit des SAT überzeugen müssen, lässt sich der folgende Leitfaden als Anleitung verwenden. Die wichtigste Frage, die sich eigentlich alle Geschäftsführer stellen, ist, warum ausgerechnet ihr Unternehmen von einer Cyberattacke betroffen sein sollte. Die Antwort darauf ist relativ einfach: Insbesondere die Geschäftsleitung selbst ist für die Angreifer am interessantesten, offerieren deren Mitglieder doch den Zugriff auf die Aktiva der Firma, privilegierten Zugang zum Netzwerk und auf alle für sie interessanten Daten. Der Bereich ist zudem in der Regel nicht mit IT-Spezialisten besetzt. Je nach Größe des Unternehmens ist er auch nicht in der Lage, alle Prozesse im Betrieb zu überschauen.

Lesetipp: Wie CISOs für mehr Cybersicherheit im C-Level-Bereich sorgen

Tritt dieses Bewusstsein für die Cyberrisiken ein, dass die Manager selbst gefährdet sind, so ist der erste Schritt vollzogen. Sie müssen aus ihrer Komfortzone heraus und selbst zu Security Awareness Champions werden und sicheres Verhalten vorleben. Dies gelingt, wenn sie selbst die Trainings absolvieren und das Gelernte im täglichen Handeln anwenden. In der Folge sollte das Management dann auch über das Erlernte sprechen und laufend neue Kenntnisse in der Praxis umsetzen. Die Geschäftsleitung ist der stärkste und wichtigste Support für den Security Awareness-Beauftragten, der in enger Abstimmung zusammen mit der IT-Abteilung daran arbeitet, ein Security-Awareness-Programm auf- und auszubauen. Sie erstellen klare Cybersicherheits-Richtlinien und kommunizieren diese an alle Mitarbeiter.

Lesetipp: So werden Chefs zu Security-Vorbildern

Die wichtigsten Eckpfeiler eines Security Awareness-Programms

Die Aufgabe der Security Awareness ist die nachhaltige Steigerung der Cybersicherheit und Resilienz einer Organisation durch die Ermächtigung aller beteiligten Personen. Die Befähigung aller Personen zur aktiven Teilhabe an der Cybersicherheit einer Organisation ist der Weg. Das Ziel ist es, Cybersicherheitsrisiken, die aus menschlichem Verhalten resultieren, zu minimieren. Auf dem Weg dorthin gilt es, die Cybersicherheit als wesentlichen Bestandteil der Unternehmenskultur zu etablieren. Am Ende des Prozesses entsteht eine Sicherheitskultur.

Lesetipp: So begeistern Sie für IT-Sicherheit

Wichtige Ziele bei der Implementierung des Programms sind Sensibilisierung, Engagement und Befähigung. Nur wer sich einer Gefahr bewusst ist, der versteht, warum und wie die Gefahr abgewandt werden muss. Wer dazu in der Lage ist, sich entsprechend zu verhalten, kann einen Beitrag zur Bedrohungsabwehr leisten. Dazu sind eine regelmäßige Durchführung von Trainings sowie eine Abwechslung von der Art und den Inhalten der Trainings notwendig.

Trainingsinhalte wie Poster, Videos, Comics, aber auch Quiz- und weitere Gamification-Ansätze können funktionieren. Wichtig dabei ist: Die Inhalte müssen abwechslungsreich und möglichst allgemein verständlich sein. Sie müssen die Mitarbeiter da abholen, wo sie bei der täglichen Arbeit in Berührung mit den Cybergefahren kommen. Ein Poster mit Sicherheitshinweisen, auf der Toilette gut sichtbar angebracht, kann hilfreich sein. Sogar interaktive Table Top- oder aber Kartenspiele sorgen für Abwechslung und unterhaltsames Lernen.

Ein kleiner Comic neben dem Bildschirm, der täglich daran erinnert, welches die ersten und wichtigsten Warnhinweise für Phishing per E-Mail sind, erfüllt ebenso einen Zweck. Doch nicht bei jedem Mitarbeiter funktioniert der gleiche Inhalt, deshalb ist Abwechslung wichtig. Kulturelle und Generations-Unterschiede sollten beachtet und respektiert werden.

Gewünschte Verhaltensweisen werden idealerweise zu Gewohnheiten. Dazu ist eine regelmäßige Ausübung des Verhaltens notwendig, sodass mit der richtigen Motivation und dem langfristigen Engagement neue Routinen entstehen können. Simulationen können dabei als Trainingsplattformen dienen. Im SAT geschieht das oftmals durch Phishing-Simulationen. Hierbei werden echt aussehende Phishing-E-Mails versendet, die aber keinen Schaden anrichten, wenn die dort eingebauten Links oder in Anhängen hinterlegten Makros angeklickt werden.

Anhand von sogenannten roten Flaggen können die Trainer aufzeigen, worauf bei solchen E-Mails geachtet werden sollte. Eine Datenbank mit einfach anpassbaren Vorlagen für E-Mails hilft bei der Durchführung verschiedenster Kampagnen, um Mitarbeiter Schritt für Schritt zu sensibilisieren. Wenn dann noch die Möglichkeit besteht, während der Arbeit mit automatisierten Hilfestellungen auf risikobehaftetes Verhalten in nahezu Echtzeit hinzuweisen, stellen sich messbare Effekte ein, die zu einer dauerhaften Veränderung des Verhaltens führen.

Damit die Phishing-Simulation nicht als unwillkommener Test erscheint, der im Unternehmen keinen guten Anklang finden wird, ist die richtige Kommunikation der Maßnahme essenziell. Niemand wird gerne hereingelegt. Jeder versteht aber, dass der Datenschutz ein Teil der beruflichen Pflichten ist, und dass eine stetige Vorbereitung der Abwehr von Angriffen durch regelmäßige Erprobung der Abläufe besser ist als die Nachsicht und Erklärungsnot nach einem Cybersicherheitsvorfall.

Niemand braucht paranoide Mitarbeiter, die nichts und niemandem trauen, dies ist eindeutig der falsche Weg. Ähnliches gilt für Bestrafungen wie Abmahnungen oder Ähnlichem. Mitarbeiter sollten motiviert und aufgeklärt, aber nicht abgeschreckt werden. Aus diesem Grund sind ständiger Dialog und Austausch von Informationen über das Gelehrte und Gelernte wichtig. Generell sollten Mitarbeiter nicht geführt, sondern gefördert werden.

Wird dieser Leitspruch beherzigt, kann eine Sicherheitskultur entstehen, bei der Mitarbeitenden sich der Sache verschreiben und dem Thema souverän und ohne Angst begegnen, ohne viele technische Details kennen zu müssen. Eine gesunde Sicherheitskultur ermöglicht es den Mitarbeitern, Bedrohungen zu erkennen, zu verstehen, warum sie eine Bedrohung darstellen und sicher zu handeln.

Zu den wichtigsten Elemente eines erfolgreichen Security Awareness Trainings zählen:

  • Inhalt: Als Menschen bevorzugen wir alle unterschiedlichen Arten von Inhalten. Die verschiedenen Inhaltstypen sollten allerdings auch immer an die verschiedenen Rollen im Unternehmen angepasst werden.

  • Unterstützung und Planung: Materialien, die CISOs und Security-Awareness-Trainern dabei helfen, den Wert des Programms gegenüber der Geschäftsführung zu beweisen und auch den Auditoren und Regulierungsbehörden zu zeigen, dass das Programm an den richtigen Stellen ansetzt.

  • Kampagnen: Ein erfolgreiches Programm sollte nicht einmalig stattfinden, sondern als Kampagne betrachtet werden. Eine einmal im Jahr durchgeführte Schulung, bei der nur ein Häkchen gesetzt wird, wird nicht zu einer Änderung des Nutzerverhaltens führen. Die kontinuierliche Präsentation der Informationen auf unterschiedliche Weise, wenn sie mit dem jeweiligen Lebenskontext übereinstimmt, wird Entscheidungen beeinflussen und es den Nutzern leichter machen, klügere Entscheidungen zu treffen.

  • Testen: Die Mitarbeiter müssen in eine Situation versetzt werden, in der sie eine Entscheidung treffen müssen, die darüber entscheidet, ob das Unternehmen angegriffen wird oder nicht. Bei Phishing-Simulationen werden die Mitarbeiter aufgefordert, entweder auf einen Link zu klicken, den Phishing-Versuch zu melden oder nichts zu tun. Ein gutes Programm sollte den Mitarbeitern die Möglichkeit geben, Phishing-Versuche zu melden. Wenn sie auf den Phishing-Versuch hereinfallen, sollte sofort eine Schulung durchgeführt werden können.

  • Metriken und Berichte: Security-Awareness-Trainer müssen die Effektivität der Schulung nachweisen können. Das Reporting ist auch für die Optimierung von Kampagnen auf der Grundlage früherer Ergebnisse nützlich. Die Verantwortlichen müssen sehen können, was gut funktioniert und was verbessert werden kann.

  • Umfragen und Bewertungen: Diese Art von Instrumenten kann den Verantwortlichen helfen, die Einstellungen der Mitarbeiter zur Security Awareness zu verstehen und herauszufinden, wie gut das Programm bei ihnen ankommt, damit es angepasst werden kann.

Security Awareness fördert Sicherheitskultur

“Culture eats strategy for breakfast”, sagte einst der Managementberater Peter Drucker, “and technology for lunch …” ergänzten andere. Die Kultur eines Unternehmens ist der Nährboden für Veränderungen und Sicherheit, einschließlich der IT-Sicherheit. Letztlich liegt es an den Unternehmen und ihren Mitarbeitern vom Management über die Buchhaltung bis zur Poststelle und zum Empfang, wie die Kultur verhandelt und gestaltet wird.

“You get the culture you ignore”, schrieb John R. Childress: Wenn diese Kultur, vor allem die Sicherheitskultur nicht gesteuert wird, droht sie sich zu verselbstständigen. Unternehmen sollten daher in eine Kultur investieren, die den bewussten Umgang mit Cybersicherheit fördert. Alle Mitarbeitenden sollen sich ihrer Verantwortung bewusst sein, persönliche und geschäftliche Dinge zu schützen.

Einer Studie zur Untersuchung der Sicherheitskultur zufolge waren Mitarbeitende in Organisationen mit schlechter Sicherheitskultur 52-mal eher dazu geneigt ihre Anmeldedaten einer Phishing-E-Mail preis zu geben.

Somit existiert die Sicherheitskultur in allen Organisationen bereits heute. Es muss das Ziel der Unternehmensleitung sein, diese zu verstehen und gezielt zu beeinflussen. Ein Framework zur Erhebung des Reifegrades der Sicherheitskultur im Unternehmen bietet dazu sieben verschiedene Dimensionen an:

  • Wahrnehmung (Verständnis, Wissen und Bewusstsein),

  • Normen (ungeschrieben Verhaltensweisen),

  • Compliance (Wissen um Richtlinien),

  • Kommunikation (Diskussion, Unterstützung und Zusammenhalt),

  • Einstellung (Emotionen und Gefühle),

  • Verantwortung (Rolle und Funktion) und

  • Verhalten (Aktionen und Vorgehensweisen).

Diese Dimensionen sind miteinander verflochten. Die Förderung eines gewünschten Verhaltens durch die Beeinflussung einer oder mehrerer dieser Dimensionen muss sauber geplant und durchgeführt werden. Erfolgreiche Programme gehen daher mit Bedacht vor und nehmen iterativ kleine Änderungen vor.

Somit wird klar, dass die Sicherheitskultur des Unternehmens sich im Sicherheitsbewusstsein und in verschiedene Verhaltensweisen und auch durch diese beeinflusst werden kann. Manifestiert sich eine bestimmte Verhaltensweise und damit verbundene Einsichten über verschiedene Abteilungen eines Unternehmens hinweg, spiegelt sich dies auch nachhaltig in der Sicherheitskultur des Unternehmens wider.

Fazit

Die Anzahl an erfolgreichen Cyberattacken steigt, die Anzahl der Angriffsvektoren ebenfalls, gleichsam steigen die Margen cyberkrimineller Gruppen. Doch obwohl auch Investments in die IT-Sicherheit steigen, reichen diese nicht aus, um Unternehmen zu schützen. Ein Security-Awareness-Programm, das Management-Unterstützung erhält, und von vielen verschiedenen Inhalten sowie motivierten Programm-Managern und Champions getrieben wird, kann das Spiel drehen. Am Ende aller Bemühungen sollte eine Sicherheitskultur stehen, die den Namen verdient hat und die mit messbaren Erfolgen selbst technologischen Sprüngen wie Deepfakes und Voicefakes widersteht. (jm)

byLogan C.
Published
Add a comment

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Keep Up to Date with the Most Important News

By pressing the Subscribe button, you confirm that you have read and are agreeing to our Privacy Policy and Terms of Use

Read more