Jedes Unternehmen pflegt eine bestimmte Sicherheitskultur. Das kann ein unterstützendes Umfeld sein, das Best Practices fördert und in dem niemand für einen Fehler zur Rechenschaft gezogen wird. Das muss aber nicht zwangsläufig so sein. [...]
Manchmal ist das vorherrschende Klima eher ungünstig, und das erhöht sowohl interne wie externe Risiken. Grund genug möchte man meinen, den Prozess für eine resiliente Sicherheitskultur anzustoßen und die Belegschaft dahingehend zu motivieren.
Investieren Sie in Bewusstseinsbildung
Wer seine Sicherheitskultur dauerhaft verändern will, der kommt nicht umhin, Zeit und Geld in die Entwicklung von Schulungsprogrammen zu investieren. In den letzten zehn Jahren hat sich die Herangehensweise an das Thema gewaltig verändert.
Mitarbeitende zu sanktionieren kann angesichts der Fülle von Datenschutzverletzungen und erfolgreichen Angriffen kaum der richtige Weg sein. Gerade Phishing-Attacken durchlaufen gerade einen neuen Grad an Professionalisierung. Auch zielgerichtete Angriffe gegen IT-Teams sind keine Seltenheit.
Die beste Cybersicherheitsschulung ist die, die das Interesse der Belegschaft wachhält und sie aktiv einbezieht. Was für andere Bereiche gilt, trifft auch beim Thema Cybersicherheit zu: es kommt auf die Form der Vermittlung an.
Humor ist nicht unbedingt der schlechteste Weg, eine ernste Botschaft zu vermitteln und Strategien zu deren Umsetzung auf den Weg zu bringen.
Gestalten Sie Ihre Trainingsansätze so integrativ wie möglich – Sie wollen ja Menschen mit unterschiedlichem Hintergrund ansprechen. Der kognitive Neurowissenschaftler Stanislas Dehaene empfiehlt in seinem Buch “Wie wir lernen”, dass Sie sich dabei am besten auf vier Eckpfeiler stützen:
- Eckpfeiler 1: Aufmerksamkeit, “Ein passiver Organismus lernt nicht”
- Eckpfeiler 2: Aktives Engagement, “Verbessern Sie die Umgebung”
- Eckpfeiler 3: Feedback-Kultur, “Null Fehler, null Lernen”
- Eckpfeiler 4: Konsolidierung: “Es ist besser, Schulungszeiten zu verteilen als alles in einen einzigen Durchgang zu packen.“
Auf den Kontext kommt es an
Der Erfolg von Security Awareness-Programmen hängt ganz wesentlich vom richtigen Framing und dem angebotenen Kontext ab. Der Rahmen beantwortet die Frage nach dem “Warum” von Cybersicherheit innerhalb des betreffenden Unternehmens, während der Kontext die Frage nach dem „Warum ich“ beantworten sollte.
Zoe Rose, IS Lead bei Canon EMEA fasst ihre Erfahrungen wie folgt zusammen: “Dies unterstreicht, wie wichtig es ist, die beiden Aspekte des “Warum” und “Wie” von Cybersicherheitsmaßnahmen anzusprechen, und zwar im Hinblick auf die konkrete Rolle und Position bezogen. Wenn Schulungen sich auf Anweisungen beschränken, etwa nicht auf Links zu klicken oder Anhänge nicht ungeprüft zu öffnen, wird das eher dazu führen, dass Schulungsinhalte zugunsten der Produktivität ignoriert werden. Stattdessen sollte jede Schulung auf die Bedürfnisse und Bedenken des/der Mitarbeitenden zugeschnitten sein. Sie sollte in der Lage sein, zu vermitteln, wie sich das Unternehmen pragmatisch schützt und wo genau die Verantwortung der einzelnen Teams liegt. Wichtig ist es, die Meldepflicht anzusprechen und positiv zu bewerten – statt Schuldzuweisungen auszusprechen. Wenn ein Mitarbeiter erfolgreichen einen bösartigen Link meldet, sollte man dem mehr Gewicht beimessen als dem versehentlichen Anklicken eines Links. Das vermittelt Menschen ein Gefühl von Sicherheit auch dann, wenn sie vielleicht einen Fehler einräumen müssen.“
Bieten Sie greifbare Anreize
Für viele ist Cybersicherheit dennoch wenig greifbar und gleichzeitig zu komplex. Wie also lassen sich Mitarbeitende motivieren an einem Awareness Training teilzunehmen, auch wenn es nicht verpflichtend ist?
“Anreize sind wichtig”, meint Goher Mohammad, Leiter der Abteilung Infosec bei der L&Q Group. “Mit einem entsprechenden Anreiz, werden Mitarbeitende eher ermutigt, das Richtige zu tun. Statt sie bei einem Fehler zu rügen, sollten wir uns viel eher fragen, wie wir jeden Einzelnen besser motivieren können. Wenn jemand Phishing oder einen anderen Vorfall meldet, unterstützt ein Anreiz die Motivation.
Im Idealfall lässt sich das im Berufsleben Erlernte auch im privaten Bereich nutzbringend anwenden. “Man kann Mitarbeiter zusätzlich motivieren, wenn man vermittelt, dass die Inhalte nicht nur dem Unternehmen dienen, sondern auch jedem Einzelnen in seinem privaten Umfeld”, ergänzt John Trest, Chief Learning Officer bei Cyber Management Alliance.
Relevante Inhalte
Jeder Anreiz ist allerdings verschenkt, wenn das Schulungsmaterial für die Zielgruppe nicht oder nicht ausreichend relevant ist. Verzichten Sie bei Laien auf technischen Fachjargon. Das Letzte, was Sie wollen, ist, dass sich Ihr Publikum langweilt und Sie es verlieren.
“Sobald Sie die Aufmerksamkeit des Publikums haben, sollten Sie sicherstellen, dass Ihr Material genau für dieses Publikum relevant ist”, so John Trest weiter. “Wenn Sie beispielsweise über Malware sprechen, sollten Sie darüber sprechen, welche Anzeichen es gibt, welche Merkmale für diese Malware typisch sind und wie der Meldeweg sein sollte. Das ist wichtig, weil es für den beruflichen Alltag direkt relevant ist. Im Gegensatz zu Themen, die dort kaum eine Rolle spielen, wie z. B. das ständige Reden über Advanced Persistent Threats (APTs). Der Stoff sollte so relevant sein, dass er hilft, bewährte Sicherheitspraktiken am Arbeitsplatz und im Privatleben umzusetzen.”
Investieren Sie in Ihre Mitarbeiter
Das Bewusstsein für Cybersecurity zu schärfen ist ein entscheidender Bestandteil für den Aufbau einer positiv fundierten Sicherheitskultur. Was passiert, wenn das nicht der Fall ist? Nun ja, was passiert, wenn Mitarbeitende nur noch um des Geldes willen arbeiten, aber innerlich bereits gekündigt haben?
Genau das unterstreicht Chloe Messdaghi, Chief Impact Officer bei Cybrary: “Man sollte unbedingt in seine Mitarbeiter investieren. Wenn diese Grundlage fehlt, warum sollte sich jemand ernsthaft um die Sicherheit in seiner Umgebung kümmern oder bei jeder eingehenden E-Mail doppelt prüfen, ob man auf einen Anhang oder einen Link klicken sollte oder doch besser nicht? Wer nicht in seine Mitarbeiter investiert, hat es am Ende mit Menschen zu tun, die mit einem Burnout zu kämpfen haben. Burnout entsteht nicht zwangsläufig durch Überforderung. Die Realität ist, dass Burnout durch einen Mangel an Organisation, Fürsorge in Kombination mit unzureichender Führung entsteht.“
Mit gutem Beispiel vorangehen
Wer seine Belegschaft für Cybersicherheit motivieren will, der sollte mit gutem Beispiel vorangehen. Für die Sicherheitskultur ist es kaum förderlich, wenn die Führungsriege des Unternehmens bewährte Verfahren und Sicherheitsanforderungen ignoriert. “Der Fisch stinkt vom Kopf”, wie Kassia Clifford, Infosec Consultant bei Kassia Clifford Consulting, es treffend formuliert.
“Wenn sich die Führungsebene eines Unternehmens den Sicherheitsbemühungen nicht verpflichtet fühlt, überträgt sich diese Haltung auf sämtliche nachfolgenden Kontrollinstanzen und Mitarbeiter. Deshalb ist es so wichtig, dass sich die Führungsetage beim Thema Sicherheit committet.“
Menschen, Prozesse und Technologien sind die drei Säulen, auf denen Cybersicherheit ruht. Wenn Unternehmen es versäumen, ihre Belegschaft durch engagierte Cybersecurity-Awareness-Trainings zu motivieren, untergräbt das das gesamte Sicherheitsgefüge eines Unternehmens. Mit potenziell schwerwiegenden Konsequenzen für alle Beteiligten.
Be the first to comment