So werden Security Awareness Trainings zum Erfolg
Links von unbekannten Absendern nicht öffnen – das ist den meisten Mitarbeitenden klar. Dennoch nehmen Phising, Smishishing und andere Social-Engineering-Angriffe weiter zu. Damit Security Awareness ernst genommen wird, muss sie Spass machen.
Haben Hacker mit Phishing-Mails Erfolg, macht das im betroffenen Unternehmen schnell die Runde. Die IT kann oft die Mitarbeitenden ausfindig machen, die die Phishing-Mail geöffnet haben und kurzzeitig ist der Vorfall in aller Munde. Das Bewusstsein für Cyber Security im Unternehmen steigt – fällt aber schon kurz darauf fast genauso schnell ab. Zurück bleiben ein paar beschämte oder gar abgemahnte Mitarbeitende, alle anderen gehen wie gewohnt ihrem Tagewerk nach. Bis zum nächsten Vorfall.
Um den nächsten Vorfall zu vermeiden oder überhaupt dem ersten vorzubeugen, ist es wichtig, ein Bewusstsein für die Sicherheitslücke Mensch zu schaffen. Hier setzen Security Awareness Programme und Trainings an. Ihr Ziel ist es, das Sicherheitsbewusstsein im Unternehmen hochzuhalten.
«Awareness funktioniert, man muss es aber richtig machen», sagt Experte Sascha Maier, Als Head of IT & Cyber Resilience beim IWC Schaffhausen. «Wichtig ist dabei, dass die Mitarbeitenden Security positiv und nicht als Blocker wahrnehmen. Security Awareness muss Spass machen.
Warum ist Security Awareness so wichtig?
Cyberangriffe haben das Potenzial, Unternehmen auch über längere Zeit hinweg lahm zu legen. Sensible Daten gehen dauerhaft verloren oder geraten in falsche Hände. Schnell ist da der noch so gute Ruf ruiniert, Partner und Kunden springen ab und ein hoher finanzieller Schaden entsteht.
Begreift das Management Security als Teil ihrer Führungsaufgaben und wird die Belegschaft dafür sensibilisiert, sinkt das Risiko für erfolgreiche Cyberangriffe. Die Mitarbeitenden wissen dann zum Beispiel, wie sie zum Beispiel auf Phishing-Mails reagieren und wen sie im Unternehmen kontaktieren müssen. Die Macht, Hackern den Riegel vorzuschieben, liegt also bei den Mitarbeitenden.
Gesteigerte Sicherheit wirkt sich aber auch auf das gesamte Unternehmen aus: Beziehungen zu Partnern, Lieferanten und Kunden bleiben vertrauensvoll, der gute Ruf erhalten. Dadurch steigert sich auch das Business.
Security Awareness Programme schaffen zudem insgesamt eine nachhaltige Security-Kultur. Neue IT-Projekte lassen sich einfacher ausrollen, werden besser von der Belegschaft angenommen und umgesetzt.
Was macht ein gutes Security Awareness Training aus?
Security Awareness Schulungen bedürfen eines auf das jeweilige Unternehmen zugeschnittene Konzept, eine eigene Identität und eine professionelle Kampagne. Das bedeutet, dass die Trainings über inszenierte Phishing-Attacken und E-Learnings hinausgehen sollten. Vielmehr gilt es, die Unternehmenskultur hinsichtlich Security dauerhaft zu verändern. «Wenn Unternehmen wirklich was bewirken wollen, müssen sie die Extrameile gehen und eine richtige, umfassende Kampagne entwickeln» empfiehlt Sascha Maier. Zu einer Security Awareness Kampagne gehören deshalb beispielsweise auch ein Logo und ein Claim.
Elementar ist auch, Mitarbeitende aus dem Business- und HR-Bereich hinzuzuziehen und alle bereits vorhandenen Kommunikationswege zu nutzen. Denn fuchst sich die IT-Abteilung ein Security Awareness Training allein aus, besteht das Risiko, dass es in der breiten Belegschaft nicht fruchtet. Die Trainings müssen auf die einzelnen Teams und Geschäftsbereiche abgestimmt sein und deren Sprache sprechen.
Wichtig ist auch, dass der Input zur richtigen Zeit kommt: In der Woche vor der Sommerpause verhallen auch noch so gute Ansprachen. Ausserdem sind nicht alle Inhalte für alle Abteilungen bedeutsam: Vertriebler gilt es für den Umgang mit Kundendaten zu schulen, für Fachkräfte in der Produktion ist das aber irrelevant.
Für Mitarbeitende generell ist wichtig, dass die Security Awareness Schulungen die Frage nach dem «Warum» beantworten. Sie müssen nachvollziehbar sein und einen Nutzen haben: Was für die IT-Sicherheit des Unternehmens gilt, können sie auch auf ihrem privaten Computer anwenden.
Wie laufen gute Security Awareness Programme und Kampagnen ab?
Phase 1: Workshop & Launch
Alles beginnt mit einem Workshop. Hier werden die Probleme und Ziele definiert, Zielgruppen bestimmt und interne wie externe Kooperationspartner einbezogen. Es entsteht eine auf das Unternehmen zugeschnittene Kampagne, die noch vor dem Launch bei allen Mitarbeitenden angekündigt wird. Für Sascha Maier gilt dabei: «Das muss knallen und einen Wow-Effekt haben.»
Phase 2: Kommunikation, Information & Testing
Nach dem Launch wird die Aufmerksamkeit durch weitergehende Kommunikation – zum Beispiel mit Artikeln im Unternehmensmagazin – hochgehalten. Parallel testen Sicherheitsexperten, ob die Unternehmensrichtlinien eingehalten werden und simulieren Angriffe von aussen. Das können sowohl Phishing-Mails sein als auch Versuche, auf das Betriebsgelände zu kommen. So wird klar, wo Verbesserungspotenziale liegen.
Phase 3: Training
Anschliessend beginnen die Schulungen. Und die müssen vor allem eins – Spass machen. Dröge Vorträge über Cybersicherheit haben, wenn überhaupt, nur einen kurzen Effekt. Gute Security Awareness Trainings bieten Interaktion und Teambuilding, sind neu und interessant. Begleitet werden sie von Guerilla-Aktionen: Auf den Fluren kleben zum Beispiel auffällige Sticker auf dem Boden, mit dem Logo der Kampagne.
Ganz wichtig: Menschen lernen durch Wiederholung. Mit einer einmaligen Security Awareness Schulung und Guerilla-Aktion ist es nicht getan, die Inhalte müssen regelmässig wiederholt werden. Hierzu bieten sich auch Blended-Learning an, also die Mischung aus Präsenzveranstaltung und E-Learning.