So werden Security Awareness Trainings zum Erfolg
Links von unbekannten Absendern nicht öffnen – das wissen die meisten. Trotzdem nehmen Phishing und Social-Engineering-Angriffe zu. Erfahre, wie Security Awareness Spass machen kann.
Haben Hacker mit Phishing-Mails Erfolg, macht das in deinem Unternehmen schnell die Runde. Die IT kann oft herausfinden, wenn du die Phishing-Mail geöffnet hast, und kurzzeitig ist der Vorfall in aller Munde. Das Bewusstsein für Cyber Security in deinem Unternehmen steigt – fällt aber schon kurz darauf fast genauso schnell ab. Zurück bleiben ein paar beschämte oder gar abgemahnte Mitarbeitende, alle anderen gehen wie gewohnt ihrem Tagewerk nach. Bis zum nächsten Vorfall.
Um den nächsten Vorfall zu vermeiden oder überhaupt dem ersten vorzubeugen, ist es wichtig, ein Bewusstsein für die Sicherheitslücke Mensch zu schaffen. Hier setzen Security Awareness Programme und Trainings an. Deren Ziel ist, das Sicherheitsbewusstsein in deinem Unternehmen hochzuhalten.
«Awareness funktioniert, man muss es aber richtig machen», sagt Experte Sascha Maier, als Head of IT & Cyber Resilience beim IWC Schaffhausen. «Wichtig ist dabei, dass die Mitarbeitenden Security positiv und nicht als Blocker wahrnehmen. Security Awareness muss Spass machen.
Warum ist Security Awareness so wichtig?
Cyberangriffe haben das Potenzial, dein Unternehmen auch über längere Zeit hinweg lahm zu legen. Sensible Daten gehen dauerhaft verloren oder geraten in falsche Hände. Schnell ist da der noch so gute Ruf ruiniert, Partner und Kunden springen ab und ein hoher finanzieller Schaden entsteht.
Wenn das Management Security als Teil seiner Führungsaufgaben begreift und die Belegschaft dafür sensibilisiert wird, sinkt das Risiko für erfolgreiche Cyberangriffe. Du weisst dann zum Beispiel, wie du auf Phishing-Mails reagieren musst und wen du im Unternehmen kontaktieren musst. Die Macht, Hackern den Riegel vorzuschieben, liegt also bei den Mitarbeitenden.
Gesteigerte Sicherheit wirkt sich aber auch auf dein Unternehmen aus: Beziehungen zu Partnern, Lieferanten und Kunden bleiben vertrauensvoll, der gute Ruf bleibt erhalten. Dadurch steigert sich auch das Business.
Security Awareness Programme schaffen zudem insgesamt eine nachhaltige Security-Kultur. Neue IT-Projekte lassen sich einfacher ausrollen, werden besser von der Belegschaft angenommen und umgesetzt.
Was macht ein gutes Security Awareness Training aus?
Security Awareness Schulungen bedürfen eines auf dein Unternehmen zugeschnittenen Konzepts, einer eigenen Identität und einer professionellen Kampagne. Das bedeutet, dass die Trainings über inszenierte Phishing-Attacken und E-Learnings hinausgehen sollten. Vielmehr gilt es, die Unternehmenskultur hinsichtlich Security dauerhaft zu verändern. «Wenn Unternehmen wirklich was bewirken wollen, müssen sie die Extrameile gehen und eine richtige, umfassende Kampagne entwickeln» empfiehlt Sascha Maier. Zu einer Security Awareness Kampagne gehören deshalb beispielsweise auch ein Logo und ein Claim.
Elementar ist auch, Mitarbeitende aus dem Business- und HR-Bereich hinzuzuziehen und alle bereits vorhandenen Kommunikationswege zu nutzen. Denn fuchst sich die IT-Abteilung ein Security Awareness Training allein aus, besteht das Risiko, dass es in der breiten Belegschaft nicht fruchtet. Die Trainings müssen auf die einzelnen Teams und Geschäftsbereiche abgestimmt sein und deren Sprache sprechen.
Wichtig ist auch, dass der Input zur richtigen Zeit kommt: In der Woche vor der Sommerpause verhallen auch noch so gute Ansprachen. Ausserdem sind nicht alle Inhalte für alle Abteilungen bedeutsam: Vertriebler/innen gilt es für den Umgang mit Kundendaten zu schulen, für Fachkräfte in der Produktion ist das aber irrelevant.
Für dich als Mitarbeitende ist wichtig, dass die Security Awareness Schulungen die Frage nach dem «Warum» beantworten. Sie müssen nachvollziehbar sein und einen Nutzen haben: Was für die IT-Sicherheit deines Unternehmens gilt, kannst du auch auf deinem privaten Computer anwenden.
Wie laufen gute Security Awareness Programme und Kampagnen ab?
Phase 1: Workshop & Launch
Alles beginnt mit einem Workshop. Hier werden die Probleme und Ziele definiert, Zielgruppen bestimmt und interne wie externe Kooperationspartner einbezogen. Es entsteht eine auf dein Unternehmen zugeschnittene Kampagne, die noch vor dem Launch bei allen Mitarbeitenden angekündigt wird. Für Sascha Maier gilt dabei: «Das muss knallen und einen Wow-Effekt haben.»
Phase 2: Kommunikation, Information & Testing
Nach dem Launch wird die Aufmerksamkeit durch weitergehende Kommunikation – zum Beispiel mit Artikeln im Unternehmensmagazin – hochgehalten. Parallel testen Sicherheitsexperten, ob die Unternehmensrichtlinien eingehalten werden und simulieren Angriffe von aussen. Das können sowohl Phishing-Mails sein als auch Versuche, auf das Betriebsgelände zu kommen. So wird klar, wo Verbesserungspotenziale liegen.
Phase 3: Training
Anschliessend beginnen die Schulungen. Und die müssen vor allem eins – Spass machen. Dröge Vorträge über Cybersicherheit haben, wenn überhaupt, nur einen kurzen Effekt. Gute Security Awareness Trainings bieten Interaktion und Teambuilding, sind neu und interessant. Begleitet werden sie von Guerilla-Aktionen: Auf den Fluren kleben zum Beispiel auffällige Sticker auf dem Boden, mit dem Logo der Kampagne.
Ganz wichtig: Du lernst durch Wiederholung. Mit einer einmaligen Security Awareness Schulung und Guerilla-Aktion ist es nicht getan, die Inhalte müssen regelmässig wiederholt werden. Hierzu bietet sich auch Blended-Learning an, also die Mischung aus Präsenzveranstaltung und E-Learning.
.