So wird Security Awareness zum Erfolg
Links von unbekannten Absendern nicht öffnen – das ist den meisten Mitarbeitenden klar. Dennoch nehmen Phising, Smishishing und andere Social-Engineering-Angriffe weiter zu. Damit Security Awareness ernst genommen wird, muss es Spass machen.
Haben Hacker mit Phishing-Mails Erfolg, spricht sich das im betroffenen Unternehmen schnell herum. Die IT kann oft die Mitarbeitenden ausfindig machen, die die Phishing-Mail geöffnet haben, und für kurze Zeit ist der Vorfall in aller Munde. Das Bewusstsein für Cyber Security im Unternehmen steigt – und sinkt fast genauso schnell wieder. Zurück bleiben ein paar beschämte oder gar abgemahnte Mitarbeitende, alle anderen gehen wie gewohnt ihrer Arbeit nach. Bis zum nächsten Vorfall.
Um den nächsten oder gar den ersten Vorfall zu verhindern, ist es wichtig, ein Bewusstsein für die Sicherheitslücke Mensch zu schaffen. Hier setzen Security Awareness Programme und Trainings an. Ihr Ziel ist es, das Sicherheitsbewusstsein im Unternehmen hoch zu halten.
«Awareness funktioniert, aber man muss es richtig machen», sagt Experte Sascha Maier, Als Head of IT & Cyber Resilience beim IWC Schaffhausen. «Wichtig ist, dass die Mitarbeitenden Security positiv und nicht als Blockade wahrnehmen. Security Awareness muss Spass machen.
Was versteht man unter Security Awareness?
Security Awareness ist das Bewusstsein der Mitarbeitenden für die IT-Sicherheit des Unternehmens. Die Mitarbeitenden und das Management sind sich der Problematik rund um die Cyber-Sicherheit bewusst.
Security Awareness Trainings beinhalten verschiedene Schulungsmassnahmen, um dieses Problembewusstsein zu erzeugen, zu verstärken und aufrechtzuerhalten. So kann die Sicherheitslücke Mensch dauerhaft schliessen und der Schutz vor Cyberkriminalität erhöht werden.
Warum ist Sicherheitsbewusstsein so wichtig?
Cyberangriffe haben das Potenzial, Unternehmen für längere Zeit lahm zu legen. Sensible Daten sind endgültig verloren oder geraten in falsche Hände. Schnell ist der gute Ruf ruiniert, Partner und Kunden springen ab und der finanzielle Schaden ist hoch.
Wenn das Management Sicherheit als Teil seiner Führungsaufgabe versteht und die Mitarbeitenden sensibilisiert sind, sinkt das Risiko erfolgreicher Cyberangriffe. Die Mitarbeitenden wissen dann beispielsweise, wie sie auf Phishing-Mails reagieren und an wen sie sich im Unternehmen wenden können. So haben es die Mitarbeitenden selbst in der Hand, Hackern das Handwerk zu legen.
Mehr Sicherheit wirkt sich aber auch auf das gesamte Unternehmen aus: Die Beziehungen zu Partnern, Lieferanten und Kunden bleiben vertrauensvoll, der gute Ruf wird gewahrt. Auch das steigert das Geschäft.
Security Awareness Programme schaffen zudem insgesamt eine nachhaltige Sicherheitskultur. Neue IT-Projekte lassen sich leichter ausrollen, werden von den Mitarbeitenden besser akzeptiert und umgesetzt.
Was macht ein gutes Security Awareness Training aus?
Security Awareness Trainings benötigen ein auf das jeweilige Unternehmen zugeschnittenes Konzept, eine eigene Identität und eine professionelle Kampagne. Das bedeutet, dass die Schulungen über inszenierte Phishing-Attacken und E-Learning hinausgehen sollten. Vielmehr geht es darum, die Sicherheitskultur im Unternehmen nachhaltig zu verändern. «Wenn Unternehmen wirklich etwas bewegen wollen, müssen sie die Extrameile gehen und eine echte, umfassende Kampagne entwickeln», empfiehlt Sascha Maier. Zu einer Security Awareness Kampagne gehören daher beispielsweise auch ein Logo und ein Claim.
Wichtig ist auch, die Mitarbeitenden aus den Bereichen Business und HR einzubeziehen und alle bestehenden Kommunikationskanäle zu nutzen. Denn wenn nur die IT-Abteilung ein Security Awareness Training durchführt, besteht die Gefahr, dass es in der Breite der Belegschaft nicht ankommt. Die Trainings müssen auf die einzelnen Teams und Geschäftsbereiche zugeschnitten sein und deren Sprache sprechen.
Wichtig ist auch, dass der Input zum richtigen Zeitpunkt kommt: In der Woche vor der Sommerpause verpuffen auch die besten Ansprachen. Ausserdem sind nicht alle Inhalte für alle Abteilungen relevant: Vertriebsmitarbeiter müssen im Umgang mit Kundendaten geschult werden, für Fachkräfte in der Produktion ist das irrelevant.
Generell ist es die Für Mitarbeitende wichtig, dass Security-Awareness-Schulungen die Frage nach dem «Warum» beantworten. Sie müssen verständlich sein und einen Nutzen haben: Was für die IT-Sicherheit des Unternehmens gilt, können sie auch auf ihren privaten Computer anwenden.
Wie laufen gute Security Awareness Kampagnen ab?
Workshop & Launch
Zu Beginn steht ein Workshop. Hier werden Probleme und Ziele definiert, Zielgruppen bestimmt und interne und externe Kooperationspartner einbezogen. So entsteht eine auf das Unternehmen zugeschnittene Kampagne, die vor dem Launch an alle Mitarbeiterinnen und Mitarbeiter kommuniziert wird. Für Sascha Maier gilt dabei: “Es muss knallen und einen Wow-Effekt haben.
Kommunikation, Information & Testing
Nach dem Launch wird die Aufmerksamkeit durch weitere Kommunikation – zum Beispiel durch Artikel in der Firmenzeitschrift – hoch gehalten. Parallel testen Sicherheitsexperten die Einhaltung der Unternehmensrichtlinien und simulieren Angriffe von aussen. Das können Phishing-Mails sein, aber auch Versuche, auf das Firmengelände zu gelangen. So wird deutlich, wo Verbesserungspotenziale liegen.
Trainings
Dann beginnen die Schulungen. Und die sollen vor allem Spass machen. Langweilige Vorträge über Cybersicherheit haben, wenn überhaupt, nur eine kurze Wirkung. Gute Security Awareness Trainings bieten Interaktion und Teambuilding, sind neu und interessant. Sie werden von Guerilla-Aktionen begleitet: Zum Beispiel werden in den Gängen auffällige Aufkleber mit dem Logo der Kampagne auf den Boden geklebt.
Ganz wichtig: Menschen lernen durch Wiederholung. Ein einmaliges Security Awareness Training und eine Guerilla-Aktion reichen nicht aus, die Inhalte müssen regelmässig wiederholt werden. Hierfür bietet sich auch Blended Learning an, also die Mischung aus Präsenzveranstaltung und E-Learning.
Top Secure
Beispiel für eine preisgekrönte Security Awareness Kampagne
Sascha Maier weiss aus eigener Erfahrung, wie wichtig ein gutes Security Awareness Programm ist – und wie es funktioniert. Der Uhrenhersteller IWC Schaffhausen verzeichnete zwischen 2012 und 2014 selbst unzählige Phishing- und Website-Attacken.
Die Sicherheitsabteilung und ein internes Team gingen das Problem schliesslich mit dem externen Partner Hewlett Packard Enterprise (HPE) an. Gemeinsam entwickelten sie die Security Awareness Kampagne. Die Projektpartner bezogen alle Unternehmensbereiche ein, sprachen mit Mitarbeitenden aus Produktion, Technik, Konstruktion, Empfang, Marketing, Vertrieb und Schulung. In der Folge entstanden die Unternehmenssicherheitsmarke Top Secure und ein Corporate Awareness Team.
Bei Live-Events zeigte das Team unter anderem, wie einfach es ist, einen PC zu hacken. Bei diesen Aktionen steht der Spass und die soziale Interaktion im Vordergrund – kombiniert mit einem gemeinsamen, leckeren Mittagessen (Lunch’n’Learn).
Das Konzept ist aufgegangen: «Heute erhalten wir von unseren Mitarbeitenden regelmässig wichtige Hinweise zur Verbesserung der IT-Sicherheit», sagt Sascha Maier.
Mittlerweile wurde die Kampagne sogar ausgezeichnet: Der Schweizerische Verband für interne und integrierte Kommunikation (SVIK) verlieh dem Uhrenhersteller 2015 die Goldene Feder für die gelungene Security Awareness Kampagne. Europaweit belegte die Kampagne den zweiten Platz und wurde von der European Federation for International Communications (FEIFA) geehrt.