Sensible Mitarbeiter durch Security Awareness Trainings – Auf den Content kommt es an

 

Anzeige

Das Schärfen des Sicherheitsbewusstseins der Belegschaft ist ein kontinuierlicher Prozess. Wenn die Schulungsmaterialien und -methoden einfach verständlich, lustig und einprägsam sind, dann werden die Sicherheitstrainings erfolgreich sein.

Security Awareness Trainings werden von vielen unterschiedlichen Personen durchgeführt, die in der Regel verschiedene Rollen im Unternehmen bekleiden und damit natürlich auch gänzlich andere Ziele verfolgen. Es ist schwierig zu sagen, dieses Security Awareness Training ist das bessere im Vergleich zu einem anderen. Letztlich kommt es darauf an, ob die vermittelten Botschaften auch bei den Zuhörern ankommen. Wir wollen in diesem Beitrag nicht über die Durchsetzungsmaßnahmen oder aber Anreizmöglichkeiten sprechen. Um die Belegschaft zur Umsetzung von Sicherheitsmaßnahmen zu motivieren – und vom Klick auf eine Phishing-E-Mail abzuhalten – gibt es sicherlich vielfältige kreative Ansätze. So lange diese alle mit Boni versehen sind, werden sie bestimmt positive Auswirkungen haben.

Wechselnde Formate und visuelle Aufbereitung wichtig. Doch genau hier liegt das eigentliche Problem: Jedes Training und jede Präsentation bedarf eines guten Inhalts. Wenn die Schulungsmaterialien einfach verständlich, lustig und einprägsam sind, dann werden sie erfolgreich sein. Denken wir an Poster, die im Flur oder im Büro aufgehängt werden, ab und zu macht es auch in den sanitären Einrichtungen Sinn, dort entsprechende Aushänge zu machen. Doch wie müssen die Informationen aufbereitet werden, die auf den Postern zu lesen sind? Hier gibt es von Land zu Land Unterschiede, was funktioniert und was nicht funktioniert. In Japan sind das Manga-Comics, in den USA eher Comics im Superheldenstil und in Deutschland durchaus auch witzige Geschichten à la Dilbert. Ganz anders in Großbritannien und Südafrika, hier sind kleine Filme im Stil von Monthy Python beliebter. Darüber hinaus eignen sich auch Filme und Serien zur Vermittlung miteinander zusammenhängender Themen wie Zutrittskontrolle und Identitätsmanagement. Je komplexer die Sicherheitsmaßnahmen, desto besser sind solche Formate. Natürlich funktioniert das nicht unternehmensübergreifend, wer aber die richtige Datenbank zur Verfügung hat, kann auf eine Reihe von abteilungsspezifischen Postern zurückgreifen, die nicht nur thematisch die Nöte der Mitarbeiter treffen, sondern auch in Aussage und Bild funktionieren. Darüber hinaus sollten sich die Trainer auch bewusst sein, dass sie die Zeit der Anwesenden so sinnvoll und sinnhaft wie möglich füllen müssen.

Anzeige

Themen und deren Wahrnehmung verändern sich. In Deutschland funktionieren vor allem Inhalte zu den Themen DSGVO und Privatsphäre. Generell sind Mitarbeiter empfänglicher, wenn sie für sich als Privatpersonen auch etwas mitnehmen und zu Hause an die Familie und Freunde weitergeben können. Daher eignen sich auch immer wieder Themen, die sich im alltäglichen Leben anwenden lassen. Klassiker, wie das richtige und schnelle Erkennen von roten Flaggen bei Phishing-E-Mails etwa auf den Empfänger achten, den Betreff zuordnen und den Inhalt analysieren, funktionieren immer wieder gut. Interaktion ist gewünscht und sollte gefördert werden, aktives mitmachen und sich verantwortlich fühlen, sind zwei wichtige Elemente, die im Ergebnis erreicht werden sollten.

Phishing der Mitarbeiter – aber als positive Verstärkung. Keinem Trainer nützt es etwas Mitarbeiter zu »phishen« um sie an den Pranger zu stellen, stattdessen sollte dieses sehr wichtige Mittel nur eingesetzt werden, um sie zu bestärken. Deshalb ist es umso wichtiger mit Feedback zu arbeiten, dass das Opfer nicht noch gängelt, sondern umgehend die Anhaltspunkte deutlich anzeigt, woran man die Phishing-E-Mail hätte erkennen können. Rankings à la Mitarbeiter des Monats mit den wenigsten Klicks führen in einigen Abteilungen nicht zum gewünschten Ergebnis. Vielmehr gilt es diese Mitarbeiter als Vorbilder zu gewinnen, die anderen helfen besser bei der Erkennung von Phishing-E-Mails zu werden. Angst, Neid und Missgunst sind alles negative Gefühle, die bei der Security Awareness mehr schaden als helfen.

Fazit. Gute Inhalte sind abwechslungsreich, unterhaltsam und vor allem immer wieder neu zusammengestellt. Niemand will das gleiche Security Awareness Training mehrmals im Jahr mitmachen müssen. Gamification-Elemente wie Badges ähnlich den Pfadfindermedaillen oder auch Wettbewerbe zwischen Abteilungen um einen kleinen Preis eignen sich hervorragend, um Mitarbeiter für das komplexe Thema der IT-Sicherheit zu sensibilisieren. Last but not least braucht jeder Trainer neben guten Inhalten auch externe Unterstützung. Ein Customer Success Manager, der bei der Auswahl hilft und beim Aufsetzen der Kampagnen auch technisch unterstützt, ist eine Erleichterung gerade für die Trainer, die diesen Job neben zahlreichen weiteren Aufgaben ausüben. Speziell IT-Verantwortliche, die Security Awareness Trainings aufsetzen müssen, tun sich hier durchaus schwerer als die eher nicht technischen Kollegen. Ein Grund hierfür ist, dass viele gute Inhalte eben nicht technischer, sondern eher psychologischer Natur sind. Bei der Nutzung von externen Trainingsmaterialien ist darüber hinaus die Varianz der Formate wichtig. Neben einer großen Auswahl an Themen und Formaten sollte eine Datenbank auch stetig erweitert werden und die Inhalte auf Deutsch vorliegen.

Anzeige


Jelle Wieringa,
Security Awareness Advocate
bei Knowbe4

 

Illustration: © solar22 /shutterstock.com

 

Security Awareness Training bietet Mitarbeitern individuelle Lernkonzepte

Neue Schulungsplattform für Enterprise-Kunden. Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training [1], die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und personalisiertes Training [2], entwickelt wurde. Die neue Schulungsplattform richtet sich (im Vergleich zur für SMB-Kunden entwickelten Kaspersky Security Awareness Plattform) explizit an Unternehmen aus dem Enterprise-Bereich und ist beliebig skalierbar.…

Cloud-native Anwendungssicherheit: Viele sichern die Tür, lassen aber das Fenster offen

Wenn Unternehmen den Lebenszyklus bei der Entwicklung ihrer Anwendungen optimieren und beschleunigen und diese dann in der Cloud bereitstellen möchten, wird die Sicherheit zu einer größeren Herausforderung. Cloud-native Anwendungen sind komplexer und weisen mehr Abhängigkeiten auf, weshalb sie auch schwieriger zu sichern sind. Traditionelle Ansätze drehen sich im Kreis: Es wird lediglich reagiert, um die…

reCaptcha-Abfragen: Kein Mensch, kein Bot – ein Hacker!

Neue Phishing-Methode manipuliert vermehrt reCaptcha-Abfragen. Auch wenn die stationären Geschäfte langsam wieder öffnen, der Online-Kauf hat wegen der aktuellen Ausgangsbeschränkungen Hochkonjunktur. Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß immer wieder neue Methoden, persönliche oder Unternehmensdaten abzugreifen. Seit kurzem fällt auf, dass Hacker…

Cyberbedrohungen 2020 – Effektive Maßnahmen gegen aktuelle Bedrohungstrends erforderlich

Durch die permanente Analyse aktueller Cyberangriffe ist Unit42, das Malware-Analyse-Team von Palo Alto Networks stets am Puls der Zeit, wenn es um Angriffe auf die IT von Unternehmen geht. Anna Chung, Principal Researcher bei Unit 42 von Palo Alto Networks gibt vor diesem Hintergrund einen fundierten Ausblick auf kommende Bedrohungen und erklärt, wie Unternehmen diesen…

Mangelhafter Sicherheitsansatz – nur ein Viertel der Führungskräfte sind von ihrer Cybersicherheit überzeugt

Deutsche Unternehmen bekämpfen Sicherheitsbedrohungen im digitalen Zeitalter mit alten Tools. Schlechte Zeiten für die Sicherheit: Laut einer neuen Studie, die von VMware beauftragt und von Forbes Insights durchgeführt wurde, sind nur 25 % der Führungskräfte in Europa von ihrer aktuellen Cybersicherheit überzeugt [1]. Drei Viertel (76 %) der Führungskräfte und IT-Sicherheitsexperten aus der Region glauben,…

Elf Bausteine zur wirksamen Bekämpfung von Insiderbedrohungen

Organisationen behandeln Insiderbedrohungen häufig als Tabuthema. Nur zögerlich werden Mitarbeiter, die zu einer Bedrohung für das Unternehmen geworden sind, als solche wahrgenommen. Auch Meldungen und Maßnahmen gegen diese Personen erfolgen zögerlich. Es scheint beinahe so, als ob Insiderbedrohungen ein blinder Fleck innerhalb von Prozessen im Management seien.   Der Verizon Insider Threat Report zielt darauf,…

Cyberkriminalitäts-Analyse fokussiert sich auf Bedrohungen durch Insider

  Die Data Breach Investigations Report (DBIR)-Serie von Verizon gibt Einblicke in die Welt der Cyberkriminalität. Jetzt wurde die Analyse von Daten und Vorfällen neu ausgerichtet und fokussiert sich auf die Rolle von Insidern. Daraus entstanden ist der Verizon Insider Threat Report [1]. 20 Prozent der im Rahmen des Verizon 2018 DBIR erfassten Cybersicherheitsvorfälle und…

Fünf Cloud-Trends, auf die sich Unternehmen und Anbieter 2018 einstellen sollten

Einfach individualisierbare und sichere Lösungen zur Digitalisierung aller Geschäftsprozesse verstärkt gefordert. Serverlose Infrastruktur, Container-Technologie oder Multiple Clouds: Technologien wie diese bestimmen aktuelle Trendprognosen zum Thema Cloud Computing. Fabasoft legt bei seinem Ausblick 2018 den Fokus auf die Anforderungen und Bedürfnisse der Cloud-Anwender. Infrastruktur-zentrierte Ansätze spielen hierbei eine untergeordnete Rolle, denn immer mehr Firmen und Dienstleister…

IT-Sicherheit – Aufgabe von Politik und Unternehmen

Mit der wachsenden Digitalisierung steigt die Relevanz der IT-Sicherheit. Eine starke Vernetzung und digitale Infrastruktur bilden die Basis für innovative und kreative Ideen und folglich den wirtschaftlichen Erfolg. Doch neben vielen Vorteilen bringt die Digitalisierung auch große Herausforderungen mit sich. Die Häufigkeit und Qualität von Cyberangriffen hat enorm zugenommen. So werden IT-Sicherheit und Datenschutz auch…

KMU im Fadenkreuz der Cyberkriminellen: Sieben Schritte zur Verbesserung der Cybersicherheit

Zeitmangel oder Unwissenheit: Viele kleine und mittlere Unternehmen sind auf Cyberangriffe nur schlecht vorbereitet. Angesichts der zahlreichen Herausforderungen des täglichen Geschäftsbetriebs überrascht es nicht, dass das Thema Cybersicherheit auf der Tagesordnung kleiner und mittlerer Unternehmen (KMU) häufig auf der Agenda nach unten rutscht. Jedoch mit ernsten Folgen: Wie der Verizon 2016 Data Breach Investigations Report…

Technologie gibt Unternehmen ein falsches Gefühl von Sicherheit

Übermäßiges Vertrauen in die Technologie macht Unternehmen anfällig für Phishing und andere Angriffe, die auf Menschen abzielen. Untersuchungen zufolge haben 52 Prozent der Mitarbeiter bereits auf einen Link in einer gefälschten E-Mail geklickt.   Cyberangreifer nehmen konsequent Unternehmen ins Visier, die sich Sicherheitsexperten zufolge oftmals in Sicherheit wiegen und sich zu sehr auf Technologie zu…

Bewusstsein für Cybersicherheit in Unternehmen spielerisch verbessern

Im Rahmen der Security Intelligence Services verfeinert Kaspersky Lab sein Schulungsprogramm zur Cybersicherheit. Das ab sofort verfügbare Trainingsprogramm [1] beinhaltet interaktive, vielfältige und auf verschiedene unternehmensinterne Zielgruppen angepasste Schulungsmodule, die sich sowohl an Geschäftsführer und Führungskräfte als auch an alle Mitarbeiter im Unternehmen richten. Die computerbasierten und spielerisch aufgebauten Trainings verbessern die gesamte Unternehmenssicherheit: Eine…