Jedes Unternehmen pflegt eine bestimmte Sicherheitskultur. Im besten Fall ist das ein unterstützendes Umfeld, das Best Practices ebenso fördert wie ein aktives Fehlermanagement ohne Schuldzuweisungen. Das muss aber nicht zwangsläufig so sein. Nicht selten ist das vorherrschende Klima eher ungünstig, und das erhöht sowohl interne wie externe Risiken. Grund genug möchte man meinen, den Prozess für eine resiliente Sicherheitskultur anzustoßen und die Belegschaft dahingehend zu motivieren.
Investieren Sie in Bewusstseinsbildung
Wer seine Sicherheitskultur dauerhaft verändern will, der kommt nicht umhin, Zeit und Geld in die Entwicklung von Schulungsprogrammen zu investieren. In den letzten zehn Jahren hat sich die Herangehensweise an das Thema gewaltig verändert. Mitarbeitende zu sanktionieren kann angesichts der Fülle von Datenschutzverletzungen und erfolgreichen Angriffen kaum der richtige Weg sein. Gerade Phishing-Attacken durchlaufen einen neuen Grad an Professionalisierung und selbst zielgerichtete Angriffe gegen IT-Teams sind keine Seltenheit.
Die beste Cybersicherheitsschulung ist die, die das Interesse der Belegschaft wachhält und sie aktiv einbezieht. Was für andere Bereiche gilt, trifft auch beim Thema Cybersicherheit zu: es kommt auf die Form der Vermittlung an. Humor ist nicht unbedingt der schlechteste Weg, eine ernste Botschaft zu vermitteln und Strategien zu deren Umsetzung auf den Weg zu bringen.
Gestalten Sie Ihre Trainingsansätze so integrativ wie möglich – Sie wollen ja Menschen mit unterschiedlichem Hintergrund ansprechen. Der kognitive Neurowissenschaftler Stanislas Dehaene empfiehlt in seinem Buch „Wie wir lernen“, dass Sie sich dabei am besten auf vier Eckpfeiler stützen:
- Eckpfeiler 1: Aufmerksamkeit, „Ein passiver Organismus lernt nicht“
- Eckpfeiler 2: Aktives Engagement, „Verbessern Sie die Umgebung“
- Eckpfeiler 3: Feedback-Kultur, „Null Fehler, null Lernen“
- Eckpfeiler 4: Konsolidierung: „Es ist besser, Schulungszeiten zu verteilen als alles in einen einzigen Durchgang zu packen.“
Auf den Kontext kommt es an
Der Erfolg von Security Awareness-Programmen hängt ganz wesentlich vom richtigen Framing und dem angebotenen Kontext ab. Der Rahmen beantwortet die Frage nach dem „Warum“ von Cybersicherheit innerhalb des betreffenden Unternehmens, während der Kontext die Frage nach dem „Warum ich“ beantworten sollte.
Zoe Rose, IS Lead bei Canon EMEA fasst ihre Erfahrungen wie folgt zusammen: „Dies unterstreicht, wie wichtig es ist, die beiden Aspekte des „Warum“ und „Wie“ von Cybersicherheitsmaßnahmen anzusprechen, und zwar bezogen auf die konkrete Rolle und Position. Wenn Trainings sich auf Anweisungen beschränken, etwa nicht auf Links zu klicken oder Anhänge nicht ungeprüft zu öffnen, wird das eher dazu führen, dass Schulungsinhalte zugunsten der Produktivität ignoriert werden. Stattdessen sollte jede Schulung auf die Bedürfnisse und Bedenken des/der Mitarbeitenden zugeschnitten sein. Sie sollte vermitteln, wie sich das Unternehmen pragmatisch schützen kann und wo genau die Verantwortung der einzelnen Teams liegt. Wichtig ist es, die Meldepflicht anzusprechen und positiv zu bewerte, statt Schuldzuweisungen auszusprechen. Wenn ein Mitarbeiter erfolgreich einen bösartigen Link meldet, sollte man dem mehr Gewicht beimessen als dem versehentlichen Anklicken eines Links. Das vermittelt Menschen ein Gefühl von Sicherheit auch dann, wenn sie vielleicht einen Fehler einräumen müssen.“
Bieten Sie greifbare Anreize
Für viele ist Cybersicherheit nach wie vor wenig greifbar und gleichzeitig komplex. Wie also lassen sich Mitarbeitende motivieren an einem Awareness Training teilzunehmen, auch wenn es nicht verpflichtend ist?
„Anreize sind wichtig“, meint Goher Mohammad, Leiter der Abteilung Infosec bei der L&Q Group. „Mit einem entsprechenden Anreiz, werden Mitarbeitende eher ermutigt, das Richtige zu tun. Statt sie bei einem Fehler zu rügen, sollten wir uns viel eher fragen, wie wir jeden Einzelnen besser motivieren. Wenn jemand Phishing oder einen anderen Vorfall meldet, unterstützt ein Anreiz die Motivation.
Im Idealfall lässt sich das im Berufsleben Erlernte auch im privaten Bereich nutzbringend anwenden. „Man kann Mitarbeiter zusätzlich motivieren, wenn die Inhalte nicht nur dem Unternehmen nützen, sondern auch jedem Einzelnen in seinem privaten Umfeld“, ergänzt John Trest, Chief Learning Officer bei Cyber Management Alliance.
Relevante Inhalte
Jeder Anreiz ist allerdings verschenkt, wenn das Schulungsmaterial für die Zielgruppe nicht oder nicht ausreichend relevant ist. Verzichten Sie bei Laien auf technischen Fachjargon. Das Letzte, was Sie wollen, ist, dass sich Ihr Publikum langweilt und Sie es verlieren.
„Sobald Sie die Aufmerksamkeit des Publikums haben, sollten Sie sicherstellen, dass Ihr Material genau für dieses Publikum relevant ist“, so John Trest weiter. „Wenn Sie beispielsweise über Malware sprechen, sollten Sie darüber sprechen, welche Anzeichen es für einen Befall gibt, welche Merkmale für diese Malware typisch sind und wie der Meldeweg verlaufen sollte. Das ist wichtig, weil es für den beruflichen Alltag direkt relevant ist. Im Gegensatz zu Themen, die dort kaum eine Rolle spielen, wie z. B. das ständige Reden über Advanced Persistent Threats (APTs). Der Stoff sollte so relevant sein, dass er hilft, bewährte Sicherheitspraktiken am Arbeitsplatz und im Privatleben umzusetzen.“
Investieren Sie in Ihre Mitarbeiter
Das Bewusstsein für Cybersecurity zu schärfen ist ein entscheidender Bestandteil für den Aufbau einer positiv fundierten Sicherheitskultur. Was passiert, wenn das nicht der Fall ist? Nun ja, was passiert, wenn Mitarbeitende nur noch um des Geldes willen arbeiten, aber innerlich längst gekündigt haben?
Genau das unterstreicht Chloe Messdaghi, Chief Impact Officer bei Cybrary: „Man sollte unbedingt in seine Mitarbeiter investieren. Wenn diese Grundlage fehlt, warum sollte sich jemand ernsthaft um die Sicherheit in seiner Umgebung kümmern oder bei jeder eingehenden E-Mail doppelt prüfen, ob man auf einen Anhang oder einen Link klicken sollte oder doch besser nicht? Wer nicht in seine Mitarbeiter investiert, hat es am Ende mit Menschen zu tun, die mit einem Burnout zu kämpfen haben. Burnout entsteht nämlich nicht zwangsläufig durch Überforderung. Die Realität ist, dass Burnout durch einen Mangel an Organisation und Fürsorge in Kombination mit unzureichender Führung entsteht.“
Mit gutem Beispiel vorangehen
Wer seine Belegschaft für Cybersicherheit motivieren will, der sollte mit gutem Beispiel vorangehen. Für die Sicherheitskultur ist es kaum förderlich, wenn die Führungsriege des Unternehmens bewährte Verfahren und Sicherheitsanforderungen ignoriert. „Der Fisch stinkt auch hier vom Kopf“, wie Kassia Clifford, Infosec Consultant bei Kassia Clifford Consulting, es treffend formuliert. „Wenn sich die Führungsebene eines Unternehmens den Sicherheitsbemühungen nicht verpflichtet fühlt, überträgt sich diese Haltung auf sämtliche nachfolgenden Kontrollinstanzen und Mitarbeiter. Deshalb ist es so wichtig, dass sich die Führungsetage beim Thema Sicherheit committet.“
Menschen, Prozesse und Technologien sind die drei Säulen, auf denen Cybersicherheit ruht. Wenn Unternehmen es versäumen, ihre Belegschaft durch engagierte Cybersecurity-Awareness-Trainings zu motivieren, untergräbt das das gesamte Sicherheitsgefüge eines Unternehmens. Mit potenziell schwerwiegenden Konsequenzen für alle Beteiligten.
Autor: Steffen Friis, VIPRE Security Group
vipre.com/de/