Es besteht keinerlei Zweifel daran, dass Security Awareness-Schulungen unabdingbar sind. Es kann allerdings eine Herausforderung sein, diese effektiv und konsequent über einen längeren Zeitraum hinweg umzusetzen, damit die Inhalte und Botschaften bei der Belegschaft ankommen.
Sicherheitsexperten übernehmen inzwischen zentrale Aufgaben. Es gilt, wichtige Unternehmensdaten, geistiges Eigentum und Geschäftsgeheimnisse zu schützen. Dazu sichert man Netzwerke mit Firewalls, Spam-Filtern, Intrusion Detection und vielen weiteren Maßnahmen. Aber eine Schwachstelle bleibt: Die Mitarbeiter. Nur allzu oft lassen sie sich verleiten, ihre Zugangsdaten für das Netzwerk oder Bankdaten preiszugeben oder Betrügern sogar die Tür zu öffnen. Unabhängig davon, wie ausgefeilt ein Sicherheitssystem auch sein mag, der Mensch bleibt das schwächste Glied.
Unabdingbar: Security Awareness-Schulungen
Security Awareness-Schulungen sind unerlässlich, daran besteht kein Zweifel. Die Herausforderung besteht darin, sie effektiv und konsequent über einen längeren Zeitraum hinweg umzusetzen. Nicht nur sollten Vorgesetzte mit gutem Beispiel vorangehen. Inhalte und Botschaften sollten so vermittelt werden, dass sie beim Zielpublikum ankommen.
Ein Bewusstsein für Cybersicherheit zu entwickeln ist und bleibt ein Prozess.
Richtlinien für ein erfolgreiches Security Awareness-Programm
Heute arbeitet die Belegschaft meist geografisch verstreut. Dann ist E-Learning die beste und kostengünstigste Lösung. Über eine Softwareplattform, das sogenannte Learning Management System (LMS), lassen sich für alle identische Inhalte bereitstellen.
Ein LMS erleichtert es zudem, zu überprüfen, welche Fortschritte die Benutzer machen und wo gegebenenfalls noch individueller Nachholbedarf besteht (und warum). Wenn die entsprechenden Ressourcen vorhanden sind, kann die Personalabteilung selbst interne Inhalte entwickeln. In aller Regel fehlt es aber nicht nur an der nötigen Manpower, sondern auch an Know how. Dann sind externe Schulungsanbieter eine gute Alternative.
Bevor Sie sich final entscheiden, sollten Sie sicherzustellen, dass Sie Ihr Schulungsprogramm richtig planen:
1. Die eigenen Ziele verstehen
Legen Sie die Ziele für Ihr Security Awareness-Programm fest. Ist das Ziel, Vorgaben wie PCI, FISMA oder SOX einzuhalten, wenden Sie sich an die Rechtsabteilung. Nur so gewährleisten Sie, dass tatsächlich alle Anforderungen berücksichtigt werden. Holen Sie sich zusätzlich eine schriftliche Genehmigung ein. Wenn Sie die Sicherheitslage grundlegend und dauerhaft verbessern wollen, braucht es eine veränderte Unternehmenskultur. Die wiederum basiert auf anspruchsvollen Inhalten und einer kontinuierlichen Vermittlung der zentralen Botschaften. Gewohnheiten zu verändern, das braucht Zeit und eine konsistente, klare Kommunikation.
2. Legen Sie einen Zeitplan fest
Legen Sie einen klaren Termin fest, bis wann Sie Ihr Schulungsprogramm abschließen wollen. Wenn der Zeitrahmen eher eng gesteckt ist, sollten Sie darüber nachdenken, mit einem externen Anbieter von Komplettlösungen zu kooperieren. Machen Sie sich bewusst, welche Konsequenzen es haben kann, wenn der Termin überschritten wird. Stimmen Sie die Ziele mit anderen Abteilungen ab und stellen Sie die erforderlichen Ressourcen bereit.
3. Interne Ressourcen einschätzen
Überprüfen Sie, welche Ressourcen nötig sind, damit das Programm erfolgreich sein kann. Verfügen Sie über interne Projektmanager, Fachleute, Lehrplaner, Grafiker und LMS/SCORM-Experten oder ist es besser diese Aufgaben auszulagern?
4. Legen Sie Ihr Budget fest
Wieviel Zeit und Geld müssen Sie in das geplante Security Awareness Training investieren? Auch hier gilt: Ist der Zeitrahmen eng gesteckt, ist es unter Umständen ressourcenschonender, auf eine Standardlösung zurückzugreifen.
5. Holen Sie die Geschäftsleitung ins Boot
Sichern Sie sich die Unterstützung der Geschäftsleitung. Die brauchen Sie, um Fristen und Ziele einzuhalten und das Programm langfristig (effektiv) umzusetzen.
6. Geeignete Technologien auswählen
Wählen Sie die richtige Technologie für Ihr Programm aus. Stellen Sie sicher, dass die betreffenden Inhalte für die unterstützten Browser und Betriebssysteme optimiert sind. Überprüfen Sie, ob Lernplattformen von Drittanbietern zugelassen sind und nicht von den Sicherheitssystemen blockiert werden.
7. Berücksichtigen Sie die regionalen Sprachanforderungen
Bei mehrsprachigen Sicherheitsschulungen arbeiten Sie am besten mit zwei Muttersprachlern mit technischem Background aus dem jeweiligen Land. Eine/r kümmert sich um die eigentliche Übersetzung, der/die andere um den angemessenen kulturellen Kontext.
Lassen Sie das Kursmaterial von internen Muttersprachlern überprüfen, bevor Sie es freigeben.
8. Behalten Sie die Informationssicherheit im Auge
Behalten Sie die zu vermittelnden Botschaften auch zwischen den jeweiligen Schulungseinheiten im Auge. Nutzen Sie beispielsweise Newsletter, Poster, Bildschirmschoner, tägliche Tipps zu Sicherheitsfragen und andere Gedächtnisstützen.
9. Honorieren Sie positive Ergebnisse
Nutzen Sie die Macht der positiven Verstärkung, um erwünschte Verhaltensweisen langfristig zu verankern. Bieten Sie beispielsweise ein Punkte-System an, um an nicht obligatorischen Online-Kursen teilnehmen zu können oder andere Arten von Belohnungssystemen.
10. Verfolgen Sie eine langfristige Strategie
Verfolgen Sie bei Ihrem Security Awareness-Programm immer eine langfristige Strategie. Bedrohungsszenarien und Angriffstaktiken verändern sich ständig. Dazu kommen neue Regularien, Gesetze oder Branchenvorgaben. Dementsprechend sollten die Unterlagen kontinuierlich aktualisiert und ergänzt werden. Nicht wenige Firmen stoßen dabei schnell an ihre Grenzen.
11. Konzentrieren Sie sich auf qualitativ hochwertige Inhalte
Ohne qualitativ hochwertige Inhalte keine Verhaltensänderungen. Interessantes, seriöses Schulungsmaterial ist ein Indikator dafür, welchen Stellenwert das Thema Sicherheit in ihrem Unternehmen hat. Das nehmen auch die Benutzer so wahr. Wer Schulungen als reine Formalität betrachtet, bringt sich um die erwünschte Wirkung.
Überzeugende Kursinhalte erstellen
Wir haben einige Tipps zusammengestellt, wie Sie Kursinhalte ansprechend, effektiv und qualitativ hochwertig erstellen:
- Aktuelle, relevante Inhalte: Die Bedrohungslandschaft entwickelt sich ständig weiter. Sorgen Sie dafür, dass Ihre Inhalte stets aktuell sind, und berücksichtigen Sie neueste Bedrohungen und Sicherheitspraktiken.
- Persönlicher Nutzen: Die Wahrscheinlichkeit, dass sich die Teilnehmer mit dem Training befassen, ist größer, wenn sie einen klaren persönlichen Nutzen erkennen. Beispielsweise verbessern die erlernten Cybersicherheitskonzepte auch Online-Sicherheit im heimischen Netzwerk. Dieser doppelte Nutzen trägt dazu bei, dass die Mitarbeitenden den Wert des Trainings schätzen.
- Reale Szenarien: Integrieren Sie reale Szenarien, um die Inhalte greifbar und nachvollziehbar zu machen. Lassen Sie die Benutzer selbst herausfinden, wie sie in bestimmten Situationen vorgehen würden, oder lassen Sie sie direkt innerhalb dieser Szenarien agieren. Die praktische Anwendung fördert das Verständnis und ist besser geeignet, die Teilnehmer auf reale Situationen vorzubereiten.
- Aktive Beteiligung: Interaktive Elemente fördern die Aufmerksamkeit der Benutzer und erhöhen die Verweildauer. In diesem Fall kann ein Teilnehmer erst dann mit dem nächsten Schritt fortfahren, wenn er die betreffenden Module abgeschlossen hat. So nimmt derjenige aktiv am Lernprozess teil.
- Angepasste Schulungen: Passen Sie Schulungsinhalte an die jeweilige Rolle der Benutzer an, z. B. an die von Mitarbeitern, Vorgesetzten, IT-Mitarbeitern und Programmierern. So erhält jede Gruppe relevante, zielgerichtete Informationen, die sich direkt auf ihre jeweiligen Verantwortlichkeiten beziehen.
- Durchgängige Benutzererfahrung: Nutzen Sie dazu Funktionen wie Lesezeichen, einmaliges Anmelden, Testoptionen, Sprachausgabe und Abschlusszertifikate. Sie machen den Schulungsprozess insgesamt benutzerfreundlicher, zugänglicher und fördern eine regelmäßige und engagierte Teilnahme.
Auf dieser Basis erstellen Sie ein effektives und maßgeschneidertes Schulungsprogramm, das den unterschiedlichen Anforderungen gerecht wird.
Aber brauchen wir unbedingt ein Security Awareness-Trainingsprogramm?
Für effektive Cybersicherheitsschulungen spricht eine Reihe von Gründen. Datensicherheitsverletzungen kosten. Der Schaden geht nicht selten in die Millionen. Das betrifft entgangene Geschäftsabschlüsse, Produktivitätsausfälle durch Malware oder Ransomware, Datenklau und den Verlust der Reputation. Dazu kommen die Aufwendungen für die Wiederherstellung oder juristische Folgekosten. Das gilt für kleine und mittelständische Unternehmen genauso wie für Konzerne. Gerade KMUs geraten aufgrund der Kosten und des Rufschadens nicht selten in unternehmerische Schieflagen.
Wenn Sie Mitarbeitende regelmäßig schulen, trägt dies an einer entscheidenden Stelle dazu bei, die Risiken zu senken.
Fazit
Wenn man die Schulungsaufwendungen mit den Kosten vergleicht, die durch einen Datenschutzvorfall entstehen, relativiert sich die Situation. Wohl kaum ein Unternehmen wird heute noch davon ausgehen, nicht Opfer eines Sicherheitsvorfalls werden zu können. Cyberangriffe nehmen weiterhin zahlenmäßig zu, und die Angreifer justieren ständig nach, entwickeln neue Modelle – nicht zuletzt auf Basis von KI-basierenden Algorithmen. Unternehmen sollten das Thema Schulungen als elementaren Baustein ihrer Sicherheitsstrategie betrachten und nicht als notwendiges Übel.
Autor: Michael Senn, VIPRE Security Group