Viele Organisationen bieten Schulungen für die Security Awareness an. Das ist zwar ein guter Anfang auf dem Weg zum Schutz des menschlichen Faktors in der Cybersicherheit, aber es ist noch einiges an Arbeit nötig, um es richtig und effizient zu machen.
Schulungen als Mittel, um jemandem Informationen über ein bestimmtes Thema zu vermitteln, sind großartig, um jemanden für etwas zu sensibilisieren. Aber Bewusstsein führt nicht immer zu mehr Sicherheit. Security Awareness war lange Zeit stiefmütterlich behandelt worden, hat aber in den letzten Jahren seinen berechtigten Platz bei den Maßnahmen zur Erhöhung der Informationssicherheit eingenommen.
Um jedoch zu einer Steigerung der Informationssicherheit zu gelangen, müssen Organisationen das Bewusstsein mit dem Verhalten kombinieren. BJ Fogg, Verhaltenswissenschaftler an der Stanford University, schreibt in seinem „Fogg Behavior Model“: „Verhalten entsteht, wenn Motivation, Fähigkeit und eine Aufforderung im selben Moment zusammenkommen.“
Motivation
Security Awareness Trainer müssen also die Nutzer motivieren, indem sie ihnen den Wert der Schulung verdeutlichen und ihnen eine unterhaltsame und lohnende Erfahrung bieten. Sie müssen sicherstellen, dass die Menschen geschult werden wollen und offen für die Informationen sind, die sie ihnen geben. Dann müssen sie ihnen relevante Schulungen anbieten, die einen Bezug zu ihrem Alltag und ihrer Rolle im Unternehmen haben. Die Schulungen müssen auch Spaß machen und interessant sein, sonst laufen Trainer Gefahr, die Mitarbeiter zu demotivieren. Dazu gehört auch, dass sie sich auf die individuellen Hintergründe der Benutzer konzentrieren. Dazu gehören vor allem Sprache und Kultur. Menschen lernen zum Beispiel am besten, wenn sie Inhalte in ihrer Muttersprache angeboten bekommen.
Konkrete Aufforderung
Und schließlich brauchen die Menschen eine Aufforderung, um ihr Verhalten zu zeigen. Hier kommen zum Beispiel automatisierte Phishing-Tests ins Spiel. Wie bei echten Phishing-Angriffen wird der Benutzer zu einer bestimmten Handlung aufgefordert. Diese automatisierten Phishing-Tests sollten echte Angriffe so genau wie möglich imitieren. Wir sind uns alle darüber im Klaren, dass diese Tests nicht die gleichen negativen Aspekte wie echte Phishing-Angriffe haben sollten, z. B. die Einbeziehung einer bösartigen Payload oder das Auslösen zu vieler negativer Emotionen, die eine größere Wirkung haben als beabsichtigt. Aber je näher man der Realität kommt, desto besser. Schließlich wird für den Ernstfall trainiert, denn jede Phishing-E-Mail, die angeklickt wird, kann einen Sicherheitsfall auslösen.
Echtzeit-Trainingsmoment
Eine Aufforderung kann aber auch eine andere Form annehmen. Zum Beispiel, wenn der Benutzer ein riskantes Verhalten an den Tag legt. Ein Verhalten, das nicht direkt durch einen absichtlichen böswilligen Angriff ausgelöst wurde, sondern durch einen unbeabsichtigten Fehler, den der Benutzer gemacht hat. Ein Fehler, der gegen die Sicherheitsrichtlinien des Unternehmens verstößt. Dann wollen IT-Sicherheitsverantwortliche im besten Fall auch das (möglicherweise schädliche) Verhalten des Benutzers direkt steuern können. Sie können dies tun, indem sie die Nutzer mit einem Echtzeit-Trainingsmoment abholen. Das lässt sich in Form eines Stupses in die richtige Richtung durch einen extrem kurzen und effektiven Trainingsmoment erreichen. Bei KnowBe4 wird das SecurityTip benannt. Darunter fällt im Grunde eine kurze Nachricht in Form eines schriftlichen Textes oder eines kurzen Videos. Sie hilft dem Nutzer zu verstehen, warum sein Verhalten riskant ist und was die sichere Alternative ist. Alle sind auf umsetzbare Informationen ausgerichtet, die der Nutzer tatsächlich anwenden kann. Auf diese Weise konzentrieren wir uns nicht nur auf die Bereitstellung von Informationen (die Bewusstseinsbildung), sondern beeinflussen auch direkt das Verhalten des Benutzers auf positive Weise.
Fazit
Indem wir Bewusstsein und Verhalten auf diese Weise kombinieren, kann das Risiko einer Organisation auf innovative und effiziente Weise verringert werden. Security Awareness Trainer können die Effizienz jedoch noch weiter steigern, indem sie die Möglichkeiten der KI nutzen. Wie bereits erwähnt, ist es zunächst wichtig, die Benutzer überhaupt zu motivieren, an einem Security Awareness Training teilzunehmen. Im nächsten Schritt geht es dann darum, das Gelernte in der realen Welt anzuwenden, indem das richtige Verhalten gezeigt wird. Dies ist nicht einfach zu bewerkstelligen, da Unternehmen in der Regel eine große Gruppe von Benutzern zu schulen haben und es schwierig sein kann, das Training an die individuellen Vorlieben der Benutzer anzupassen und die Effektivität zu maximieren. Dies kann jedoch durch den Einsatz von Vorschlagsmechanismen in den Schulungswerkzeugen unterstützt werden, die die Bedürfnisse und Präferenzen der einzelnen Benutzer verfolgen und den bestmöglichen Schulungsplan vorschlagen. Indem Security Awareness Trainer diesen virtuellen Assistenten bei der Zusammenstellung von Programmen den Nutzern helfen lassen, können sie die Ergebnisse ihrer Trainings maximieren.