„Die Verhaltensökonomik beschäftigt sich mit menschlichem Verhalten in wirtschaftlichen Situationen“, so definiert das Institut der deutschen Wirtschaft in Köln den Begriff. Es gibt vielleicht keine Personalmaßnahme die besser geeignet wäre die Definition zu erklären als Security Awareness Training.
Social Engineering zielt darauf ab das Verhalten von Menschen in einer alltäglichen Situation zu beeinflussen, um einen wirtschaftlichen Vorteil zu erzielen. Mitarbeiter, die auf eine Phishing-E-Mail klicken, sind durch einen einfachen Vorgang im Umgang mit digitaler Kommunikation einer Situation ausgesetzt, die zum Ruin für das eigene Unternehmen führen kann.
Dieser Umstand führt oftmals zu einem negativen Umgang mit der Thematik Security Awareness. Mitarbeiter sollen zum Erfolg des Unternehmens beitragen, sind aber nicht daran beteiligt, sie werden als Risiko eingestuft. Diese Sichtweise gleicht einer Fehlerkultur, die zumeist Top down vorherrscht. Sicherheitstrainings und alles damit Zusammenhängende wird also von der Geschäftsführung oder Unternehmensleitung den Mitarbeitern aufoktroyiert. Sie wird verordnet und muss absolviert werden, ähnlich einem firmeneigenen Prozess, um zu wissen, wie Daten abzulegen sind.
Das Risiko eines Mitarbeiters und seines Potentials eines Fehlklicks wird inzwischen auf verschiedene Arten gemessen und berechnet. Einige Unternehmen setzen bei ihren Aufklärungskampagnen schlicht darauf, Anwender in die Falle tappen zu lassen. Sie werden rein mit simulierten Nachrichten geködert und müssen im Zweifel eine Trainingsmaßnahme über sich ergehen lassen, damit sie es beim nächsten Mal besser machen.
Doch es geht auch anders, mit einem positiven Ansatz und dies lässt sich an den folgenden Ausführungen ablesen. Zunächst verkürzt der Begriff und führt im Zweifel sogar in die Irre, denn Awareness allein führt noch nicht zu einer Veränderung des Verhaltens. Ein Mitarbeiter, der verstanden hat, was Phishing ist und entsprechende E-Mails eventuell erkennen kann, wird deshalb zwar weniger klicken, aber dennoch auch mal daneben liegen. Zu verstehen, was diese Aktion für Folgen hat, muss nicht notwendigerweise dazu führen, dass er Phishing-resistent wird. Die Realität sieht so aus, dass nicht zuletzt durch generative KI, Phishing immer schwerer zu erkennen und von Menschen verfassten E-Mails zu unterscheiden ist. Trainer sollten einen positiven, verstärkenden Ansatz wählen, um Security Awareness als gewinnbringende Tätigkeit zu vermitteln, um die Aufmerksamkeit hochzuhalten.
Security Awareness braucht Cyber Champions
Es geht darum, Mitarbeitern Gewohnheiten anzutrainieren, die nicht nur gegen Phishing helfen, sondern gegen möglichst alle Social Engineering-Versuche wirken. Lernen funktioniert im persönlichen Austausch miteinander mit wertschätzender Kommunikation. Wenn Schulungsteilnehmer einen Sinn darin sehen das Training zu absolvieren, sind sie von vornherein motiviert und werden nicht nur etwas lernen, sondern auch ihr Verhalten ändern. Eine positive Erfahrung bei einer Security Awareness-Maßnahme überwiegt und kehrt eine negative um. Und dies lässt sich auch in der Kommunikation übertragen. Wenn ein Mitarbeiter einmal bei simuliertem Phishing eine positive Rückmeldung erhält, dann wird er beim nächsten Mal noch besser aufpassen.
Es braucht eine Begleitung der Maßnahmen, und zwar möglichst aus Sicht eines Kommunikators. Die bereits eingeführte wertschätzende Kommunikation vor, während und nach der Schulung ist nicht zu unterschätzen. Der Wert der Maßnahme muss vermittelt werden, um Motivation zu erzeugen und durch transparente Kommunikation wird diese auch über den Verlauf hochgehalten. Wenn dann im zweiten Schritt auch noch die Anwendbarkeit auf den Arbeitsplatz und die Möglichkeit des Feedbacks eingeräumt werden, gelingt es einzelne Teilnehmer zu Cyber Champions aufzubauen. Wichtig ist, dass sich deren Motivation aus einer Einstellung ableitet, die das Wohl des Unternehmens im Blick hat. Wer Verantwortung für sich aus dieser Perspektive übernimmt, kann diese auch vermitteln und Beispiel geben. Hilfestellung zu geben, im Job und im privaten Umfeld war für viele Motivation genug, sich Ehrenamtlich zu engagieren. Diese Hilfsbereitschaft liegt in der Natur des Menschen, sie muss nur aktiviert werden.
Fazit
Der Faktor Mensch kann durch wertschätzende und transparente Kommunikation in einem Security Awareness-Training zum Cyber Champion werden. Mit der Abkehr von der Betrachtung des Menschen als Risikofaktor zum Security Enabler und vom Rezipienten von Security Awareness-Trainingsinhalten zum Vorbild für andere, egal ob im Job oder im Alltag, gelingt eine Verhaltensveränderung. Dies ist der Weg, den Security Awareness Schulungen beschreiten müssen, um wirklich erfolgreich zu sein. Das Verhalten sollte so motivierend gestaltet werden, dass es zu einem wirtschaftlichen Vorteil durch die Erkennung und Abwehr von Cyberangriffen geriert. Social Engineering muss dann ins Leere laufen, was Unternehmen Geld spart und IT-Abteilungen entlastet.
Dr. Judith Brenneis, Business Coach bei Smartest Healthcare