Rawpixel.com - Fotolia
Grundregeln für Security-Awareness-Schulungen
Der Erfolg von Schulungen in Sachen Sicherheitsbewusstsein in Unternehmen ist häufig unbefriedigend. Beachtet man folgende Grundregeln, verbessern sich die Erfolgschancen durchaus.
Die Gewährleistung des Sicherheitsbewusstseins der Mitarbeiter ist ein wichtiger Bestandteil der Cybersicherheitsstrategie eines jeden Unternehmens: Schon ein kleiner Unfall kann schwerwiegende Folgen haben, beispielsweise wenn ein Mitarbeiter unachtsam auf einen von einem Cyberkriminellen verteilten Link klickt. In vielen Fällen kann weder Hardware noch Software helfen, wenn Mitarbeiter ausgetrickst werden.
Security-Awareness-Programme sind eine logische Reaktion, um Mitarbeiter in Sachen Cybersicherheit zu schulen, insbesondere in Bezug auf das richtige Verhalten und die Minimierung menschlicher Risiken. Der Erfolg dieser Programme ist jedoch oft unbefriedigend, weil sie in vielen Fällen die Mitarbeiter eher verärgern, als ihre Aufmerksamkeit auf sich ziehen. Wenn es um Security-Awareness-Schulungen und -Kampagnen geht, sollten drei wichtige Grundregeln befolgt werden, um die Erfolgschancen zu erhöhen.
Positive Anreize und Botschaften setzen, statt Angst zu verbreiten
Natürlich geht es in einer Security-Awareness-Kampagne darum, das Risiko für kritische und geschäftsschädigende Ereignisse zu senken. Oftmals werden deshalb Risiken, Schäden und die Verantwortung der Verursacher betont. Allerdings sind Bestrafungen und negative Aussichten wenig geeignet, Personen zu Verhaltensänderungen zu motivieren. Stattdessen sollten die Botschaften des Programms positiv formuliert, der Erfolgsfall skizziert und entsprechende Anreize gesetzt werden.
Die negativen Formulierungen lassen den gewünschten Zustand oft diffus erscheinen. Wenn stattdessen beispielsweise betont wird, wie die Sicherheit die Möglichkeiten der Mitarbeiter erweitert, online und aus der Ferne zu arbeiten, haben sie ein konkretes Ziel vor Augen. Daraus folgt eine höhere Motivation und bessere Aufnahmebereitschaft im eigenen Unternehmen, das den Erfolg der Kampagne erhöht.
Persönliche Vorteile betonen
Eine weitere Herausforderung ist oft, dass Security Awareness als betriebliche Angelegenheit wahrgenommen wird, mit der sich die Angestellten während der Arbeitszeit bevormundet fühlen. Um diesen Eindruck zu vermeiden, können die persönlichen Vorteile betont werden, welche die Kampagne für jeden Einzelnen hat: Die Schulungen verbessern ihren Schutz vor Cyberkriminalität und anderen Cybergefahren nämlich auch im privaten Umfeld.
Die Menschen nutzen zu Hause überwiegend die gleiche oder ähnliche Technologie wie am Arbeitsplatz, beispielsweise E-Mails, PCs, Smartphones und viele andere. Cyberangriffe konzentrieren sich daher nicht zwangsläufig auf berufliche Geräte, sodass die Mitarbeiter privat mit denselben Risiken konfrontiert sind, für die sie auf der Arbeit sensibilisiert werden. Mit den Verhaltensweisen, die ein Security-Awareness-Programm vermittelt, können sie sich also auch zu Hause schützen.
Die Wahrscheinlichkeit dafür, dass sich die eigenen Mitarbeiter engagieren werden, ist deutlich größer, wenn ihnen ihre persönlichen Vorteile klar werden. Sie werden beispielsweise eher bereit sein, die vermittelten Inhalte auch privat umzusetzen, sodass die Lehrinhalte schneller zu Gewohnheiten werden, die sie verinnerlicht haben.
Sicherheit muss einfach sein
Jeder Mensch hat zahlreiche Verhaltensweisen verinnerlicht und manche davon, sind eine Herausforderung für die Cybersicherheit des Unternehmens. Jede Verhaltensweise, die das Security Awareness-Programm ändern soll, bedarf ein zusätzliches Engagement durch die Mitarbeiter. Natürlich kann man das Engagement fördern, aber wenn das Programm zu viel erwartet, wird es entgegen aller Anstrengungen die Bereitschaft der Mitarbeiter nicht in dem gewünschten Maße erhöhen.
Deshalb sollte sich jedes Programm auf die wenigen Verhaltensweisen konzentrieren, die den größten Einfluss auf die Cybersicherheit haben. Das macht es einfacher, im Rahmen der Leistungsbereitschaft der eigenen Mitarbeiter zu bleiben, ohne ihre Aufmerksamkeit zu überstrapazieren. Für weitere Optimierungen und Verfeinerungen können zusätzliche Verhaltensweisen in späteren Programmen aufgegriffen und etabliert werden, um die Security Awareness zu steigern.
„Wenn sich das Programm auf ausgewählte Punkte konzentriert, und die Anliegen verständlich vermittelt werden, dann gilt es, die gewünschten Verhaltensweisen möglichst einfach zu gestalten.“
Lance Spitzner, SANS Institute
Die Kommunikation dieser Verhaltensweisen sollte möglichst einfach sein und die Verantwortlichen sollten kritisch hinterfragen, ob sie sich verständlich ausdrücken. Umso vertrauter die Verantwortlichen mit den technischen Details sind, umso schwerer fällt es ihnen oft, die Vorkenntnisse der anderen Mitarbeiter realistisch einzuschätzen. Dieser Effekt, dass ausgerechnet Experten Probleme haben, ihr Wissen verständlich zu vermitteln, wird als „Fluch des Wissens“ bezeichnet.
Wenn sich das Programm auf ausgewählte Punkte konzentriert, und die Anliegen verständlich vermittelt werden, dann gilt es, die gewünschten Verhaltensweisen möglichst einfach zu gestalten. Viele Passwortrichtlinien sind beispielsweise umständlich und erfordern lange, schlecht zu merkende Passwörter sowie den regelmäßigen Austausch. Deshalb weichen viele Mitarbeiter aus Bequemlichkeit auf unsichere Standardpasswörter aus, worunter die Sicherheit eher leidet. Damit sich die gewünschten Verhaltensweisen aus einem Security-Awareness-Programm durchsetzen, sollte es bereits möglichst bequem für den Einzelnen sein.
Fazit
Security-Awareness-Programme sind ein logischer und richtiger Weg, um das menschliche Risiko zu minimieren und die technischen Kontrollen zu ergänzen. Diese werden allerdings oft als aufdringlich empfunden. Deshalb ist es wichtig, sich ausführlich darüber Gedanken zu machen, welche Verhaltensänderungen wie erzielt werden sollen. Positive Botschaften, Anreize wie persönliche Vorteile und Sicherheit möglichst einfach zu gestalten, sind drei wesentliche Erfolgsfaktoren. Wer sie einhält, wird die Erfolgsaussichten seiner Kampagne deutlich steigern.
Über den Autor:
Lance Spitzner ist Leiter des Security-Awareness-Programms des SANS Institutes.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!