luckybusiness - stock.adobe.com
Richtig lernen: So funktioniert Security-Awareness-Training
Damit die Schulungen in Sachen Sicherheitsbewusstsein nachhaltige Ergebnisse liefern und sich Handlungsweisen ganz automatisch etablieren, bedarf es Hintergrundwissen zum Training.
Wenn Sie ein Security-Awareness-Programm der neuen Schule durchführen, werden Sie vielleicht gar nicht merken, wie viel Wissenschaft dahintersteckt. Ihre Mitarbeiter, die an dem Programm teilnehmen, werden es wahrscheinlich auch nicht wahrnehmen merken. Und genau so soll es auch sein: einfach, benutzerfreundlich und automatisiert. Wenn Sie jedoch wissen möchten, warum Security-Awareness-Training so gut funktioniert, lohnt es sich, sich einmal näher mit den psychologischen Erkenntnissen zu befassen, die das Lernen effektiver (und unterhaltsam) machen.
Mit einem guten Security-Awareness-Programm lassen sich sichere Verhaltensweisen auf unkomplizierte Weise erlernen. Zu diesem Zweck wendet ein solches Programm eine Reihe von Erkenntnissen und Techniken an, um dafür zu sorgen, dass unser Gehirn optimal auf das Training anspricht. Einer der wichtigsten Aspekte – und der schwierigste von allen – besteht darin, dem Verlernen entgegenzuwirken. Denn auch wenn jemand etwas Wichtiges gelernt hat, werden die Details und die Bedeutung des Gelernten mit der Zeit verblassen.
„Je weiter die ursprüngliche Absicht oder die ursprünglichen Lernziele zurückliegen, desto weniger erinnert man sich daran“, erklärt Perry Carpenter, Chief Evangelist und Strategy Officer, KnowBe4. Wiederholungen helfen, das Gelernte wirklich im Kopf zu verankern. Und sie helfen auch, sich noch an die Grundlagen zu erinnern, wenn Detail- oder schwierigere Themen behandelt werden.
Emotionen ansprechen
Eine weitere Größe, mit der man rechnen muss, sind die Emotionen. Die Übeltäter wissen genau, wie sie Gefühle potenzieller ausnutzen können. Sie jagen uns in Phishing-E-Mails Angst ein, beschämen uns oder drücken auf die Tränendrüse – und oft funktioniert das. Erklären lässt sich dies, wenn wir uns eine der bekanntesten verhaltenswissenschaftlichen Theorien ansehen, die der Psychologe Daniel Kahneman entwickelt hat. Laut Kahneman sind die Emotionen Teil des „System 1“-Denkens: Im „System 1“ trifft unser Gehirn schnelle und emotionale Entscheidungen. Anders dagegen „System 2“: In diesem System verlangsamt sich das Denken, und Probleme werden logischer analysiert, bevor eine bewusste Entscheidung getroffen wird.
„Wenn es um Cybersicherheit geht, müssen wir Wege finden, die bewirken, dass die Leute vom System 1 ins System 2 wechseln“, so Carpenter. „Außerdem ist es auch sehr hilfreich, sicheres Verhalten zur Gewohnheit zu machen – denn dann werden diese Verhaltensweisen zu einem System-1-Prozess und ganz automatisch angewandt.“
„Mit einem guten Security-Awareness-Programm lassen sich sichere Verhaltensweisen auf unkomplizierte Weise erlernen.“
Jelle Wieringa, KnowBe4
Zum Glück können Emotionen in einem Sicherheitstraining auch etwas Positives sein. Wenn wir Emotionen in die Trainingsinhalte einfließen lassen, steigt die Chance, dass das Gelernte hängen bleibt. Unser Gehirn reagiert einfach anders auf Emotionen als auf sachliche Informationen. Das Gleiche gilt für Inhalte, die auf Geschichten basieren. Unser Gehirn wird eine Geschichte über Sicherheitsbewusstsein ganz anders (und viel besser) verarbeiten als eine Unternehmensrichtlinie zu sicherem Verhalten, die wir im Posteingang finden.
Kleine Anstöße können die Motivation verbessern
Ein Security-Awareness-Training kann sich zudem auch am Fogg-Verhaltensmodell orientieren. Kurz zusammengefasst, besagt dieses Modell, dass drei Voraussetzungen gegeben sein müssen, damit ein bestimmtes Verhalten entsteht: Motivation, Fähigkeit und Anstoß. Wenn ein bestimmtes Verhalten nicht auftritt (zum Beispiel nachdenken, bevor man klickt), bedeutet das, dass eines dieser Elemente fehlt. Ein Trainingsprogramm muss also dafür sorgen, dass die Mitarbeiter zu sicherem Verhalten motiviert und fähig sind, und ihnen zugleich regelmäßige Anstöße geben, auch wirklich – in diesem Fall – nachzudenken, bevor sie klicken.
Diese Anstöße müssen nicht unbedingt groß sein, wie etwa die Chance, Kinokarten zu gewinnen. Es können auch kleine Erinnerungen sein, die die Leute in die richtige Richtung lenken. Zum Beispiel ein Popup-Fenster am unteren Bildschirmrand, dass die Mitarbeiter daran erinnert, ein weiteres Trainingsmodul zu absolvieren. Oder ein Phish Alert Button der den Mitarbeitern eine einfache Möglichkeit bietet, E-Mail-Bedrohungen zu melden.
Alles in allem steckt in einem effektiven Security-Awareness-Training also eine ganze Menge Wissenschaft. Selbst wenn wir spannende Technologien wie KI (künstliche Intelligenz) und maschinelles Lernen außer Acht lassen, die in einem modernen Security-Awareness-Training schon allgegenwärtig sind und bald noch mehr zum Nutzen aller beitragen werden. „Stellen Sie sich die Trainingsplattformen von heute ähnlich vor wie Netflix oder YouTube: den Algorithmen liegt ganz schön viel Wissenschaft zugrunde.“
Bedeutet das aber nun, dass das Training für die Programm-Manager wie auch die Mitarbeiter komplexer werden wird? Keine Sorge: Das wird es definitiv nicht, versichert Carpenter. „Das Ziel wird immer sein, die Dinge im Dienst der Benutzer einfach zu machen und zu automatisieren.“
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.