In den meisten Sicherheitsdiskussionen werden Mitarbeiter als Risiko dargestellt. Die angebotenen Schulungen verstärken diese Vorstellung – mit langwierigen jährlichen Präsentationen und der Darstellung alarmierender Konsequenzen für jegliche Fehler von Mitarbeitern. Dieser Ansatz schürt Angst, Desinteresse und führt kaum zu Verhaltensänderungen. Es gibt jedoch eine Alternative; die Grundannahme muss lediglich umgekehrt werden.
Warum angstbasiertes Training nicht fruchtet
Nach Angaben der US-Organisation Verizon Data Breach Investigation Report74 % aller Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen. Ob es sich nun um einen erfolgreichen Social-Engineering-Angriff, einen Fehler oder Missbrauch handelt. Oftmals werden diese Statistiken genutzt, um Mitarbeiter als Schwachstelle darzustellen. Tatsächlich zeigen sie aber, dass menschliches Verhalten das Ziel von Angriffen ist – und dass man genau dort ansetzen kann, um sie zu stoppen.
Angstbasierte Schulungen betrachten diese Statistik als Wertung. Bewusstseinsbasierte Schulungen hingegen sehen sie als Chance. Wenn Ihre Mitarbeiter erkennen, dass sie die erste Verteidigungslinie sind – und nicht etwa ein schwächstes Glied –, ändern sie ihre Denkweise. Sie bemerken Dinge, die ihnen zuvor entgangen sind. Sie äußern sich, anstatt stillschweigend zu hoffen, dass sie sich irren.
Die technische Kontrolle ist weniger wichtig als diese psychologische.
Über die jährliche Checkliste hinausgehen
Wenn Sie Mitarbeiterschulungen zur IT-Sicherheit primär auf die Einhaltung von Vorschriften ausrichten, geraten Sie in einen Teufelskreis. Ein Termin wird vereinbart, Ihr Team erscheint (hoffentlich), sieht sich ein Video oder eine Präsentation an, ein Punkt auf Ihrer Sicherheitsprüfung wird abgehakt, und bis zum nächsten Jahr ändert sich nichts, wenn alles von vorne beginnt. Bis dahin sind die meisten Informationen und der Kontext längst aus dem Kurzzeitgedächtnis Ihres Teams verschwunden. Ein Teufelskreis.
Das ist kein Versagen des Teams, sondern ein strukturelles Problem. Der menschliche Gedächtnisverlust folgt keinem 12-Monats-Zyklus (wäre ja schön, wenn es so wäre), und viele wertvolle Schulungsinformationen sind im Kopf des Teams nicht mehr vorhanden, wenn sie am dringendsten benötigt werden – also wenn das nächste Mal etwas Böswilliges Ihr Unternehmen ins Visier nimmt.
Es hat sich gezeigt, dass automatisierte Schulungszyklen ihren jährlichen, manuellen Workshops überlegen sind, und zwar aus genau einem Grund: Sie sorgen dafür, dass das Thema Sicherheit das ganze Jahr über präsent bleibt, nicht nur während des Seminars. Sicherheitsbewusstseinstraining Die Bereitstellung über eine automatisierte Plattform ermöglicht es Ihnen, alle zu erreichen, Fortschritte zu verfolgen und auf der Grundlage des tatsächlichen Verhaltens Anpassungen vorzunehmen – so ist es bei einem Team, das im stressigen März von zu Hause aus gute Sicherheitsvorkehrungen trifft, viel unwahrscheinlicher, dass es im Dezember Fehler macht.
Das Just-in-Time-Lernmodell
Schulungen zur Sensibilisierung der Mitarbeiter für IT-Sicherheit sind am effektivsten, wenn sie zum optimalen Zeitpunkt stattfinden. Klickt ein Mitarbeiter beispielsweise auf einen Phishing-Simulationslink, sollte man ihn nicht einfach melden und die Sache damit abhaken. Vielmehr bietet sich hier die perfekte Gelegenheit, ihm umgehend ein kurzes, zielgerichtetes Lernmodul anzubieten.
Dieser Ansatz, auch bekannt als Just-in-Time-Learning, erzielt bessere Behaltensraten als vorab geplante Schulungen. Die Lektion knüpft direkt an das Geschehene an. Der Mitarbeiter fühlt sich nicht bestraft, sondern lernt genau im richtigen Moment, was er vermeiden sollte, wenn diese Information am dringendsten benötigt wird.
Aufbau einer Fehlerkultur, in der Fehler nicht als Ursache angenommen werden
Es ist unvermeidlich, dass selbst die bestausgebildeten Mitarbeiter hin und wieder Fehler machen. Der Unterschied zwischen einem kleineren Vorfall und einem schwerwiegenden Sicherheitsverstoß liegt oft darin, wie schnell der Fehler gemeldet wird. Befürchten Mitarbeiter Vergeltungsmaßnahmen, schweigen sie. Der Sicherheitsverstoß eskaliert. Und bis es schließlich bemerkt wird, sind die Folgen deutlich kostspieliger.
Deshalb ist ein klar definierter, nicht-strafender Meldeprozess eine der wichtigsten Maßnahmen, die ein Unternehmen ergreifen kann. Er signalisiert den Mitarbeitern, dass das sofortige Erkennen und Melden von Fehlern die richtige Reaktion ist – und nicht etwas, das vertuscht werden sollte. Zudem schafft er Warnsignale, die Ihr Sicherheitspersonal nutzen kann, bevor ein Sicherheitsvorfall außer Kontrolle gerät.
Und das unterstreicht die Gefahr durch Insider-Bedrohungen auf eine Weise, über die wir viel zu selten sprechen. Die meisten Insider-Vorfälle sind nicht böswillig. Es sind Fehler – jemand installiert unautorisierte Software, wird Opfer eines Pretexting-Angriffs oder konfiguriert einen Cloud-Server falsch. Eine Kultur der Meldung von Sicherheitslücken verhindert, dass solche Vorfälle eskalieren. Eine Kultur der Schuldzuweisung lässt sie hingegen im Verborgenen bleiben.
Sicherheit als professionelle Fähigkeit vermitteln
Gamifizierung wird mitunter als trivial abgetan, doch sie funktioniert tatsächlich, weil sie den Kontext verändert: Die Schulung ist nicht etwas, das Mitarbeitern einfach aufgezwungen wird, sondern etwas, worin sie gut sein können. Ranglisten, Anerkennung und Abzeichen wecken dieselbe Wettbewerbs- und Leistungsmotivation, die Menschen dazu bringt, professionelle Zertifizierungen anzustreben.
Wenn Mitarbeiter beginnen, ihre Fortschritte im Bereich IT-Sicherheit zu dokumentieren oder die gute Leistung ihres Teams in einer Phishing-Simulation bemerken, ist IT-Sicherheit nicht mehr nur ein Thema für Computerfreaks, sondern Teil der beruflichen Identität. Und genau hier entsteht eine echte Cybersicherheitskultur – nicht durch Poster, Mauspads oder Plüschtiere, auch nicht durch Warnhinweise im Mitarbeiterhandbuch.
Die Einführung von MFA, die Reduzierung von Schatten-IT und sogar Aspekte der physischen Sicherheitskultur, wie etwa die konsequente Kontrolle von unbefugtem Mitfahren, verbessern sich, wenn Mitarbeiter dies als Grundvoraussetzung für professionelles Arbeiten verstehen. Es geht nicht um die Einhaltung von Vorschriften, sondern um Kompetenz.
Die Organisationen, die am besten auf Vorfälle reagieren, sind nicht diejenigen mit der spektakulärsten, preisgekrönten Sicherheitstechnologie. Es sind die Organisationen, deren Mitarbeiter motiviert sind, professionell kompetent zu handeln und sofort Unterstützung zu suchen, wenn sie etwas Ungewöhnliches bemerken.