So funktioniert Awareness-Building effektiv und spielerisch

Die Mitarbeiter zur „menschlichen Firewall“ aufbauen

Featured

Dass die Mitarbeiter das Einfallstor Nr.1 bei Cyberattacken sind, ist nicht neu. 9 von 10 erfolgreiche Angriffe auf Unternehmen starten beim Nutzer, z.B. durch Phishing-E-Mails an die Mitarbeiter. 

Die Corona-Krise hat das Problem nun nochmal deutlich verschärft: Schätzungen gehen von 30% bis über 100% Zuwachs an Cyberangriffen seit Februar 2020 aus. Ob heimtückische Phishing-Mail, gefälschtes Login-Formular oder mit schadhaften Dateien verseuchte Websites – Nutzer haben es immer schwerer, nicht in die Falle zu treten. Die Ausnahme ist zur Regel geworden – und so überrascht es auch nicht, dass jedes Jahr mehr Unternehmen Opfer derartiger Attacken werden (in 2019 z.B. 75%); bei gleichzeitig steigenden Schadenshöhen und immer ausgefeilteren Betrugsversuchen.

Anzeige

„Faktor Mensch“ – Mitarbeiter als aktiver Teil der Verteidigung von Unternehmen

Mit technischen Mitteln allein ist dem Problem nicht beizukommen: trotz Spamfiltern, Firewalls und Antivirus-Programmen schafft es ein substanzieller Anteil an Mails in die Postfächer der Nutzer. Die Sensibilisierung der Mitarbeiter, kombiniert mit unterstützenden Tools für den Ernstfall, ist daher ein elementarer Bestandteil jedes IT-Sicherheitskonzeptes. Doch nur die wenigsten Kollegen schmeißen die Hände in die Höhe, wenn sie an „IT-Security-Training“ denken; für die meisten ist das Thema schlichtweg ein lästiges Übel. Dass sich die Begeisterung durch abstrakte Vorträge oder lange Checklisten nicht sonderlich steigern lässt, verwundert da nicht – vielmehr macht es deutlich, dass die Mitarbeiter besser abgeholt und mit kleinen, verdaubaren Lektionen immer und immer wieder mit der Thematik konfrontiert werden sollten. 

Moderne Methoden der Lernpsychologie erhöhen den Schulungserfolg

Um das Training der Nutzer möglichst optimal gestalten zu können, kann man sich u.a. an Erkenntnissen der Lernpsychologie bedienen: Techniken wie inzidentelles Lernen, Nudging oder Gamification können dafür sorgen, dass Inhalte sehr viel leichter und zugleich effektiver erlernt werden können – und als nachhalte Routinen auch langfristig verankert bleiben. Doch was genau ist hierunter zu verstehen? 

Beim inzidentellen Lernen geht es darum, sich konkrete Situationen aus dem Alltag zu Nutze zu machen, um direkt an ihnen den Lerngegenstand aufzuzeigen. Ein sehr greifbares Beispiel ist etwa die Sprachreise ins Ausland – sicher haben viele schon die Erfahrung gemacht, wie viel einfacher dort das Lernen der Vokabeln und Aussprache fällt, ohne dass man das Gefühl hatte, aktiv zu lernen.

Nudging hingegen beschreibt eine Technik, bei der mit kleinen „Anstupsern“ oft auch unterbewusste Prozesse in Gang gesetzt werden. Ein Beispiel: wenn am Buffet das gesunde Obst ansprechend und leicht zugänglich präsentiert wird, läuft es der ungesunden Süßspeise, die etwas weiter hinten platziert ist, den Rang ab. 

Bei Stichwort Gamification geht es zu guter Letzt darum, durch spielerische Elemente die trockene Materie etwas aufzupeppen bzw. für zusätzliche Motivation zu sorgen. 

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie die SoSafe Awareness-Plattform Mitarbeiter mithilfe von Lernpsychologie sensibilisiert

Die Trainingsplattform von SoSafe wurde auf Basis der oben erläuterten Prinzipien entwickelt. Das Ziel: maximaler Lernerfolg und dauerhafte Sensibilisierung. Die Elemente der Lösung folgen dabei drei Ebenen der Lernpsychologie.  

Der erste Schritt ist die Vermittlung grundlegenden Wissens im IT-Sicherheitsbereich. Was ist ein sicheres Passwort? Wie schütze ich die Daten uns Systeme meines Unternehmens im Home-Office? Wie sollte ich reagieren, wenn mein Computer infiziert wurde? Um hierbei ein möglichst flexibles und effektives Lernerlebnis zu ermöglichen, sind sämtliche Module komprimiert und interaktiv. Wie beim erwähnten „Nudging“ erhalten die User ganz kurze Lerneinheiten, sog. Micro-Lernmodule, über die Zeit verteilt. Solche kleinen „Wissensstupser“ sind viel einfacher zu verdauen und zu behalten, und bieten auch dann eine Lernerfahrung, wenn z.B. für einen großen Lernblock keine Zeit wäre.

Der zweite Schritt ist die direkte und praxisorientierte Anwendung des erlernten Grundlagenwissens. Hierbei sind beispielweise Phishing-Simulationen oder andere simulierte Angriffe extrem wirksame Methoden, um das Lernen direkt am Objekt zur ermöglichen. Und zwar genau dort, wo auch echte Angriffe stattfinden: im Posteingang, am Telefon, auf manipulierten Websites. So können etwa spezifisch erstellte Lernseiten im Rahmen einer Phishing-Simulation den Mitarbeitern ganz konkret zeigen, wie sie die gefährlichen Mails hätten erkennen können und wie sie sich zukünftig durch richtiges Verhalten davor schützen können. Hier dient das inzidentelle Lernen also dazu, den Mitarbeitern ganz konkrete und direkt umsetzbare Tipps an die Hand zu geben. 

Der dritte Schritt ist die Verankerung von Routinen, so dass der aufmerksame Umgang mit dem Thema IT-Sicherheit quasi zum Selbstläufer wird. Hierfür können verschiedene Elemente genutzt werden; wichtig ist aber vor allem, dass das Lernen kontinuierlich abläuft und die Nutzermotivation maximiert wird. Durch unterschiedliche Schwierigkeitslevel, kleine „Challenges“ und Abzeichen sowie eine stimmige Storyline lässt sich z.B. auch die sonst so graue IT-Sicherheitswelt so gestalten, dass sie die Nutzer motiviert und das Training ihnen Spaß macht. Letztlich geht es darum, eine vermeintlich trockene Materie mit Spaß und Unterhaltung zu vermitteln und eine Lernwelt zu schaffen, in der die Protagonisten mit immer wieder neuen Herausforderungen konfrontiert werden.

Geringer Aufwand, große Wirkung – Awareness-Lösungen müssen den Admin entlasten

Nachhalte Sensibilisierung kann ein komplexes Unterfangen sein – insbesondere, wenn man die Mitarbeiter dauerhaft und individuell trainieren möchte. Kommunikationskampagnen oder Seminarreihen sind teilweise mit Aufwand und hohen Kosten verbunden. 

Um jedoch die notwendigen internen Ressourcen so niedrig wie möglich zu halten, bieten wir mit unseren Full-Service-Paketen eine echte „Fire-and-Forget“-Lösung. Durch eine automatisierte Anpassung der Lernmodule und unser Cyber-Security-Experten-Team erhalten die Mitarbeiter ein passgenaues und unterhaltsames Training – und das mit nur minimalem Implementierungsaufwand.

Lernmaßnahmen lassen sich zudem abteilungsspezifisch konfigurieren und optisch wie inhaltlich (z.B. Passwortlänge, Ansprechpartner für den Datenschutz, etc.) an den jeweiligen Firmenkontext anpassen. Dies gilt gleichsam für die Phishing-Simulation, wo interne E-Mails täuschend echt imitiert werden können. Und nicht zuletzt durch die Möglichkeit der anonymen – und daher 100% DSGVO-konformen – Auswertung setzen wir uns am Markt ab – denn die meisten Mitarbeiter möchten nicht kontrolliert oder überwacht werden. Nicht ohne Grund bewerten die User unsere Lösung durchweg sehr positiv (im Schnitt 4.35 von 5 Sternen bei > 1.000 Bewertungen) und auch die Administratoren sind begeistert: so würde die klare Mehrheit unsere Lösung weiterempfehlen, wie der aktuelle Net Promoter Score von +91 (auf einer Skala von -100 bis +100) eindeutig zeigt. 

Werden die o.g. Techniken genutzt, kann die „menschliche Firewall“ schnell und standhaft errichtet werden. Davon profitieren dann alle Beteiligten: die Mitarbeiter, weil sie ihren Arbeitgeber und auch sich privat besser schützen; die Administratoren, weil geschulte Mitarbeiter weniger Supportaufkommen verursachen, und die Arbeitgeber, weil sie nicht nur eine erhöhte Daten- und Informationssicherheit sowie eine geringere Risikoexposition haben, sondern darüber hinaus auch noch einen echten Mehrwert für ihre Mitarbeiter bieten können.

Weitere Informationen zu modernem Awareness-Training und zur aktuellen Phishing-Bedrohung, finden Sie im kostenlosen Webinar. Für einen kostenlosen Phishing-Test besuchen Sie sosafe.de/demo.

www.sosafe.de

Niklas Hellemann

SoSafe GmbH -

Geschäftsführer

Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater (Boston Consulting Group) und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.