Thought Leadership
Wie erreicht man durch Trainings eine Sensibilisierung seiner Mitarbeitenden für ein besseres Security-Verständnis? Hierüber sprach it-daily Publisher Ulrich Parthier mit Matthias Koll, Business Owner der G DATA academy bei G DATA CyberDefense.
Durch technische Maßnahmen wie Endpoint Protection Software, Firewalls Back-up-Systeme, MFA, IdM-Systeme und eine Vielzahl von Security Tools unterschätzen viele Mitarbeitende Cybersecurity-Gefahren. Teilen Sie diese Ansicht?
Matthias Koll: Ein klares Ja. Technologische Schutzmaßnahmen erzeugen ein falsches Sicherheitsgefühl. Aus Sicht vieler Mitarbeitenden liegt die Verantwortung für die unternehmensweite IT-Sicherheit bei den Fachleuten, die mit teuren Systemen für Schutz sorgen. Daher denken viele Angestellte gar nicht daran, dass sie Teil eines Sicherheitskonzepts sind. Verantwortliche denken, wenn sie mehr in Technik investieren, steigt automatisch auch die Sicherheit. Das ist aber ein Trugschluss. Denn es fehlt vielen Unternehmen an Manpower, um die Technik zu bedienen und richtig zu konfigurieren.
Wie bei vielen Unglücken, so ist auch im IT-Bereich nicht technisches Versagen die Ursache für Sicherheitsvorfälle, sondern menschliches Versagen. Was kann man dagegen tun?
Matthias Koll: IT-Sicherheit muss heute auf mehrere Säulen verteilt werden. Technik alleine schützt kein Unternehmen vor Cyberattacken. Und gerade den menschlichen Faktor in die IT-Sicherheit einzubeziehen, die so genannte Human Centered Security, haben viele Firmen vernachlässigt. Allerdings hat bereits ein Umdenken stattgefunden. Unternehmen setzen verstärkt auf eine ganzheitliche IT-Sicherheit, bei der Mitarbeitende ein wichtiger Bestandteil sind. Um alle Angestellten für aktuelle Cybergefahren zu sensibilisieren, werden Security Awareness Trainings genutzt. Im Fokus steht die Erhöhung der Aufmerksamkeit der Mitarbeitenden gegenüber verschiedener Cyberrisiken und -gefahren.
Es heißt immer, eine Kette ist nur so stark wie das schwächste Glied. Bei Mitarbeiterzahlen von mehreren hundert oder tausend Mitarbeitenden ist der Maßstab also der Mitarbeitende, der am sorglosesten mit Sicherheitsmaßnahmen umgeht?
Matthias Koll: Natürlich reicht eine unaufmerksame Person, die den Anhang mit Schadsoftware einer E-Mail öffnet oder den Link zu einer gefälschten Webseite anklickt, um Cyberkriminellen die Tür ins Unternehmen zu öffnen. Allerdings ist die Annahme falsch, dass die Gefahr mit der Unternehmensgröße zunimmt. Denn grundsätzlich ist die IT-Sicherheit bei größeren Firmen besser aufgestellt – es gibt Budget und Mitarbeitende für den Schutz des Netzwerks. Mit der Unternehmensgröße verändern sich die Herausforderungen in Bezug auf IT-Sicherheit. In größeren Unternehmen ist auch die Komplexität des Netzwerks höher und damit auch deren Absicherung. Natürlich ist der Schulungsaufwand für größere Unternehmen auch höher als bei kleinen und mittelständischen Betrieben.
Phishing-Attacken sind bei Weitem ein einfacher und beliebter Angriffsvektor für Cyberkriminelle geworden.
Matthias Koll: Phishing funktioniert seit 30 Jahren – obwohl wir seit 30 Jahren in Mail-Security und Spamfilter investieren. Sicherlich sind Phishing-Mails qualitativ besser geworden. Sie werden heute längst nicht mehr im Namen angeblicher Prinzen, Diplomaten oder Geschäftsleute versendet, sondern sehen wie ganz normale Geschäftsvorgänge aus. Es landen weiterhin unzählige Massenmails in den Postfächern, aber die Gefahr durch gezielte Attacken hat zugenommen. Solche sogenannten Spear-Phishing-Mails sind von echten Nachrichten kaum zu unterscheiden.
Wie können Unternehmen trotz dieser Entwicklung für mehr Sicherheit sorgen?
Matthias Koll: Dies kann gelingen, indem wir das menschliche Verhalten updaten – mit Security Awareness Trainings. Diese Schulungen stellen den Menschen in den Mittelpunkt, nicht die Technik. Der Fachbegriff dafür lautet: Human Centered Security. Mit diesen Trainings lässt sich gezielt nicht nur Aufmerksamkeit im wörtlichen Sinne, sondern ein generelles Umdenken erreichen. Mitarbeitende verstehen, welchen Beitrag sie für die IT-Sicherheit des eigenen Unternehmens leisten können. Sie erkennen dabei, welche Auswirkungen ihr Verhalten hat: Denn mit dem richtigen Verhalten schützen sie nicht nur sich selbst und ihr eigenes Postfach, sondern ihren Arbeitgeber und damit auch die Arbeitsplätze der Kolleg*innen.
Security Awareness, da sprechen wir ja über viele Themenfelder. Welches sind aus Ihrer Sicht die wichtigsten und wie kann man sie strukturieren?
Matthias Koll: Security Awareness umfasst viele Themenfelder. Es reicht nicht aus, die Mitarbeitenden mit einem Rundschreiben über aktuelle Phishing-Mails zu informieren. Das fängt bei Arbeitsmodellen wie mobil & remote, dem Umgang mit Passwörtern sowie rechtlichen Aspekten – Stichwort Datenschutz & DSGVO – an und reicht bis zu aktuellen Angriffsszenarien – Phishing, Social Engineering und Ransomware. Die Themen gehen Hand in Hand und lassen sich schwer voneinander trennen beziehungsweise priorisieren. Deswegen haben wir in unsere Trainings auch immer wieder Reminder eingebaut, um Lerninhalte aufzufrischen. So verstehen die Teilnehmenden das große Ganze und behalten das Gelernte besser.
Phishing-Angriffe werden ja immer zielgruppenspezifischer. Welches sind typische Anwenderfehler?
Matthias Koll: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Denk- und Handlungsmuster aus, die wir Menschen im Laufe der Zeit gelernt haben. Die Betrüger setzen dabei oft auf Gier, Neugier, Angst, Druck, Pflichtbewusstsein, Hilfsbereitschaft und Gewohnheit. Häufig werden diese miteinander kombiniert. Automatisch öffnen wir zum Beispiel eine E-Mail, um sie zu lesen. Diesen Mechanismus machen sich die Angreifer zunutze: Sie zielen bei ihren Angriffen auf Empfindungen und Gedanken ab. Sie appellieren zum Beispiel mit emotionalen Texten an unsere Hilfsbereitschaft für angebliche Menschen in Not, die dringend Unterstützung benötigen würden. Weitere Auslöser sind Hilfsbereitschaft oder Gier. Wer hatte nicht schon eine E-Mail in seinem Postfach, die einen Millionengewinn oder eine Erbschaft in Aussicht stellte?
E-Learning gilt ja als Alternative zu Präsenzschulungen. Aber auch hier hat sich viel getan. Wie sieht modernes E-Learning heute aus?
Matthias Koll: Insbesondere Personalverantwortliche fordern heute kurze Lerneinheiten: Denn Lernzeit ist Arbeitszeit. Daher bieten wir kurze Lerneinheiten an, die Teilnehmende zeit- und ortsabhängig absolvieren können. Grundsätzlich gilt: Videos und Multiple-Choice-Tests gehören immer noch zum Standardrepertoire vieler E-Learnings. Jedoch hat sich das Lernverhalten in Zeiten einer stärker vernetzten digitalen Welt in den letzten Jahren sehr verändert. Daher legen wir bei unseren Security Awareness Trainings den Fokus auf charakterbasiertes Storytelling in Verbindung mit Game-based Learning. Untersuchungen der Direktion für Bildung und Kultur im Schweizer Kanton Zug zeigen, dass solche Lernansätze sehr gut funktionieren und nachhaltig sind. „Normale“ E-Learnings auf freiwilliger Basis haben eine ungefähre Abschlussquote von 25 Prozent. E-Learnings mit interaktiven und spielerischen Elementen von bis zu 90 Prozent.
Jeder Mensch lernt anders. Wie gehen Sie damit um. Ist Storytelling der richtige Lösungsansatz?
Matthias Koll: Storytelling ist nur ein Teil der Lösung, denn um Lernende emotional gedanklich abzuholen, müssen Formate ansprechend und innovativ gestaltet sein. Moderne E-Learnings bzw. Awareness-Trainings setzen daher verstärkt auf gute Geschichten in einem spielerischen Setting mit dem Ziel, den Lerntransfer zu maximieren. Ein erzählerischer Rahmen in Form von „Storytelling“ schafft eine dramaturgische Richtung und gleichsam positive Emotionen und motiviert die Lernenden. Ein klar vorgegebenes Ziel sorgt für eine hohe Motivation während des gesamten Trainings.
Ein zweites Stichwort in diesem Zusammenhang ist das der Gamification. Was hat es damit auf sich?
Matthias Koll: Für die Antwort müssen wir zwei Begriffe voneinander abgrenzen: „Gamification“ und „Game-based Learning“. Der zentrale Unterschied zwischen Gamification und Game-based Learning liegt in der sogenannten „Experience“. Während Game-based Learning eine Lernerfahrung mit vielen verschiedenen spielerischen Bestandteilen beschreibt, zielt Gamification auf die generelle Nutzung spielerischer Elemente ab.
Statt passiver Berieselung setzt Game-based Learning auf eine hohe Interaktion der Lernenden mit den Inhalten. Dadurch wird der Lernerfolg in kurzer Zeit maximiert. Da ein Spiel immer eine Geschichte und ein zu erreichendes Ziel hat, wollen Menschen dies auch bis zum Ende durchspielen. Zudem bringt das Erreichen des Ziels eine positive Verstärkung mit sich.
Werfen wir noch einen Blick auf Ihr Gesamtprogramm. Welche Trainingsmodule, Arten und wie viele unterschiedliche Einheiten bieten Sie in ihrem Programm an?
Matthias Koll: In der G DATA academy bieten wir mehr als 30 Trainings zu allen Aspekten der Cybersicherheit an. Die Awareness Trainings stehen den lernenden Personen in drei Leveln zur Verfügung: Basic, Advanced und Masteclass. Zusätzlich sind die Trainings mehrsprachig und stehen in über zehn Sprachen bereit – ideal also auch für Unternehmen, die international aufgestellt sind. Mit den Trainingsmodulen vermitteln wir das Wissen und vertiefen die Inhalte über Security Flashs und Micro Learnings.
Die Inhalte stellen wir sowohl über ein eigenes Learning Management System als Full-Service-Angebot bereit, als auch als Content-only. So können Firmen und Organisationen unsere Trainings in ihre bestehende Lernplattform integrieren. Natürlich sind die Trainings auch individuell anpassbar und im Look-and-Feel des Unternehmens zu absolvieren.
Zusätzlich stellen wir Firmen noch eine Phishing Simulation zur Verfügung, mit der sie den Status der IT-Sicherheit messen können. Ein Reporting zeigt, ob und wie viele Mitarbeiter eine gefährliche Mail geöffnet und sogar den enthaltenen Link angeklickt haben.
Begleitend bieten wir zum Einstieg ein Ransomware-Spiel an. Denn oft mangelt es Angestellten an der Motivation, Awareness-Schulungen zu absolvieren, weil ihnen die Einsicht fehlt, dass sie selbst einem Phishing-Versuch zum Opfer fallen können. Das interaktive Spiel sorgt für den richtigen Lernanreiz. Die Mitarbeitenden schlüpfen in dem Game in die Rolle eines Detektivs. Als Expert*in für Cybercrime lösen sie den Fall einer Ransomware-Attacke auf das fiktive Unternehmen “Maschinenbau Mayer”. Ziel des Spiels ist es, den Lernenden zu verdeutlichen, wie einfach Menschen einem Phishing-Versuch oder einer Social-Engineering-Attacken auf den Leim gehen.
Herr Koll, wir danken für das Gespräch!
