Thought Leadership
Es ist höchste Zeit, das Sicherheitsbewusstsein sowohl der Mitarbeiter als auch der Geschäftsführung zu schärfen. Aber wie macht man das am besten? In diesem Teil der Serie über Security Awareness geht es um die Vor- und Nachteile der einzelnen Vermittlungsformen. Wie effizient sind sie, was kosten sie?
Die alarmierenden Meldungen von Datenpannen, spektakulären und weniger spektakulären Hackerangriffen und daraus resultierenden Schäden, die teilweise in die Millionen gehen, erreichen uns inzwischen fast täglich. Und dabei sind es lange nicht mehr nur die Großkonzerne, die ins Fadenkreuz der Computerkriminellen geraten: gerade den Mittelstand erwischt es immer häufiger. So dämmert es dann auch dem letzten Verantwortlichen, dass es – neben vielen anderen Maßnahmen – auch höchste Zeit ist, das Sicherheitsbewusstsein der Mitarbeiter zu schärfen. Aber wie macht man das am besten? Aushang am Schwarzen Brett? Frontalunterricht? E-Mail? Was ist am effektivsten, was am kostengünstigsten?
Ziel einer jeden Security Awareness-Schulung muss es sein, das Verhalten der Mitarbeiter im Unternehmen langfristig und nachhaltig zu verändern. Das Grundproblem dabei ist, dass Mitarbeiter außerhalb der IT sich kaum bis gar nicht für dieses Thema interessieren oder gar begeistern. „Davon verstehe ich nichts. Für so etwas haben wir doch unseren Datenschutzbeauftragten und ITler“ – das ist die Hürde in den Köpfen, die es zu nehmen gilt. Weit verbreitet sind auch Ansichten wie „Ich hab doch eh nichts Wichtiges auf meinem PC“ oder „Ich habe schon genug andere Sachen zu tun, das ist nicht meine Aufgabe!“ Wenn wir uns da an unsere Schulzeit erinnern: Die Fächer, für die wir uns nicht interessiert haben („Latein? Brauche ich später doch sowieso nie wieder!“) waren dann meist auch die, in denen wir die schlechtesten Noten hatten – und bei denen am wenigsten hängen blieb. Das menschliche Verhalten ist nun mal geprägt durch die Einstellung gegenüber einem Thema; da reicht es eben nicht aus, einfach nur trockene Sicherheitsrichtlinien und Verhaltensmaßregeln weiterzugeben – nein, zuerst einmal muss der Boden bereitet und Verständnis und Wohlwollen für die Security Awareness vermittelt werden. Was aber nicht mit jeder Schulungsart gleich gut funktioniert.
Unterschiedliche Voraussetzungen und Lerntypen
Eine weitere Problematik bei einer Security-Awareness-Schulung ist, dass jeder Mitarbeiter ein anderes Vorwissen mitbringt und diese somit an unterschiedlichen Startpunkten abgeholt werden müssen, will man sie nicht schon zu Beginn der Schulung „verlieren“. Denn während sich die Kollegen aus der IT bei den grundlegenden Basics langweilen, werden die Mitarbeiter aus dem Versand wiederum vielleicht nur Bahnhof verstehen. Das „Prinzip Gießkanne“ ist daher in den seltensten Fällen der Sache förderlich. Vielmehr sollten die unterschiedlichen Voraussetzungen sowohl bei der Wahl der Methode als auch bei der Zusammensetzung unterschiedlicher Ziel- bzw. Lerngruppen berücksichtigt werden – die vorab dann natürlich erst einmal identifiziert werden müssen.
Hinzu kommt, dass jeder Mensch anders lernt. Da gibt es den „visuellen Typen“, der Wissen durch Lesen oder Beobachtung am besten aufnehmen kann, bei Vorträgen aber nach fünf Minuten wegdämmert. Da wiederum ist der auditive Lerntyp im Vorteil, der gehörte Informationen wunderbar verarbeiten, aber vielleicht gerade einmal eine Seite konzentriert lesen kann. Der kommunikative Lerntyp dagegen braucht den direkten Austausch, braucht Gespräche und Diskussionen, muss nachfragen und laut wiederholen können, damit sich der Stoff bei ihm verfestigt. Der „motorische Lerntyp“ schließlich lernt am besten durch praktische Erfahrung. Er will das Gelesene oder Gehörte direkt ausprobieren, will praktisch umsetzen, was ihm trocken vermittelt wurde – abstrakte Wissensvermittlung ist nicht sein Ding. All diesen verschiedenen Typen muss man möglichst gerecht werden – was am besten funktioniert, wenn man verschiedene Lernmethoden kombiniert. In jeder Hinsicht ist also Varianz und Abwechslung gefragt. Schauen wir uns einmal an, welche es da gibt.
Per Mail oder Newsletter
Die Verlockung ist groß: Eine Rundmail oder ein Newsletter an alle Mitarbeiter ist die mit Abstand kostengünstigste Methode und erfordert auch organisatorisch keinen großen Aufwand. Aber: Laut einer Studie des IT-Branchenverbandes Bitkom erhalten Berufstätige im Schnitt täglich 21 Mails, je nach Position aber auch 50 und mehr. Aus eigener Erfahrung wissen wir: Bei der anfallenden Menge lesen wir bei manchen nur das Betreff-Feld (um sie dann gleich wieder zu löschen), andere legen wir erst einmal zurück („die lese ich später, wenn ich Zeit habe“) um sie dann meist tagelang zu vergessen und schließlich ebenfalls ungelesen dem Papierkorb zu überantworten („Ist ja eh schon alt“). Und eine Mail mit dem für viele Mitarbeiter wenig verheißungsvollen Betreff „Security Awareness-Schulung“ gehört mit Sicherheit in eine dieser beiden Kategorien. Weiterer Nachteil: Hier kommt allein der visuelle Lerntyp auf seine Kosten. Zudem fehlt eine zentrale Übersicht bzw. Nachvollziehbarkeit, wer die E-Mail denn nun wirklich gelesen oder gar verstanden hat. Fazit: Nur begleitend oder ergänzend geeignet.
Flyer, Broschüren und Fachzeitschriften
Hier ist der finanzielle und organisatorische Aufwand schon größer. Auch hat Gedrucktes den Vorteil, dass man damit nicht am Bildschirm/Arbeitsplatz gefesselt ist. Allerdings können gerade Flyer wichtige Sachverhalte nur verkürzt in Stichpunkten wiedergeben, auch lässt sich auch hier nicht kontrollieren, was beim Rezipienten angekommen ist, da es keine Feedback-Möglichkeit gibt. Deshalb taugen sie dann zwar zur späteren Festigung des Stoffes, nicht aber für ein umfassendes Grundlagentraining.
Schulungen, Workshops und Präsenztrainings
Mit einer Schulung vor Ort lassen sich gut verschiedene Lerntypen erreichen, wenn der Vortrag mit Bildern, Folien, PowerPoint-Präsentation, Videos oder auch Live Hacking-Demos wirkungsvoll ergänzt wird und die Teilnehmer eine Möglichkeit zur direkten Rückfrage und praktischen Anwendung bekommen. Zu beachten ist, dass man – wie schon erwähnt – die Schulungen für verschiedene Zielgruppen mit unterschiedlichen Vorkenntnissen anbietet. Nachteile dieser Methode: Der organisatorische Aufwand ist relativ hoch, auch der Zeitaufwand ist nicht unbeträchtlich – der umso größer wird, wenn die Schulungen extern außerhalb des Unternehmens stattfinden; was ist dann zum Beispiel mit den Kollegen, die zu dem Zeitpunkt krank oder im Urlaub sind?
Online- und E-Learning
Hier unterscheidet man grob zwischen Webinaren (bei denen sich die Teilnehmer zu festen Zeiten am Bildschirm einfinden müssen) und zeit- und ortsunabhängigen Schulungen – was den Aufwand (auch für den Arbeitgeber) deutlich minimiert. In dem Fall bekommen die Teilnehmer dann Zugang zu einem Kurs im Internet, wo ihnen der Stoff mit medialer Unterstützung häppchenweise serviert und durch Aufgaben vertieft und abgefragt wird; am Ende steht meist ein Abschlusstest. Teilweise sind diese Angebote (wie z.B. das von Skytale) sogar schon plattformübergreifend erreichbar, auch mobil mit einer App, was den Nutzen noch erhöht. Inzwischen sind einige Anbieter auch dazu übergegangen, das Material akustisch aufzubereiten, etwa durch einen begleitenden Podcast. Wichtig ist, dass der Kursleiter für Nachfragen auch erreichbar ist und bei Problemen weiterhilft – per Mail, per Telefon oder per Video/Voice-Chat. Ein weiterer Vorteil dieser Methode: Das Angebot ist inzwischen so groß, dass sich leicht Zielgruppen-relevante Angebote finden lassen; schon deshalb, weil Online-Schulungen flexibler sind und damit oft speziell Themen-bezogen arbeiten, statt die große Gießkanne herauszuholen.
Der spielerische Ansatz
Der Mensch ist – egal in welchem Alter – ein spielendes Wesen. Spielen ist emotional, macht Spaß, fördert den kommunikativen Austausch und kann auch Wettkampfcharakter haben. So ist die spielerische Vermittlung ernster Inhalte (engl.: „Gamification“) durchaus als Ergänzung einer Security Awareness-Schulung geeignet. Social Engineering, simulierte Spionage-Angriffe, Tailgating, Phishing Attacken – all das lässt sich auch in spielerische Formen fassen. Welche Abteilung umschifft innerhalb eines Monats alle gestellten Phishing-Klippen?
Die Mischung macht es
Wir sehen: Die eine, richtige Methode zur Vermittlung eines Sicherheitsbewusstseins gibt es nicht. Unterschiedliche Lerntypen, unterschiedliche Voraussetzungen – erst der richtige Mix führt zum Erfolg. Der auch nur dann dauerhaft ist, wenn das einmal Gelernte später immer wieder aufbereitet und vertieft wird; Security Awareness ist kein einmaliger Schnellschuss, sondern bedarf großer Nachhaltigkeit. Der hohen Sensibilisierung während eines Trainings muss eine Phase der Festigung folgen, die über Jahre angelegt sein kann, einmal Gelerntes ins Gedächtnis ruft und mit aktuellen neuen Sachverhalten ergänzt. Daher ist eine langfristige Planung zwingend notwendig.
Wichtig bei jeder Schulungsmaßnahme ist, diese vorab schon durch geeignete Aktionen vorzubereiten, um dieses Thema aus der vermeintlichen Experten-Ecke zu holen, um es für alle interessant zu machen und aufzuzeigen, dass es wirklich jeden angeht, dass jeder seinen Teil beitragen kann, kurz: um die Beteiligten wach zu rütteln. Das kann geschehen, indem man zum Beispiel im Vorfeld eine Testmail mit unbekanntem Absender und vermeintlich interessantem Anhang mit einem (natürlich harmlosen) Virus verschickt, präparierte USB-Sticks im Gebäude verteilt oder (natürlich ebenfalls harmlose) Angreifer ins Gebäude einschleust, die Whiteboards abfotografieren oder sich an Rechnern zu schaffen machen. Das alles begleitet von Aufstellern, griffigen Slogans oder Plakaten.
Denn erst, wenn es den Einzelnen interessiert und betrifft, und vor allem: das Gefühl hat ernst genommen und wertgeschätzt zu werden, ist er auch bereit, sich damit zu beschäftigen und Verständnis für den zusätzlichen Aufwand an Schulungen zu zeigen; angeordnete Aktivitäten „von oben“ haben da eher den gegenteiligen Effekt. Daher ist es auch von Vorteil, in die Schulungen auch Sicherheitsaspekte aus dem privaten Bereich der Teilnehmer einfließen zu lassen: Wie schütze ich meinen PC zu Hause vor Hacking-Angriffen, was muss ich beachten, wenn ich persönliche Daten preisgebe, wie sichere ich meine E-Mail-Konten? Ein privater Bezug erhöht den Nutzen für die Teilnehmer – und damit auch ihr Interesse und ihre Aufmerksamkeit.
Lesen Sie auch die anderen Beiträge dieser Serie:
Teil 1: Security Awareness: Definition und Bedeutung
Teil 2: Methoden der Security Awareness Vermittlung
Teil 3: In der dritten Folge wird beleuchtet werden, welche Rolle Führungskräfte in Bezug auf Datenschutz, Informationssicherheit und Security Awareness in einem Unternehmen spielen. Wie können sie ihre Vorbildfunktion ausfüllen? Welchen Einfluss haben sie auf die Handlungen ihrer Angestellten? Was müssen sie selber über Security Awareness wissen?
Teil 4: Im abschließenden Teil dann lassen wir auch die Kritiker von Security-Awareness-Schulungen zu Wort kommen, die die dafür notwendigen Gelder lieber in eine sichere Software-Entwicklung, bessere Security-Schnittstellen und eine gute Nachsorge stecken würden. Haben die am Ende Recht? Wie weit lässt sich der Faktor Mensch überhaupt durch ein geschultes Sicherheitsbewusstsein eliminieren? Ist der IT-Anwender tatsächlich die letzte wirksame Verteidigungslinie?
Die SKYTALE Online-Akademie für IT-Sicherheit bietet staatlich zugelassene Online-Kurse für IT-Sicherheit und Datensicherheit – als zertifiziertes Fernstudium sowie als eLearning.
Das Kursangebot umfasst zertifizierte Weiterbildungen für IT-Experten sowie Fortbildungen für Mitarbeiter und Führungskräfte.
Die Online-Schulungen zur IT-Sicherheit werden auf einer Lernplattform sowie als App zur Verfügung gestellt und sind als nebenberufliches Studium oder in Vollzeit möglich.
