Statement

Alte Gewohnheiten leben länger

Awareness_training

Die Zigarette am Morgen, das Glas Wein, der Zucker im Kaffee oder die Kleinigkeit zu Naschen am Abend. Wir alle wissen, mit Gewohnheiten zu brechen ist schwierig und, wenn wir es versuchen, verfallen wir allzu oft in alte Verhaltensweisen. Neue Verhaltensweisen zu erlernen ist schwer.

Gleiches gilt auch für Verhaltensweisen im Unternehmen und insbesondere auch für Verhalten, das zur Cybersicherheit der Organisation beiträgt. Die Nutzung des sicheren File-Sharing-Services, E-Mails verschlüsseln, Links vor dem Öffnen inspizieren. Dieser Art Sicherheitstipps sind uns allen bekannt. Gleichwohl tun wir uns manchmal schwer diese Empfehlungen umzusetzen.

Anzeige

Genau dieser Herausforderung stellt sich die Security Awareness. Erlerntes unsicheres Verhalten gilt es aufzudecken, die Betroffenen aufzuklären und neue, sichere Verhaltensweisen zu vermitteln. Aber, wer sich bisher nicht an die Compliance- und Security-Vorschriften gehalten hat, wird es nach dem ersten Security Awareness Training auch nicht unbedingt tun. Jedenfalls nicht ohne zu verstehen, warum eine Veränderung notwendig ist, wie sie durchgeführt werden soll und was als nächstes zu tun ist.

Daher muss ein Security Awareness Training langfristig angelegt sein. Es ist nicht sinnvoll die genannten drei Elemente Warum, Wie und Was in einem Zug zu beantworten. Vielmehr gilt es Sinn und Zweck der Veränderung aufzuzeigen. Die Cybersicherheit muss dazu nicht nur zur Chefsache gemacht werden, sondern auch im Einklang mit der Unternehmensphilosophie und den unternehmerischen Zielen stehen. Die Geschäftsführung ist in der Position genau dies sicherzustellen.

Auf welche Art die gewünschte Veränderung herbeigeführt wird, lässt sich anhand von Beispielen erläutern. Beispielsweise die Reduzierung von Klick-Raten in Phishing E-Mails oder die Anzahl von unsicheren Dateitransfers aus dem Unternehmen. Nach der Vermittlung des initialen Basiswissens gilt es, das Verhalten der Mitarbeitenden zu verändern. Sie sollen das Wissen nicht nur verinnerlichen und im täglichen Beruf anwenden, sondern dies dauerhaft und auch zukünftig beherzigen. Dazu muss vermittelt werden, was genau zu tun ist. Idealerweise besteht die Möglichkeit zur Übung, zum Beispiel in Phishingsimulationen.

Denn oft genug gilt: Alte Gewohnheiten leben länger. Das heißt im Umkehrschluss: Neuen wird eine kurze Lebenszeit bescheinigt. Denn oft tritt nach der einmaligen Schulung ein Vergessensprozess ein, vor allem dann, wenn Mitarbeitende nicht immer wieder daran erinnert werden. In der Wissenschaft wird von der sogenannten Vergessenskurve von Professor Dr. Bernhard Ebbinghaus gesprochen. Bei seiner Untersuchung nach der Halbwertszeit von Texten stellte er fest, dass bereits sechs Tage nach dem Lesen eines Textes lediglich 23 Prozent des Inhalts dem Leser noch präsent waren. Die Forschung hat eindeutig bewiesen, dass „sich nur durch ständiges „Üben“ verhindern lässt, dass die im Gehirn gespeicherten Informationen verloren gehen.“ Oftmals wird dies durch Wiederholung von bestimmten Trainingseinheiten versucht. Wiederkehrende Inhalte werden mit verschiedenen Medien und Formaten, aber auch durch geänderten Themenschwerpunkte immer wieder vermittelt. Dabei sind nicht nur auf die Regelmäßigkeit und Abwechslung des Trainings und seiner Inhalte entscheidend.

Simuliertes Phishing als Unterstützung

Neben dem Training wird auch bei simuliertem Phishing mit immer wieder ähnlichen Betreffzeilen und Formulierungen gearbeitet, um Mitarbeitende zu sensibilisieren. Dabei werden Themen aufgegriffen, die eine breite Masse an Mitarbeitenden ansprechen wie Urlaubsplanung, Lohnbuchhaltung, Dress-Code im Büro, spezielle Anlässe wie Feierlichkeiten und so weiter. Mit den Möglichkeiten der generativen KI können diese Inhalte jetzt noch individueller gestaltet werden, um eine noch höhere Aufmerksamkeit für die Phishing-Test E-Mails zu erzielen. Die individuellere Ansprache führt zu einer höheren Identifikation mit den Inhalten und dadurch zu einer höheren Bereitschaft der Anweisung Folge zu leisten. Die Theorie hat sich in der Praxis bewährt.

Dies alles sollte dazu beitragen, dass Security Awareness Training effektiver wird und die vermittelten Inhalte länger haften bleiben. Allerdings löst es noch nicht die eingangs erwähnte Problemstellung. Es geht schließlich um mehr als nur darum, das Anklicken von Phishing E-Mails zu verhindern. Es geht auch darum, jegliches weitere gegen Compliance- und Sicherheitsrichtlinien verstoßene Verhalten zu verändern. Dies kann beispielsweise die Nutzung von auf einer Sperrliste stehenden Anwendungen zum Filesharing sein, dies kann aber auch das Versenden von sensiblen Anhängen an nicht autorisierte Empfänger sein.

Eine dauerhafte Verhaltensänderung ist nur möglich, wenn Druck und Prozesskontrollen vorhanden sind. Genau das führt dann zu einer Negativspirale, denn Verhalten kann auch aus Trotz nicht geändert werden und im schlimmsten Fall wird das Gegenteil erreicht und es entsteht eine toxische Arbeitskultur.

Feedback geben und Selbstwirksamkeit stärken

Stattdessen sollten Unternehmen aktiv gegen die Kultur des Vergessens vorgehen und das Konzept der Selbstwirksamkeit zu fördern. Dies setzt beim Security Awareness-Verantwortlichen an, muss aber von der Geschäftsführung und allen anderen Stakeholdern unterstützt werden. Selbstwirksamkeit, ein Begriff aus der Psychologie, wird definiert als die innere Überzeugung, schwierige oder herausfordernde Situationen aus eigener Kraft meistern zu können. Um Mitarbeitende zu motivieren, die richtige Entscheidung aus Perspektive der Sicherheit zu treffen ist positives Feedback entscheidend. Eine praktische Möglichkeit, schnell und integriert Feedback zu geben, ist ein Plug-in in einem gängigen E-Mail-Programm wie MS Outlook. Mit einer KI, die mit den entsprechenden Daten trainiert wurde, kann dieser Prozess automatisiert werden und zu besseren Entscheidungen führen. Falls ein Mitarbeitender dann beispielweise eine Anwendung nutzen würde, die auf der schwarzen Liste steht, würde eine Art Alarmglocke angehen und nicht nur den Mitarbeitenden vor der Entscheidung warnen, sondern diese auch noch begründen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Fazit

Eine weitere Möglichkeit ist die Ausbildung von sogenannten Security Champions.

Sie können unbürokratisch und schnell Hilfe und Unterstützung leisten, an Pflichten erinnern und ganz allgemein positiv zu einer stärkeren Sicherheitskultur beitragen. Am besten gelingt dies durch offenes, emotionales Feedback. Die Champions sollten also durch ihre kommunikativen Fähigkeiten ausgewählt werden, im besten Fall handelt es sich dann noch um beliebte Mitarbeitende, die von ihren Kollegen als Ansprechpartner und Hinweisgeber akzeptiert werden. Denn letztlich macht der Ton die Musik. Gewohnheiten lassen sich am besten durch eine emotionale Unterstützung ablegen und langfristig verändern.

Dr. Martin Krämer KnowBe4

Martin

Krämer

KnowBe4

Security Awareness Advocate

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.