IT-Security-Awareness: 10 Erfolgsfaktoren bei der Konzeption

Fachbeitrag

Informationssicherheit ist ein wichtiges Thema für jedes Unternehmen. Selbstverständlich haben die Maßnahmen der Fachabteilungen und Geschäftsleitungen eine wichtige Lenkungsfunktion. Jedoch sind viele dieser Maßnahmen und Investitionen weniger wirksam, wenn der „Faktor“ Mensch nicht ausreichend berücksichtigt wird. Daher sollte jeder Mitarbeitende mitgenommen werden und ein entsprechendes Bewusstsein im Unternehmen implementiert werden.

10 Erfolgsfaktoren bei der Konzeption eines IT-Security-Awareness-Programms

Und wie kann kann man die gewünschte Aufmerksamkeit erreichen? Vor dieser Frage stehen viele Informationssicherheitsbeauftragte. In unserem Beitrag stellen wir 10 Erfolgsfaktoren vor, die die Konzeption eines IT-Security-Awareness-Programms positiv beeinflussen können.

1. Grundlagen und Motivation

Es gibt verschiedene Grundlagen und auch entsprechende Vorgaben, Awareness für IT-Sicherheit zu schaffen. Diese Vorgaben sind in den jeweiligen Normen verankert, beispielsweise in dem Kapitel „Sensibilisierung und Schulung zur Informationssicherheit“ des BSI-Grundschutzes oder der ISO 27001. Das ist auf der einen Seite sehr schön und verdeutlicht die Wichtigkeit des Themas. Auf der anderen Seite sollten Verantwortliche diese Verpflichtung nicht in den Vordergrund stellen. Idealerweise ist ein Zustand anzustreben, bei dem Mitarbeitende intrinsisch motiviert sind, zur Informationssicherheit und dem Schutz des Unternehmens aktiv beizutragen und das dazu notwendige Wissen zu erwerben.

2. Berücksichtigung der Unternehmenskultur

Auch ist es elementar, die jeweilige Unternehmenskultur bei den geplanten Aktivitäten sensitiv zu berücksichtigen. So macht es wahrscheinlich wenig Sinn, noch so spannende Planspiele und gut gemeinte Wettbewerbe in einem Unternehmen zu realisieren, bei dem es negativ rivalisierende und konkurrierende Gruppen und Abteilungen gibt. Auch sollte das Standing der Informationstechnologie als ermöglichender Partner gegeben sein. Zusätzlich ist es wichtig, dass die Führungskräfte eine proaktive Vorbildfunktion auch beim Thema IT-Sicherheit ausüben. Mitarbeitende merken sehr schnell, sollten sich hier Diskrepanzen ergeben.

3. Zielsetzungen und Zielgruppen

Zu Beginn des Vorhabens sollte man sich ausreichend Gedanken um die Zielsetzung des Awareness-Programms gemacht werden. Was wollen wir mit welchen Maßnahmen in welchem Zeitraum erreichen? Wie können wir dies umsetzen und gegebenenfalls messen? Welche Ressourcen werden wann benötigt? Auch eine ausreichende Kenntnis und Definition der Zielgruppe(n) ist äußerst wichtig: In welcher Branche und Unternehmensgröße befinden wir uns? Wie sind die Altersstruktur und das Bildungsniveau? Welche Rückschlüsse ergeben sich daraus in Bezug auf Inhalte, die vermittelt werden sollen? Eine klare Struktur und Definition der erwähnten Fragestellungen sind eine sich lohnende zeitliche Investition.

4. Planung, Schulungs-, Kommunikations- und Redaktionsplan

Kernstück der erfolgreichen Konzeption ist sicherlich eine mit allen wichtigen Stakeholdern abgestimmte zumindest mittelfristige Planung, die realistisch umsetzbar ist. Dabei sind auch personelle, zeitliche und finanzielle Ressourcen und Limitierungen zu berücksichtigen.
Ergänzend ist anschließend ein Schulungsplan zu erstellen, der unter anderem Dozenten, Teilnehmende, Themen und Termine sowie die Art der Schulung und die gewünschte Ergebnismessung beinhaltet. Dabei ist eine Abstimmung mit einem Kommunikationsplan und einem damit einhergehenden Redaktionsplan empfehlenswert. Dort werden die Art der Kommunikationsmittel (Videos, Apps, Webseiten, Broschüren, eBooks, Plakate, Werbeartikel, etc.), die Botschaften und Verantwortlichkeiten festgelegt und terminiert.

5. Eingliederung in bestehenden Kommunikations- Schulungskatalog

Auch bei diesem Erfolgsfaktor ist eine ganzheitliche Betrachtungsweise absolut empfehlenswert. Die beste Schulungspräsentation oder auch ein herausragendes Kommunikationsmittel werden ihre Wirkung nicht vollständig entfalten können, wenn sie nur isoliert betrachtet werden und dadurch als nicht stimmig wahrgenommen werden. Das bedeutet, dass die Maßnahmen um das Thema IT-Sicherheit mit anderen unternehmensrelevanten Themen und Schulungsmaßnahmen abgestimmt werden sollten. Auch bei diesem Punkt ist ganz wichtig: Die Tonalität und der rote Faden. Das bedeutet, dass die Tonalität der Kommunikation insgesamt positiv gestaltet werden sollte. Nicht die „Don’ts“, sondern die „Dos“ sollten dabei im Vordergrund stehen.

6. Auswahl der Art von Schulungen

Bei den Schulungen in der Praxis sehen wir vorwiegend PowerPoint-Präsentationen, die persönlich (oder per Teams) von den Referenten vorgetragen werden. Eine durchaus empfehlenswerte und bewährte Vorgehensweise, solange die gängigen Grundsätze der Gestaltung einer Präsentation eingehalten werden. Gleichzeitig regen wir an, auch in diesem Bereich kreativ zu werden und neue Wege zu gehen. Der Einsatz von E-Learning-Tools, die Anwendung von spieltypischen Elementen im Rahmen der Gamifizierung, oder die Gestaltung von spannenden Planspielen und ein bestimmtes Level der Interaktivität sollten zumindest in Erwägung gezogen werden. Aber bitte auch bei dieser Fragestellung immer an die Zielsetzung und die Erwartungen der Zielgruppe denken, um den maximalen Erfolg zu erreichen.

7. Themenauswahl, modularer Aufbau mit aktuellen Schwerpunkten

Für alle Schulungs- und Kommunikationsmaßnahmen ist es essenziell: Die Themenauswahl! Nur Inhalte und Botschaften, die spannend sind und den Adressaten interessieren, haben die Chance, sich im Gedächtnis zu verankern. Und um die feine Balance zwischen Aktualität und Wiederholung erfolgreich zu gestalten, empfehlen wir einen modularen Aufbau mit aktuellem Schwerpunkt. Die Themen sind vielfältig: Ransomware, Phishing, Social Engineering, CEO Fraud, Passwortbehandlung, Zugangs- und Zugriffskontrolle, Datenträger, Mobile Devices, Remote Work und Homeoffice, die aktuelle Bedrohungslage bietet genug Möglichkeiten, interessante Inhalte festzulegen. Wenn dabei ein fester, wiederholbarer Rahmen integriert wird, kann das modulare Konzept erfolgversprechend sein.

8. Das richtige Timing und die Häufigkeit

Das richtige Timing und die Häufigkeit von Kommunikations- und Schulungsmaßnahmen sind wichtige Bausteine in der Gesamtkonzeption und spielen bereits in der Planungsphase eine entsprechende Rolle. Beim Timing sollten mitarbeiterbezogene (zum Beispiel Wochentag und Uhrzeit der Maßnahme) und gleichzeitig auch unternehmensinterne (Messen, Quartalsendgeschäft, etc.) Faktoren berücksichtigt werden. Die Häufigkeit ist natürlich von Ihren Ressourcen abhängig. Aber wundern Sie sich nicht, wenn eine einmalige Schulung im Jahr nicht den gewünschten Effekt hat. Alternativ könnten Sie eine solche Situation mit Kommunikationsmaßnahmen begleiten. Das Bewusstsein für IT-Sicherheit zumindest einmal im Quartal zu wecken, sollte eine realistische Zielsetzung sein.

9. Kontinuierliche Verbesserung und Aktualität, z. B. Videokonferenzen und Homeoffice

Auch bei der Konzeption eines IT-Security-Awareness-Programms sollte ein kontinuierlicher Verbesserungsprozess zu beobachten sein. Gehen Sie auf das Feedback der Mitarbeitenden ein und integrieren Sie sinnvolle Verbesserungsvorschläge in Ihre Maßnahmen. Auch interne oder externe Sicherheitsvorfälle geben unter Umständen Anlass, entsprechend zu agieren. Und vernachlässigen Sie bei aller akribischen Planung nicht eine gewisse Flexibilität in Bezug auf die Aktualität. So haben wir alle in der vergangenen Zeit gelernt, dass beispielsweise die Themen Videokonferenzen und Homeoffice in Verbindung mit der IT-Sicherheit immer wichtiger wurden.

10. Feedback, Tests und Messung

Ein Punkt, der in der Praxis häufig vernachlässigt wird: Feedback, Tests und Messung. Das Feedback der Schulungsteilnehmenden ist eine tolle Möglichkeit, kontinuierliche Verbesserungen voranzutreiben und in der Gesamtkonzeption den richtigen Weg einzuschlagen. Auch ist die Einführung von Tests zu überlegen. Bei den Prüffragen sollten Sie den Maßstab nicht zu hoch setzen: Zum einen stärkt ein bestandener Test (vielleicht sogar mit Zertifikat) das Selbstbewusstsein der Teilnehmenden, zum anderen gibt Ihnen das Gesamtergebnis auch einen Überblick über die Erreichung der geplanten Ziele. In Kombination mit vorher definierten Leistungskennzahlen (KPI: Key-Performance-Indicator), ermöglich Ihnen dies einen recht objektiven Überblick über den Erfolg Ihrer Konzeption. Für diese Themen gibt es Tools, die Ihnen und Ihren Mitarbeitern das Leben erleichtern.

Erfolgsfaktoren ganzheitlich betrachten und umsetzen

Die erwähnten Erfolgsfaktoren sollten ganzheitlich betrachtet und umgesetzt werden. In der Praxis konnten wir tatsächlich einen Zusammenhang zwischen Sicherheitsvorfällen und ungeschulten Mitarbeitenden erkennen. Der Nutzen eines Awareness-Programms sollte damit gegeben sein. Und noch eine Anmerkung: Die von uns erwähnten Erfolgsfaktoren haben sicherlich keinen Anspruch auf Vollständigkeit, möchten Ihnen aber ein paar Anregungen für Ihre Kreativität bei der Konzeption eines IT-Security-Awareness-Programms vermitteln.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.