IT-Sicherheitsbewusstsein: Der Mensch im Fokus

Fachbeitrag

Neuartige Bedrohungen für Unternehmen werden immer öfter und verstärkt auftreten. Security-Awareness-Programme scheinen eine schnelle Lösung zu sein. Allerdings braucht es mehr, denn Ihrer wichtigsten Sicherheitsressource ist mit Training und internen Richtlinien noch nicht genüge getan – Ihre Mitarbeitenden benötigen mehr.

Was leisten Programme zum IT-Sicherheitsbewusstsein

„Security Awareness“ also IT-Sicherheitsbewusstsein ist in aller Munde. Über die Konzeption eines IT-Security-Awareness-Programms haben wir vor kurzem geschrieben, hier wollen wir tiefer in die notwendigen Überlegungen einsteigen, denn der „Faktor Mensch“ ist komplex.

Immer mehr Organisationen setzen darauf, ihre Mitarbeitenden mithilfe von Online-Trainings und simulierten Phishing-Angriffen für Cyberangriffe zu sensibilisieren. Das Geschäft mit Security-Awareness-Produkten und Phishing-Simulationen boomt, denn die Bedrohung wächst. Für das Management ist es einfach, ein Training von der Stange zu kaufen und es für die gesamte Organisation verpflichtend zu machen. Wahrscheinlich ist auch der Gedanke, dass Mitarbeitende nach dem Abschluss der Schulung umgehend das richtige Verhalten an den Tag legen, naheliegend, weil leicht (und umgekehrt). Dies kann aber nur der erste Schritt sein. Schon 2015 veröffentlichte das britische RISCS ein „Business White Paper“ zum Thema: Awareness is only the first step.

Ein IT-Sicherheitsbewusstsein-Programm ist also ein Anfang und kann in einigen Fällen ausreichen, um externe Anforderungen zu erfüllen – zum Beispiel weil Nachweispflichten ohne hohen Aufwand bedient werden können oder Normen verlangen, dass alle Mitarbeitenden ein Training absolviert haben müssen. Um Ihr Unternehmen aber wirksam zu schützen, müssen die Mitarbeitenden sichere Verhaltensweisen nicht nur kennen, sondern sie praktizieren. Grundsätzlich gilt: Security Awareness ist kein günstiges Heilmittel für nicht umsetzbare oder komplexe IT-Sicherheitsmaßnahmen.

Organisationsdidaktische Optimierung

Awareness-Schulungen führen allein noch nicht zu einer Verhaltensänderung der Mitarbeitenden. Wenn Mitarbeitende Sicherheitsregeln nicht befolgen, sind die Gründe nur in den seltensten Fällen Unwissenheit oder Böswilligkeit. Viel zu oft erleben Mitarbeitende, dass sie zentrale IT-Sicherheits-Richtlinien nicht befolgen können, weil sie im Konflikt mit ihren eigentlichen Aufgaben stehen.

Nur unter uns – nehmen Sie sich vor dem Abschicken einer E-Mail noch drei Sekunden (extra) Zeit, um den Verteiler erneut zu überprüfen?

Organisationen sollten dafür sorgen, dass sicheres Verhalten im Unternehmenskontext umsetzbar ist. Die Mitarbeitenden sollen eine Verhaltensumstellung durchlaufen, bis das sichere Verhalten zur Routine geworden ist und das Unternehmen sollte dafür den Rahmen schaffen.

Es geht also nicht darum, weitere Aufgaben für die Mitarbeitenden zu schaffen, sondern darum, dass Unternehmen ihre Mitarbeitenden unterstützen, um sicheres Verhalten zu etablieren. Es braucht kein reines mehr an Maßnahmen oder „Toolings“, es braucht eine organisationsdidaktische Optimierung.

Etablierte Routinen durch neue ersetzen

Ein großer Teil der produktiven Arbeitszeit von Mitarbeitenden besteht in der Ausführung von optimierten Routinen. Die Produktivität von einzelnen Mitarbeitenden und des ganzen Unternehmens beruht hauptsächlich darauf, dass häufig ausgeführtes Verhalten schnell und automatisch abläuft. Dieses (unterbewusste) Routineverhalten ist entsprechend positiv, kann allerdings im Einzel- oder Angriffsfall, negativ wirken.

Aber einmal etablierte Routinen abzustellen, oder durch ein neue zu ersetzen, ist, wie einen Tanker in voller Fahrt zu stoppen. Es dauert. Unmöglich wird es Routinen zu ersetzen, wenn keine weiteren Maßnahmen getroffen werden, die die Mitarbeitenden beim Prozess der Verhaltensänderung unterstützen. Dies geschieht in der Praxis jedoch viel zu selten. Die European Union Agency for Cybersecurity (ENISA) stellte schon in Ihrem im April 2019 erschienenen Report „Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity“ fest, dass die meisten Richtlinien, Schulungsmaßnahmen, Phishing- Simulationen oder sogar Sanktionsandrohungen ohne begleitende Maßnahmen keinen langfristigen Effekt haben.

„It is required that the industry shifts from a technology and process centric view to a human centric view and adopt the knowledge from behavioural theories to be successful in the digital age of cybersecurity.“

IT-Sicherheitsbewusstsein schafft die menschliche Firewall

Um das gewünschte „sichere Verhalten“ zu erzeugen, sollten nicht nur die Information vermittelt werden und ein Bewusstsein für die Situation entwickelt werden, es sollte auch eine Machbarkeitsprüfung erfolgen, ob die Mitarbeitenden auch die Rahmenbedingungen vorfinden, in denen Sie das gewünschte „sichere Verhalten“ an den Tag legen können.

Sie möchten, dass Ihre Mitarbeitenden alle unbekannten Personen auf dem Betriebsgelände ansprechen? Grundsätzlich eine sinnvolle Sicherheitsmaßnahme. Aber dies führt natürlich jeden Mitarbeitenden in eine Konfliktsituation. „Rechtfertigen Sie Ihre Anwesenheit“ will situationsspezifisch leicht und doch energisch formuliert werden. Verfügt jeder über solche kommunikativen Talente? Und was, wenn es der Gast der Geschäftsführung ist, der nur einmal kurz austreten wollte und dabei aus naheliegendem Grund nicht begleitet wird? Versetzen Sie sich gerne in die Situation Ihrer (Mit-)Angestellten. Eine solche Situation will geübt und gelernt werden. Und dies erfolgt weit jenseits der reinen Informationsvermittlung.

Information wird zu Wissen durch Anwendung

Wenn Mitarbeitende sich ein neues Verhalten nicht zutrauen, werden sie es eventuell gar nicht versuchen. Die Ausführung eines neuen Verhaltens und die positive Erfahrung, dass sie es können, sollte daher essenzieller Bestandteil von IT-Sicherheitstrainings sein. Eine positive Selbsterkenntnis kann zum Beispiel in Rollenspielen als Eigenerfahrung erfolgen.

Dasselbe gilt für eine stellvertretende Erfahrung zum Beispiel in Form eines Lehrvideos. Relevant für die Entwicklung eines Bewusstseins der Selbstwirksamkeit ist auch die positive Verstärkung. Diese kann zum Beispiel durch Feedback der Vorgesetzten oder der IT erreicht werden (wann wurden Sie zuletzt im Jahresgespräch auf Ihr IT-Sicherheitsbewusstsein angesprochen?), aber auch durch Gamification.

Gamification als Motivator für das Sicherheitsbewusstsein

Wir alle lernen schneller und besser, wenn wir Spaß am Lernen haben. Ein System, welches Wissensvermittlung und erfolgreichen Transfer des Vermittelten Wissens in Verhalten belohnt, motiviert und unterstützt damit den Unternehmenswunsch nach sicherem Verhalten. Dies gilt auch für kleinste Benefits, zum Beispiel Lernzertifikate. Vergeben Sie Erfahrungslevel oder Abzeichen an erfolgreiche Teams oder Abteilungen. Gamification ist natürlich auch im E-Learning anwendbar. Wichtig ist, es soll Spaß machen – und konstruktiv sein.

Nudging – einmal positiv

Auch Nudging haben wir hier schon behandelt, allerdings immer in einem negativen Kontext, wenn uns Websiten unterbewusst beeinflussen möchten. Laura und Cornelius haben zum Thema „Freiwillige Unfreiwilligkeit“ schon einen Podcast veröffentlicht. Hier geht es ausnahmsweise um die positive Nutzung von wahrnehmungspsychologischen Wirkweisen.

Wenn die neuen sicheren Verhaltensweisen bekannt und verstanden sind, haben sie immer noch einen starken Konkurrenten: Das alte, gelernte und gewohnte Verhalten. Hier können verstärkende Hinweise ins Spiel kommen, die die Veränderungen unterstützen. Zum Beispiel verändertes Design oder Veränderungen in Gewohnheiten und Abläufen. Auch können kurze, unterhaltsame Nach-Schulungshäppchen von 4-5 Minuten Länge genutzt werden, um das neue, sichere Verhalten zu etablieren.

Wichtig ist, das Nudging nur eingesetzt wird, wenn die Mitarbeitenden die Veränderung bereits verstanden und angenommen haben. Denn Menschen können sich den kleinen Stupsern zwar nicht entziehen, aber sie können sehr wohl merken, dass Sie beeinflusst werden. Wenn dies gegen den eigenen Willen geschieht, wird es (auch) negative Auswirkungen geben.

Angst ist ein schlechter Ratgeber

Viele Trainingsmaterialien schüren Angst, um Mitarbeitende zu motivieren, dies ist nicht zielführend. Versuchen Sie positiv zu argumentieren.

Wenn Sie in Ihrem Awareness-Programm mit Test-Phishing Mails arbeiten, achten Sie gut darauf, wie Sie Ihre Fake-Phishing-E-Mails gestalten. Die Nachrichten sind voll von Meldungen über entrüstete Mitarbeitende, die eine Bonuszahlung, einen Gutschein oder Incentive erwarteten – und eine Einladung zur Nachschulung erhielten. Simulationen sollten nicht das Gefühl von Kontrolle und Überwachung, sondern das Gefühl von Lernerfolg und Freude! Sie dienen grundsätzlich zur Lernvertiefung, nicht zur Kontrolle.

Versuchen sie die Mitarbeitenden mitzunehmen, in dem Sie Vorankündigungen verschicken und alle Stakeholder frühzeitig einbinden. Das gilt natürlich auch für Ihren DSB. Ziel des IT-Sicherheitsbewusstseins ist die dauerhafte Sensibilisierung, das gewünschte sichere Verhalten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Sicherheit Beratung

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.