123456, 123456789, 12345678 – Hätten Sie gedacht, dass dies die Top 3 der meistgenutzten Passwörter des vergangenen Jahres waren? Solche Passwörter sowie andere vermeidbare Sicherheitslücken eröffnen große Angriffsflächen für Cyberkriminalität. Hacker benötigen keine Sekunde, um diese Passwörter zu knacken und sich Zugriff zu sensiblen Unternehmensinformationen zu verschaffen.
Häufig ist die Security Awareness noch nicht endgültig in der Unternehmenskultur verankert und einzelne Schulungen allein können kein dauerhaftes Problembewusstsein schaffen. Grund hierfür ist, dass viele Mitarbeiter*innen das Security-Awareness-Training als „Pflichtübung“ verstehen, zu der wenig Lust besteht und in der sie letztlich nur Zeit absitzen, ohne ihren Reifegrad zu erhöhen.
Der Impuls für ein Security-Awareness-Training kommt oft von der IT-Leitung oder dem Gesamtverantwortlichen für Informationssicherheit im Unternehmen (Chief Information Security Officer). Die Anforderung kann auch im Rahmen einer Zertifizierung wie ISO27001 oder KRITIS notwendig werden und das HR-Management übernimmt häufig die Koordination mit den Kampagnen-Verantwortlichen. Für diese Personengruppen haben wir 10 Erfolgsfaktoren für Security-Awareness-Kampagnen zusammengetragen, mit denen sie Mitarbeiter*innen erfolgreich und dauerhaft für das Thema Security sensibilisieren können!
1. Ominchannel-Ansatz für Security Awareness Kampagnen
Schulungen sensibilisieren Mitarbeiter*innen lediglich punktuell und mit der Zeit wird das Gelernte wieder „schleifen gelassen“ oder ganz vergessen. Wir raten daher zu einer gesamten Kampagne, in der Präsenzschulungen nur einen Teil ausmachen. Über einen Omnichannel-Ansatz können Mitarbeiter*innen über verschiedene Kanäle erreicht werden:
- Schulungen
- Onlineseminare
- Quizzes
- Printmaterialien
- E-Mails
- Videos
- Bildschirmhintergründe
- Merkblätter
- Aufkleber
- Intranet-News
Das grundlegende Wissen wird auf unterschiedlichen Kanälen immer wieder an die Mitarbeiter*innen herangetragen, denn der Faktor Mensch steht für Security Awareness im Mittelpunkt.
Durch viele verschiedene Touchpoints wird Mitarbeiter*innen das Thema Security Awareness immer wieder ins Gedächtnis gerufen. Zudem erreichen Trainer*innen über den Einsatz verschiedener Medien auch alle Lerntypen, sodass jeder Beschäftigte auf individuelle Weise das notwendige Wissen vermittelt bekommt, mit dem sowohl Sicherheitslücken als auch eigenes Fehlverhalten erkannt und eingegrenzt werden können.
Sowohl Sicherheitslücken, als auch eigenes Fehlverhalten, im Sinne von: Wie reagiere ich in dem bestimmten Fall der Phishing Mail. Oder gebe ich hier wirklich mein Passwort ein. Oder: ist mein Passwort eigentlich sicher?
2. Social Engineering-Überprüfung durch Phishing-Tests & Analyse des Sensibilisierungsniveaus
Social Engineering fällt in den Bereich des produktiven Lernens. Mit einem Phishing-Test als produktive Lernmethode können Beschäftigte, wenn sie auf eine Phishing-Mail klicken, auf eine Internetseite geführt werden, die vorzeigt, was falsch gemacht wurde.
Durch praktische Tätigkeitserfahrungen können auch Analysen des Sensibilisierungsniveaus der Mitarbeiter*innen vorgenommen werden. Diese fünf Testings sind besonders effektiv, um das Sensibilisierungsniveau zu ermitteln und zu messen:
- Phishing: Phishing-Mails werden an Mitarbeiter*innen verschickt.
- USB-Sicherheit: Präparierte USB-Sticks werden an verschiedenen Orten im Unternehmen platziert.
- Telefonanrufe: Mitarbeiter*innen werden gezielt angerufen und in ein vorher definiertes Szenario verwickelt (z. B. Microsoft Support), um von Ihnen sensible Informationen zu erhalten.
- Kontaktdaten-Recherche: Anhand von Social-Media-Informationen werden potenzielle Angriffsvektoren ermittelt.
- Gebäude- und Büro-Sicherheit: Analyse, wie Mitarbeiter sich in einer realen Situation verhalten, wenn sie beispielsweise nach dem Weg gefragt werden oder wenn sie gefragt werden, ob es frei zugängliche Drucker und unverschlossene Büros gibt. Geben die Beschäftigten diese Informationen über potentielle Sicherheitslücken auf dem Gelände oder im Gebäude weiter?
Kompetenzen lassen sich in der Theorie nur schwer an Mitarbeiter*innen weitergeben. Es zeigt sicher immer wieder, dass praktische Ansätze besser funktionieren, bei denen der Mensch mit einer konkreten Situation konfrontiert wird. Durch das reale Erlebnis und eine Auswertung der Interaktionen im Anschluss zahlt Social Engineering besonders effektiv und nachhaltig auf die Sicherheits-Awareness von Mitarbeiter*innen ein.
3. Ideale Voraussetzungen für Cyber Security Awareness schaffen
Trainer*innen sollten gute Voraussetzungen schaffen, um Security-Awareness-Trainings durchzuführen und sie im Idealfall in eine größere Kampagne einbetten. Das Interesse der Belegschaft für das Thema Cyber Security kann durch einfache Grundvoraussetzungen gesteigert werden:
- Präsenzschulungen in kleinen Gruppen: Kleine Gruppen eignen sich am besten, um Interaktionen zu fördern. Sie schaffen zudem eine ungezwungene Lernatmosphäre.
- Workshop-Charakter mit Knabbereien: Zur Auflockerung der Atmosphäre sollte die Schulung einen Workshop-Charakter haben. Knabbereien wie Obst und Kekse kommen positiv bei Mitarbeiter*innen an. Auch diese sorgen für eine aufgeschlossene Lernatmosphäre.
- E-Learning-Module: E-Learning-Module haben den Vorteil, dass die Mitarbeiter*innen selbst entscheiden können, wann sie das Training durchführen und so einen für sie idealen Zeitpunkt auswählen. Wir empfehlen, dass E-Learnings in Form von Web Based Trainings (WBT) additiv angeboten werden als Ergänzung zu den Präsenzschulungen. Im E-Learning kann das Gelernte gefestigt werden. Insbesondere neue Konzepte kommen gut bei der Belegschaft an und sind erfolgsversprechend wie das Angebot von 5-minütigen Microlearnings direkt in der Mitarbeiter-App. Die Mitmachbereitschaft steigt, wenn spielerische Formen beispielsweise im Stil von „Wer wird Millionär“ angeboten werden. Diese können direkt in der App gestaltet werden.
- HR-Abteilung einbeziehen: Das Ziel der Trainings sollte dem HR-Team transparent kommuniziert werden.
4. Informationssicherheits-Schulungen um „passive“ Aktionen ergänzen
Die praktischen Trainings sowie das Social Engineering versprechen den größtmöglichen Lernerfolg. Zudem können Unternehmen durch passive Aktionen die Security Awareness noch weiter verstärken, in dem sie Flyer verteilen, Poster aufhängen oder beispielsweise einen Sperrbildschirm mit Informationen zur Security Awareness einrichten. Auf diese Weise bleiben die wichtigen Themen dauerhaft im Gedächtnis verankert.
> Video: Security Demonstrator – Auf Augenhöhe mit Angreifern, Nutzern und IT-Administratoren
5. Hohen Praxisanteil in die Awareness-Kampagnen einbauen
Es gibt mehrere Möglichkeiten, Praxisanteile in Ihre Sicherheits-Awareness-Kampagnen einzubauen:
- Gezielte Fragen an die Teilnehmer*innen
- Umfragen
- Passwort-Qualitäts-Check, z.B. bei Kaspersky
- Social Media-Check
- Social Engineering
- Quizzes
- Konkrete Tipps für die Praxis wie die Verwendung eines Passwortmanagers
6. Privaten Bezug in Security-Awareness-Trainings herstellen
Eine aufmerksame Belegschaft erlangt ihre Security Awareness nicht erst morgens, wenn sie zur Bürotür hereinkommt oder den Homeoffice-Laptop hochfährt. Security Awareness ist ein ganzheitlicher Ansatz, der auch das Privatleben betrifft. Mit privaten Beispielen kann den Mitarbeiter*innen verdeutlicht werden, wie wichtig Sicherheitsschranken sind.
Trainer*innen zeigen beispielsweise, wie leicht Informationen von Social Media Rückschlüsse auf die Person möglich machen oder wie Angreifer vorgehen, um an Passwörter zu gelangen.
7. Durch eine Rahmengeschichte motivieren
Trainer*innen sollten in einem Security-Awareness-Training Geschichten erzählen, in denen sich Mitarbeiter*innen grobe Schnitzer in Bezug auf Security Awareness erlauben. Sie können dabei Beispiele wählen, die tatsächlich stattgefunden haben oder eine Story frei erfinden. Stattgefundene Ereignisse zeigen, wie es anderen ergangen ist, die genauso (unbedacht) handelten und arbeiteten wie man selbst. Aktuelle Beispiele verdeutlichen, dass die Angriffe tatsächlich real sind und es jeden treffen kann.
Im Crime Podcast der Telekom finden sich z. B. echte Beispiele aus der jüngsten Vergangenheit, mit der die Glaubwürdigkeit und Relevanz des Themas verdeutlicht werden kann. Trainer*innen sollten beim Erzählen nicht zu ernst sein, sondern die Rahmengeschichte nutzen, um die Stimmung aufzulockern. Auch Humor ist erlaubt.
In unserem Blogartikel zur User Centric Security haben wir die Storytelling-Methode beispielsweise genutzt, um das Thema durch zwei fiktive Charaktere aufzulockern. Wir erzählten von Jürgen Bader und Karin Friedmann, die Opfer einer Phishing-Attacke sowie eines ausgelegten USB-Sticks wurden. Eine solche Rahmengeschichte aktiviert die Emotionen der Teilnehmenden und erleichtert das Zuhören.
> Video: User Centric Security – Digitale Identitäten & Anwendungen für User schützen
8. Weitere Vertiefung mit Quizzes durchführen
Haben Sie sich schon einmal gefragt, warum Sie das Wissen aus Präsentationen schon in der folgenden Woche nur noch lückenhaft abrufen können und sich nach einige Monaten kaum mehr an die Folien erinnern können? Leider ist das Lernen nicht nachhaltig, wenn Teilnehmer*innen Informationen nur über einen Vortrag vermittelt bekommen.
Wir raten deshalb, wichtige Handlungsempfehlungen durch Quizzes zu festigen, zu vertiefen oder aufzufrischen, damit sie in Gefahrensituationen zuverlässig abgerufen werden können. Hier haben sich E-Learning-Tests als sinnvoll erwiesen: Die Mitarbeiter*innen sollten den Selbsttest direkt nach der Schulung durchführen können und sich in regelmäßigen Abständen erneut prüfen.
9. Themen für Security-Awareness-Trainings mit Unterhaltungspotenzial auswählen
- die erfolgreichsten Hackerangriffe aus der Vergangenheit: Welcher Schaden wurde verursacht?
- Vorfälle aus der eigenen Firma
- das Erraten von Passwörtern mit der Bruce-Force-Methode
- das Erraten der am häufigsten genutzten Passwörter
- Usw.
Mitarbeiter*innen können auch kreativ einbezogen werden: Wie wäre es, wenn sich die Belegschaft eine USB-Stick-Beschriftung ausdenken würde, der niemand widerstehen kann, wenn er das Gerät im Büro findet? Ziel ist, sich eine Beschriftung auszudenken, die garantiert eingesteckt wird (Gehaltslisten, Fotos Weihnachtsfeier, etc.). Auf spielerische Weise wird das notwendige Gefahrenbewusstsein geschaffen.
10. Individuelle Awareness-Kampagnen-Ausrichtung erarbeiten
Jedes Unternehmen benötigt eine individuelle Kampagne, die sich an internen Strukturen und Prozessen sowie den Vorlieben, Kenntnissen und Fähigkeiten der Mitarbeiter*innen orientiert. Wichtige Fragen zur Erstellung der Ausrichtung sind beispielsweise:
- Wie werden Daten zwischen Mitarbeiter*innen ausgetauscht?
- Wie sensibel ist die Belegschaft bereits?
- Gab es in jüngster Vergangenheit Sicherheitsvorfälle?
- Existieren Richtlinien beispielsweise zur Passwortsicherheit und werden diese eingehalten?
- Kennen alle Mitarbeiter den Ansprechpartner der IT-Abteilung?
- Wie gehe ich mit einem Sicherheitsvorfall um?
- An wen schicke ich die Phishing-Mail, falls ich mir unsicher bin?
- Gibt es einen zentralen Ort, an dem alle Informationen abrufbar sind?
- Welche Mitarbeiter müssen auf welche Weise geschult werden?
- Usw.
Fazit: Intelligente & individuelle Security-Awareness-Kampagnen zahlen sich aus
Mit ganzheitlichen Security-Awareness-Kampagnen, die unsere 10 Erfolgsfaktoren berücksichtigen, können Unternehmen eine verlässliche Informationssicherheit schaffen. Mitarbeiter*innen werden für den korrekten Umgang mit Phishing-Mails, E-Mail-Anhängen, Weitergabe von Passwörtern, Nutzung fremder USB-Sticks usw. sensibilisiert und erhalten ein Problembewusstsein für Gefahrensituationen. Security-Awareness-Kampagnen können auch zur Stärkung des Teamgefühls beitragen, wenn Mitarbeiter*innen gemeinsam Sicherheitslücken aufdecken und die Denkweisen von Angreifern verstehen.
Im Change Prozess von Unternehmen ist Security Awareness ein wichtiger Teil der Unternehmenskultur, der Risiken, Verluste und Imageschäden reduziert und dabei unterstützt, die Compliance-Anforderungen zu erfüllen.
Sensibilisieren Sie Ihre Mitarbeitenden für IT-Gefahren
Security Awareness Campaigns – Durch Trainings, Seminare und Awareness-Kampagnen machen wir Ihr Unternehmen sicherer
Ist digitales Geschäft eigentlich zuverlässig, sicher, vertrauensvoll, ausfallsicher? Wie und warum – darüber schreibe ich in diesem Blog.