Security Awareness: 5 Tipps für die richtige Vorgehensweise

Bei der Frage nach vorbereitenden Schutzmaßnahmen fällt immer öfter der Begriff Security Awareness Training, sogar im Mittelstand wird das Thema vermehrt diskutiert. Die Erkenntnis, dass ein Schutz mit traditionellen Sicherheitstechnologien nicht mehr ausreicht, reift, nun muss sie sich setzen, dass Investitionen in neue Technologien allein das Problem nicht lösen können. Vielmehr muss in organisatorische Maßnahmen und damit in das Training der Mitarbeiter investiert werden.

Doch hier gibt es Missverständnisse, denn ein einmaliges Security Awareness Training, im einfachsten Fall sogar als Schulung in einer Klassenraum-ähnlichen Atmosphäre, wird nur zu kurzfristigen, aber nicht zu den eigentlich gewünschten langfristigen Effekten führen. Deshalb braucht es auch keines Security Awareness Trainings, es braucht ein Security Awareness Programm. Allein der Begriff zeigt schon, dass es sich hier um eine kontinuierliche Fort- und Weiterbildung handelt. Doch wie sollte ein solches Programm aussehen und welche Möglichkeiten zur Gestaltung gibt es?

Die fünf folgenden Tipps dienen zur Orientierung bei der Umsetzung eines Security Awareness Programms:

1. Sicherheits-Policies anpassen

Zunächst sollten die bestehenden Sicherheits-Policies überprüft und auf den aktuellen Stand gebracht werden, alle Mitarbeiter müssen dieses Dokument gelesen und unterschrieben haben. Darüber hinaus hilft es allen Mitarbeitern, wenn klare Vorgaben zum Umgang mit erkannten Phishing-E-Mails formuliert werden. In aller Regel sollten diese an die Sicherheitsabteilung weitergeleitet und in die dafür vorgesehenen Spam-Ordner verschoben werden. Ein Poster oder ein Cheat-Sheet mit einem Überblick über die wichtigsten sogenannten roten Flaggen hilft bei der schnellen Erkennung der Anzeichen für eine Phishing E-Mail

2. Security Awareness Trainings müssen regelmäßig stattfinden

Die Trainings sind durchaus sinnvoll, aber es muss sich eine Lernkurve messen lassen. Diese Kurve kann nur dann erreicht werden, wenn die Mitarbeiter sich regelmäßig solchen Trainings unterziehen und getestet werden. Eine Frequenz von einer halben Stunde alle zwei bis drei Wochen hat sich bewährt. Darüber hinaus sind echt wirkende aber in Wahrheit ungefährliche Test-Phishing-E-Mails eine gute Ergänzung zu eher theoretischen Inhalten.

Die Trainings müssen ein Teil des Programms sein und dementsprechend mit flankierenden Maßnahmen unterstützt werden. Es kann durchaus sinnvoll sein, eine Reihe von spielerischen Ansätzen, die Wettbewerbscharakter haben begleitend einzustreuen. Hier können verschiedene Teams oder Abteilungen gegeneinander antreten und um eine kleine Trophäe (durchaus auch ein Wanderpokal) wetteifern. Selbstredend sollten alle neuen Mitarbeiter bereits beim On-Boarding-Prozess entsprechend trainiert und mit Security Awareness-Maßnahmen konfrontiert werden

3. Abteilungsinterne Trainings durchführen

Eine weitere Empfehlung ist, in das Programm auch Inhalte einzubauen, die Abteilungsspezifisch sind. Die Buchhaltung wird mit anderen Phishing-E-Mails konfrontiert als die Geschäftsführung. Das Marketing bekommt beispielsweise mehr Angebote zugeschickt, die Personalabteilung erhält Phishing-E-Mails in Form von Bewerbungen und Rechnungen werden bevorzugt an Geschäftsführung und Buchhaltung versendet. Dementsprechend muss sich auch ein Training mit solchen Beispielen auseinandersetzen und im Dialog mit den Mitarbeitern feststellen, welche Formen bereits bekannt sind und welche bislang eher wenig vorkamen

4. Abwechslungsreicher und verständlicher Content

Und nun zum eigentlich wichtigsten Thema bei einem Security Awareness Programm, nämlich die Inhalte. Sie müssen abwechslungsreich sein, sie müssen verständlich sein, sie müssen den Mitarbeiter da abholen, wo er bei seiner täglichen Arbeit mit der Security in Berührung kommt. Mal kann ein Poster auf der Toilette hilfreich sein, mal ist es aber auch ein kleiner Comic neben dem Bildschirm, der täglich daran erinnert, welches die ersten und wichtigsten Warnhinweise für Phishing sind. Nicht bei jedem Mitarbeiter funktioniert der gleiche Inhalt, deshalb ist Abwechslung wichtig.

5. Security-Kultur einführen

Ziel eines jeden Programms sollte sein, dass am Ende eine Veränderung der Unternehmenskultur stattfindet, in der eine Security-Kultur Einzug hält. Niemand braucht paranoide Mitarbeiter, die nichts und niemandem trauen, dies ist eindeutig der falsche Weg, genauso wie mit Bestrafung zu arbeiten. Mitarbeiter müssen motiviert und aufgeklärt werden, nicht abgeschreckt. Aus diesem Grund sind ständiger Dialog und ständiger Austausch von Informationen über das gelehrte und gelernte wichtig.

Mitarbeiter müssen nicht geführt, sondern gefördert werden. Wird dieser Leitspruch beherzigt, so ist es möglich eine echte Security Kultur zu schaffen, die aus Mitarbeitern besteht, die Security ernst nehmen, aber dem Thema souverän und ohne Angst begegnen, ohne viele technische Details kennen zu müssen. Eine gesunde Sicherheitskultur ermöglicht es den Mitarbeitern, Bedrohungen zu erkennen, zu verstehen, warum sie eine Bedrohung darstellen, und sicher zu handeln.

Zunehmende Bedeutung von Security Awareness

Security Awareness steigt in ihrer Bedeutung, die Berichte über Unternehmen mit IT-Sicherheitsproblemen werden immer detaillierter, auch weil Leser durch die eigene Erfahrung mit der Digitalisierung immer mehr in Berührung mit Cybercrime kommen. Nicht zuletzt dieser Trend führt dazu, dass Unternehmen, wenn sie in Training investieren, auf aufmerksame Mitarbeiter stoßen. Diese Anfangsneugier darf aber nicht mit langweiligem Frontalunterricht gebremst werden. Wer dagegen begeisternde Inhalte in verschiedenen Formaten liefert, der gewinnt den Hauptpreis: Security-sensibilisierte Mitarbeiter.

Über den Autor: Jelle Wieringa ist Security Awareness Advocate bei Knowbe4.

Lesen Sie auch: Coronavirus: Wie man sich im Homeoffice vor Phishing-Mails schützt