Alles, nur keine Zeitverschwendung

Security-Awareness-Training im Mittelstand

Online-Betrug und Cyberattacken sind trauriger Alltag für IT-Verantwortliche in mittelständischen Unternehmen. Mit Security-Awareness-Trainings können menschliche Risikofaktoren gesenkt werden.

Uhren in verschiedenen Designs

So viel Zeit muss sein: Sicherheitsschulungen senken das Risiko für fatale Cyberangriffe.

Neben Virenschutz und anderen technischen Lösungen rücken bei der IT-Sicherheit heute auch die Mitarbeiter in mittelständischen Unternehmen in den Mittelpunkt. G Data Cyberdefense befragte 200 deutsche Mittelständler zu diesem Thema. Das Ergebnis: Mehr als acht von zehn IT-Verantwortlichen glauben, dass Angestellte eine Cyberattacke auslösen können. Viele Administratoren setzen auf Schulungen und Aufklärung – kurz: die Schaffung von Security Awareness. Es gibt viele Befürworter dieser Trainings, auf der Gegenseite stehen Kritiker wie Bruce Schneier, ein US-amerikanischer Experte für Kryptographie und Computersicherheit. Schneier zweifelt an der Wirksamkeit von Security-Trainings für Mitarbeiter in Unternehmen, er bezeichnet sie als Zeit- und Geldverschwendung. Das Budget sollten Unternehmen seiner Meinung nach lieber in die Entwicklung sicherer Software und Schnittstellen stecken. Weiter argumentiert Schneier, es sei schwer, Menschen dazu zu bringen, ihr Handeln zu verändern, und bringt ein Beispiel aus dem Gesundheitsbereich: Die meisten Menschen wissen, wie man sich gesund ernährt und dass Sport wichtig ist. Trotzdem bleiben sie auf dem Sofa sitzen und essen Fast Food.

Ein anhaltender Prozess

Schneier liegt falsch mit seiner Einschätzung. Natürlich sind Security Awareness bzw. IT-Security-affine Mitarbeiter kein Wunsch, der plötzlich von alleine in Erfüllung geht. Es ist vielmehr ein Prozess mit der Zielsetzung, einen umsichtigen und sicheren Umgang mit den IT-Ressourcen im Unternehmen zu etablieren. Mitarbeiter sollten sich der Cybergefahren, denen sie sowohl im beruflichen als auch im privaten Alltag beim Umgang mit dem PC oder dem Mobilgerät begegnen, bewusst werden und lernen, wie sie damit umgehen. Es geht hier also um einen Weg, der nicht leicht zu gehen, aber trotzdem zu bewältigen und auch notwendig ist. Das Thema „IT-Sicherheit“ ist sehr komplex und abstrakt. Viele Mitarbeiter können sich nicht vorstellen, was beispielsweise ein Schadprogramm ist und wie eine Cyberattacke abläuft – weil nichts zu sehen ist.

Wie erreichen IT-Verantwortliche also, dass sich Hausmeister, Buchhalter und alle anderen Mitarbeiter dem Thema „IT-Sicherheit“ öffnen? Unternehmen sollten auf Security-Awareness-Training setzen, die – ohne den erhobenen Zeigefinger – das nötige Wissen praxisnah und vor allem verständlich vermitteln. Angestellte sollten dabei nicht das Gefühl haben, das schwächste Glied in der Kette der Cyberabwehr zu sein, wie auch die promovierte Soziologin Jessica Barker sagt. Sie hielt eine Keynote auf der Deepsec 2017 in Wien. Dort forderte sie u.a. auch, positiver und ermutigender über IT-Sicherheit zu reden, denn Nutzer sollen nicht den Eindruck vermittelt bekommen, mit unlösbaren Problemen konfrontiert zu sein. IT-Verantwortliche müssen Angestellte für das Thema gewinnen, indem sie ihnen das Gefühl geben, sie aktiv in die Cyberabwehr miteinzubinden. Mitarbeiter müssen zudem verstanden haben, warum IT-Sicherheit für ein mittelständisches Unternehmen essenziell wichtig ist. Erfolgreiche Angriffe können beispielsweise zu wirtschaftlichen Problemen und sogar bis zum finanziellen Ruin eines Mittelständlers führen. Im schlimmsten Fall wäre dann auch der Arbeitsplatz bedroht. Haben Angestellte ein Grundverständnis für die Notwendigkeit erlangt, sind sie bereit für Schulungsmaßnahmen, die sich an ihren Bedürfnissen orientieren.

Dies ist ein Artikel aus unserer Print-Ausgabe 3/2020. Bestellen Sie ein kostenfreies Probe-Abo.

Trainingseinheiten sinnvoll planen

Zunächst sollten IT-Verantwortliche den Ist-Zustand beim Security-Wissen ermitteln. Viele Security-Awareness-Trainingsprogramme beginnen mit einem Test. Dieser sollte nicht das Ziel haben, Mitarbeiter an den Pranger zu stellen. Es geht darum, die größten Wissenslücken zu ermitteln und die sinnvolle Reihenfolge der Trainingseinheiten zu planen – dabei sind viele Schulungsprogramme auf eine längere Dauer, z.B. zwei Jahre, ausgelegt. Mitarbeiter sind dann angehalten, die einzelnen Trainings entsprechend der Planung nach zu absolvieren. Dabei schließen die einzelnen Schulungsbausteine bei vielen Anbietern, mit einer kleinen Lernstandskontrolle ab. Damit wird der Inhalt des Trainings noch einmal vor Augen geführt und der Mitarbeiter kann überprüfen, ob er die Thematik verstanden hat. Die Einheit kann dann gegebenenfalls noch einmal wiederholt werden. Das erworbene Wissen können die Lerner beispielsweise bei einer exemplarischen Phishing-Mail auch direkt anwenden.

Häufige Wiederholungen festigen das Wissen bei den Mitarbeitern. Dabei sollten die Einheiten so gestaltet sein, dass sie sich leicht in den Arbeitsalltag integrieren lassen. Hierzu eignet sich E-Learning besonders gut. Die Trainings können oft jederzeit absolviert werden, zeitaufwendige Präsenzschulungen demotivieren die Angestellten und schränken sie in ihrer Arbeitsgestaltung massiv ein. Dabei setzen E-Learning-basierte Trainings oft auf eine kurze Länge in Kombination mit den neuesten Lernmethoden. In den Einheiten kommen so beispielsweise auch Videos anstelle von langen Texten zum Einsatz – so wird der Inhalt besser verständlich.

Einen zusätzlichen Motivationsschub kann die Kombination mit einem Gamification-Ansatz bringen. Dabei können besonders fleißige IT-Security-Schüler mit kleinen Geschenken belohnt werden. Darüber hinaus sollten Mitarbeiter, die langsamer lernen, nicht bloßgestellt werden. Auch sie können durch Gamification weiter motiviert werden.

Schnell refinanziertes Investment

Kritische Stimmen behaupten, dass Security Awareness kaum zu messen und ein sogenannter ROSI – Return On Security Investment – nicht zu erreichen ist. Bei einigen Schulungsprogrammen, wie den „G Data Security Awareness Trainings”, lässt sich der Wissensstand der Mitarbeiter messen. IT-Verantwortliche sehen, welche Person welche Einheiten abgeschlossen hat – so ist eine Messbarkeit gegeben. Das Investment ist allerdings eindeutig schon refinanziert, sobald ein Mitarbeiter durch sein umsichtiges Verhalten auch nur eine Attacke verhindert. Die Kosten für die Ausfallzeiten der Systeme und die aufwendige Bereinigung entfallen dann. Zudem können Unternehmen so auch sicherstellen, dass sich ihre Angestellten konform zur EU-Datenschutz-Grundverordnung verhalten.

Security Awareness ist ein Prozess, der mittelständischen Unternehmen einen echten Mehrwert bieten kann, denn umsichtige Mitarbeiter können eine Cyberattacke bereits im Keim ersticken, bevor IT-Systeme darauf reagieren müssen. Unternehmen, die ihre Mitarbeiter bei der IT-Sicherheit nicht miteinbeziehen, verpassen eine große Chance.

Bildquelle: Gettyimages/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok