Kontinuierlich und individuell

Security Awareness ist grundsätzlich ein Thema für Unternehmen jeder Größe. Auch kleine und mittlere Firmen sind Ziel von IT-Angriffen jeder Art, sie haben aber durchaus andere Bedürfnisse als Großunternehmen. Zudem bringen die einzelnen Mitarbeiter unterschiedliches Security-Wissen mit - eine Herausforderung für jede Schulung.

„Viele Awareness-Programme sind standardisiert und zu wenig individualisiert in der Lernmethodik. Jeder bekommt oft das gleiche Thema vorgesetzt, es mangelt an interaktiven Elementen, und speziell global agierende Unternehmen berücksichtigen die kulturellen Unterschiede zwischen ihren Mitarbeitern zu wenig“, kritisiert Holger Schmidt. Durch die Einrichtung eines Security-Awareness-Training-Labors will er gemeinsam mit seinem Team die Schulungen über E-Learning individualisieren und mit dem neu entwickelten Serious Game „What_The_Hack“ spielerisch nachhaltiges Lernen gewährleisten

„Eintägige Schulungen reichen nicht aus, es geht um kontinuierliche Trainingsmaßnahmen. Security-Themen sollten sich gut in den Alltag integrieren lassen. Eine gute Form sind Lernspiele, die man schnell einschieben kann, weil die einzelnen Abschnitte nur zehn oder 15 Minuten dauern“, so Schmidt weiter. Sinnvoll seien auch Kartenspiele und Poster mit Security-Inhalten oder auch Kaffeetassen mit Slogans wie „Lock it, when you leave it“ („Sperre Deinen Computer, wenn Du den Raum verlässt“), um das Sicherheitsbewusstsein der Mitarbeiter im Rahmen von Kampagnen anhaltend zu fördern.

Auch der Sicherheits-Anbieter Kaspersky Lab setzt bei seiner Automated Security Awareness Platform (ASAP) auf eine kontinuierliche Wissensvermittlung in kurzen Lerneinheiten mit spielerischen Elementen. „Awareness-Trainings sollen ja auch Spaß machen und regelmäßig über einen längeren Zeitraum erfolgen. Eine Schulung pro Jahr mit Druckbetankung bringt nicht viel, da die Mitarbeiter nach zwei Wochen alles wieder vergessen haben“, weiß Peter Neumeier, Head of Channel Sales Germany bei Kaspersky.

Den größten Erfolg bieten Security-Awareness-Schulungen, wenn die Teilnehmer die Inhalte nachvollziehen und einen persönlichen Bezug herstellen können. „Die Trainings sollten mit vielen Beispielen aus dem Unternehmensalltag arbeiten und etwa zeigen, wie einfach Passwörter zu hacken sind. Auch Phishing-Simulationen sind sehr effektiv. Ein Mitarbeiter, der auf eine Fake-E-Mail hereinfällt, wird das nicht so schnell vergessen. Dieses Wissen hilft den Mitarbeitern zudem im privaten Alltag“, so Trend-Micro-Business-Consultant Richard Werner.

Als zentral sieht er an, dass die Mitarbeiter im Fall eines vermeintlichen oder echten Angriffs oder Fehlers ganz genau wissen, was zu tun ist. „Firmen sollten dafür einen Helpdesk als Anlaufstelle einrichten. An ihn können sich die Mitarbeiter auch wenden, wenn sie Fragen haben oder sich unsicher sind, ob eine E-Mail tatsächlich für Phishing oder Ähnliches missbraucht wird. Völlig falsch sind hier Angstmache und die Drohung mit Bestrafung oder negativen Konsequenzen, wenn ein Mitarbeiter einen eigenen Fehler meldet“, betont Werner. Stattdessen rät er Firmen, Mitarbeiter für positives Verhalten zu belohnen, zum Beispiel wenn sie einen gefährlichen Angriff erkannt haben.

Ein gutes Beispiel gibt hier Premedia Marketing Solutions aus dem österreichischen Wels. Das Unternehmen, ein Spezialist für softwaregestütztes Marketing, legt bei seinen Mitarbeitern großen Wert auf Security Awareness. „Die Informationssicherheit der Kundendaten ist unser wichtigstes Gut. Daher schulen wir unsere Mitarbeiter monatlich in E-Learning-Kursen zu aktuellen Themen rund um IT-Security, um sie für Sicherheitsgefahren zu sensibilisieren“, erklärt Werner Stiglbrunner, Marketing Solutions Lead und Prokurist bei Premedia. Das Unternehmen hat die Meldewege für erkannte Angriffe genau festgelegt und veranstaltet jährlich ein Quiz rund um das Thema Security Awareness. Der Sieger erhält als Belohnung ein neues iPhone.