10 Erfolgsfaktoren für Security Awareness

123456, 123456789, 12345678 – Hätten Sie gedacht, dass dies die Top 3 der meistgenutzten Passwörter des vergangenen Jahres waren? Solche Passwörter sowie andere vermeidbare Sicherheitslücken eröffnen große Angriffsflächen für Cyberkriminalität. Hacker benötigen keine Sekunde, um diese Passwörter zu knacken und sich Zugriff zu sensiblen Unternehmensinformationen zu verschaffen.

Häufig ist die Security Awareness noch nicht endgültig in der Unternehmenskultur verankert und einzelne Schulungen allein können kein dauerhaftes Problembewusstsein schaffen. Grund hierfür ist, dass viele Mitarbeiter*innen das Security-Awareness-Training als „Pflichtübung“ verstehen, zu der wenig Lust besteht und in der sie letztlich nur Zeit absitzen, ohne ihren Reifegrad zu erhöhen.

Der Impuls für ein Security-Awareness-Training kommt oft von der IT-Leitung oder dem Gesamtverantwortlichen für Informationssicherheit im Unternehmen (Chief Information Security Officer). Die Anforderung kann auch im Rahmen einer Zertifizierung wie ISO27001 oder KRITIS notwendig werden und das HR-Management übernimmt häufig die Koordination mit den Kampagnen-Verantwortlichen. Für diese Personengruppen haben wir 10 Erfolgsfaktoren für Security-Awareness-Kampagnen zusammengetragen, mit denen sie Mitarbeiter*innen erfolgreich und dauerhaft für das Thema Security sensibilisieren können!

1. Ominchannel-Ansatz für Security Awareness Kampagnen

Schulungen sensibilisieren Mitarbeiter*innen lediglich punktuell und mit der Zeit wird das Gelernte wieder „schleifen gelassen“ oder ganz vergessen. Wir raten daher zu einer gesamten Kampagne, in der Präsenzschulungen nur einen Teil ausmachen. Über einen Omnichannel-Ansatz können Mitarbeiter*innen über verschiedene Kanäle erreicht werden:

Schulungen
Onlineseminare
Quizzes
Printmaterialien
E-Mails
Videos
Bildschirmhintergründe
Merkblätter
Aufkleber
Intranet-News

Das grundlegende Wissen wird auf unterschiedlichen Kanälen immer wieder an die Mitarbeiter*innen herangetragen, denn der Faktor Mensch steht für Security Awareness im Mittelpunkt.

Durch viele verschiedene Touchpoints wird Mitarbeiter*innen das Thema Security Awareness immer wieder ins Gedächtnis gerufen. Zudem erreichen Trainer*innen über den Einsatz verschiedener Medien auch alle Lerntypen, sodass jeder Beschäftigte auf individuelle Weise das notwendige Wissen vermittelt bekommt, mit dem sowohl Sicherheitslücken als auch eigenes Fehlverhalten erkannt und eingegrenzt werden können.

Sowohl Sicherheitslücken, als auch eigenes Fehlverhalten, im Sinne von: Wie reagiere ich in dem bestimmten Fall der Phishing Mail. Oder gebe ich hier wirklich mein Passwort ein. Oder: ist mein Passwort eigentlich sicher?

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

PGlmcmFtZSBzcmM9Imh0dHBzOi8vd3d3LnlvdXR1YmUtbm9jb29raWUuY29tL2VtYmVkL3d0eGxpako1dTBrIiBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGNsaXBib2FyZC13cml0ZTsgZW5jcnlwdGVkLW1lZGlhOyBneXJvc2NvcGU7IHBpY3R1cmUtaW4tcGljdHVyZSIgYWxsb3dmdWxsc2NyZWVuPSIiIHdpZHRoPSI1NjAiIGhlaWdodD0iMzE1IiBmcmFtZWJvcmRlcj0iMCI+PC9pZnJhbWU+

2. Social Engineering-Überprüfung durch Phishing-Tests & Analyse des Sensibilisierungsniveaus

Social Engineering fällt in den Bereich des produktiven Lernens. Mit einem Phishing-Test als produktive Lernmethode können Beschäftigte, wenn sie auf eine Phishing-Mail klicken, auf eine Internetseite geführt werden, die vorzeigt, was falsch gemacht wurde.

Durch praktische Tätigkeitserfahrungen können auch Analysen des Sensibilisierungsniveaus der Mitarbeiter*innen vorgenommen werden. Diese fünf Testings sind besonders effektiv, um das Sensibilisierungsniveau zu ermitteln und zu messen:

Phishing: Phishing-Mails werden an Mitarbeiter*innen verschickt.
USB-Sicherheit: Präparierte USB-Sticks werden an verschiedenen Orten im Unternehmen platziert.
Telefonanrufe: Mitarbeiter*innen werden gezielt angerufen und in ein vorher definiertes Szenario verwickelt (z. B. Microsoft Support), um von Ihnen sensible Informationen zu erhalten.
Kontaktdaten-Recherche: Anhand von Social-Media-Informationen werden potenzielle Angriffsvektoren ermittelt.
Gebäude- und Büro-Sicherheit: Analyse, wie Mitarbeiter sich in einer realen Situation verhalten, wenn sie beispielsweise nach dem Weg gefragt werden oder wenn sie gefragt werden, ob es frei zugängliche Drucker und unverschlossene Büros gibt. Geben die Beschäftigten diese Informationen über potentielle Sicherheitslücken auf dem Gelände oder im Gebäude weiter?

Kompetenzen lassen sich in der Theorie nur schwer an Mitarbeiter*innen weitergeben. Es zeigt sicher immer wieder, dass praktische Ansätze besser funktionieren, bei denen der Mensch mit einer konkreten Situation konfrontiert wird. Durch das reale Erlebnis und eine Auswertung der Interaktionen im Anschluss zahlt Social Engineering besonders effektiv und nachhaltig auf die Sicherheits-Awareness von Mitarbeiter*innen ein.

3. Ideale Voraussetzungen für Cyber Security Awareness schaffen

Trainer*innen sollten gute Voraussetzungen schaffen, um Security-Awareness-Trainings durchzuführen und sie im Idealfall in eine größere Kampagne einbetten. Das Interesse der Belegschaft für das Thema Cyber Security kann durch einfache Grundvoraussetzungen gesteigert werden:

Präsenzschulungen in kleinen Gruppen: Kleine Gruppen eignen sich am besten, um Interaktionen zu fördern. Sie schaffen zudem eine ungezwungene Lernatmosphäre.
Workshop-Charakter mit Knabbereien: Zur Auflockerung der Atmosphäre sollte die Schulung einen Workshop-Charakter haben. Knabbereien wie Obst und Kekse kommen positiv bei Mitarbeiter*innen an. Auch diese sorgen für eine aufgeschlossene Lernatmosphäre.
E-Learning-Module: E-Learning-Module haben den Vorteil, dass die Mitarbeiter*innen selbst entscheiden können, wann sie das Training durchführen und so einen für sie idealen Zeitpunkt auswählen. Wir empfehlen, dass E-Learnings in Form von Web Based Trainings (WBT) additiv angeboten werden als Ergänzung zu den Präsenzschulungen. Im E-Learning kann das Gelernte gefestigt werden. Insbesondere neue Konzepte kommen gut bei der Belegschaft an und sind erfolgsversprechend wie das Angebot von 5-minütigen Microlearnings direkt in der Mitarbeiter-App. Die Mitmachbereitschaft steigt, wenn spielerische Formen beispielsweise im Stil von „Wer wird Millionär“ angeboten werden. Diese können direkt in der App gestaltet werden.
HR-Abteilung einbeziehen: Das Ziel der Trainings sollte dem HR-Team transparent kommuniziert werden.

4. Informationssicherheits-Schulungen um „passive“ Aktionen ergänzen

Die praktischen Trainings sowie das Social Engineering versprechen den größtmöglichen Lernerfolg. Zudem können Unternehmen durch passive Aktionen die Security Awareness noch weiter verstärken, in dem sie Flyer verteilen, Poster aufhängen oder beispielsweise einen Sperrbildschirm mit Informationen zur Security Awareness einrichten. Auf diese Weise bleiben die wichtigen Themen dauerhaft im Gedächtnis verankert.

> Video: Security Demonstrator – Auf Augenhöhe mit Angreifern, Nutzern und IT-Administratoren

5. Hohen Praxisanteil in die Awareness-Kampagnen einbauen

Es gibt mehrere Möglichkeiten, Praxisanteile in Ihre Sicherheits-Awareness-Kampagnen einzubauen:

Gezielte Fragen an die Teilnehmer*innen
Umfragen
Passwort-Qualitäts-Check, z.B. bei Kaspersky
Social Media-Check
Social Engineering
Quizzes
Konkrete Tipps für die Praxis wie die Verwendung eines Passwortmanagers

6. Privaten Bezug in Security-Awareness-Trainings herstellen

Eine aufmerksame Belegschaft erlangt ihre Security Awareness nicht erst morgens, wenn sie zur Bürotür hereinkommt oder den Homeoffice-Laptop hochfährt. Security Awareness ist ein ganzheitlicher Ansatz, der auch das Privatleben betrifft. Mit privaten Beispielen kann den Mitarbeiter*innen verdeutlicht werden, wie wichtig Sicherheitsschranken sind.

Trainer*innen zeigen beispielsweise, wie leicht Informationen von Social Media Rückschlüsse auf die Person möglich machen oder wie Angreifer vorgehen, um an Passwörter zu gelangen.

7. Durch eine Rahmengeschichte motivieren

Trainer*innen sollten in einem Security-Awareness-Training Geschichten erzählen, in denen sich Mitarbeiter*innen grobe Schnitzer in Bezug auf Security Awareness erlauben. Sie können dabei Beispiele wählen, die tatsächlich stattgefunden haben oder eine Story frei erfinden. Stattgefundene Ereignisse zeigen, wie es anderen ergangen ist, die genauso (unbedacht) handelten und arbeiteten wie man selbst. Aktuelle Beispiele verdeutlichen, dass die Angriffe tatsächlich real sind und es jeden treffen kann.

Im Crime Podcast der Telekom finden sich z. B. echte Beispiele aus der jüngsten Vergangenheit, mit der die Glaubwürdigkeit und Relevanz des Themas verdeutlicht werden kann. Trainer*innen sollten beim Erzählen nicht zu ernst sein, sondern die Rahmengeschichte nutzen, um die Stimmung aufzulockern. Auch Humor ist erlaubt.

In unserem Blogartikel zur User Centric Security haben wir die Storytelling-Methode beispielsweise genutzt, um das Thema durch zwei fiktive Charaktere aufzulockern. Wir erzählten von Jürgen Bader und Karin Friedmann, die Opfer einer Phishing-Attacke sowie eines ausgelegten USB-Sticks wurden. Eine solche Rahmengeschichte aktiviert die Emotionen der Teilnehmenden und erleichtert das Zuhören.

> Video: User Centric Security – Digitale Identitäten & Anwendungen für User schützen

8. Weitere Vertiefung mit Quizzes durchführen

Haben Sie sich schon einmal gefragt, warum Sie das Wissen aus Präsentationen schon in der folgenden Woche nur noch lückenhaft abrufen können und sich nach einige Monaten kaum mehr an die Folien erinnern können? Leider ist das Lernen nicht nachhaltig, wenn Teilnehmer*innen Informationen nur über einen Vortrag vermittelt bekommen.

Wir raten deshalb, wichtige Handlungsempfehlungen durch Quizzes zu festigen, zu vertiefen oder aufzufrischen, damit sie in Gefahrensituationen zuverlässig abgerufen werden können. Hier haben sich E-Learning-Tests als sinnvoll erwiesen: Die Mitarbeiter*innen sollten den Selbsttest direkt nach der Schulung durchführen können und sich in regelmäßigen Abständen erneut prüfen.

9. Themen für Security-Awareness-Trainings mit Unterhaltungspotenzial auswählen

die erfolgreichsten Hackerangriffe aus der Vergangenheit: Welcher Schaden wurde verursacht?
Vorfälle aus der eigenen Firma
das Erraten von Passwörtern mit der Bruce-Force-Methode
das Erraten der am häufigsten genutzten Passwörter
Usw.

Mitarbeiter*innen können auch kreativ einbezogen werden: Wie wäre es, wenn sich die Belegschaft eine USB-Stick-Beschriftung ausdenken würde, der niemand widerstehen kann, wenn er das Gerät im Büro findet? Ziel ist, sich eine Beschriftung auszudenken, die garantiert eingesteckt wird (Gehaltslisten, Fotos Weihnachtsfeier, etc.). Auf spielerische Weise wird das notwendige Gefahrenbewusstsein geschaffen.

10. Individuelle Awareness-Kampagnen-Ausrichtung erarbeiten

Jedes Unternehmen benötigt eine individuelle Kampagne, die sich an internen Strukturen und Prozessen sowie den Vorlieben, Kenntnissen und Fähigkeiten der Mitarbeiter*innen orientiert. Wichtige Fragen zur Erstellung der Ausrichtung sind beispielsweise:

Wie werden Daten zwischen Mitarbeiter*innen ausgetauscht?
Wie sensibel ist die Belegschaft bereits?
Gab es in jüngster Vergangenheit Sicherheitsvorfälle?
Existieren Richtlinien beispielsweise zur Passwortsicherheit und werden diese eingehalten?
Kennen alle Mitarbeiter den Ansprechpartner der IT-Abteilung?
Wie gehe ich mit einem Sicherheitsvorfall um?
An wen schicke ich die Phishing-Mail, falls ich mir unsicher bin?
Gibt es einen zentralen Ort, an dem alle Informationen abrufbar sind?
Welche Mitarbeiter müssen auf welche Weise geschult werden?
Usw.

Fazit: Intelligente & individuelle Security-Awareness-Kampagnen zahlen sich aus

Mit ganzheitlichen Security-Awareness-Kampagnen, die unsere 10 Erfolgsfaktoren berücksichtigen, können Unternehmen eine verlässliche Informationssicherheit schaffen. Mitarbeiter*innen werden für den korrekten Umgang mit Phishing-Mails, E-Mail-Anhängen, Weitergabe von Passwörtern, Nutzung fremder USB-Sticks usw. sensibilisiert und erhalten ein Problembewusstsein für Gefahrensituationen. Security-Awareness-Kampagnen können auch zur Stärkung des Teamgefühls beitragen, wenn Mitarbeiter*innen gemeinsam Sicherheitslücken aufdecken und die Denkweisen von Angreifern verstehen.

Im Change Prozess von Unternehmen ist Security Awareness ein wichtiger Teil der Unternehmenskultur, der Risiken, Verluste und Imageschäden reduziert und dabei unterstützt, die Compliance-Anforderungen zu erfüllen.

Sensibilisieren Sie Ihre Mitarbeitenden für IT-Gefahren

Security Awareness Campaigns – Durch Trainings, Seminare und Awareness-Kampagnen machen wir Ihr Unternehmen sicherer

Zum Angebot

Julia Kunert

Ist digitales Geschäft eigentlich zuverlässig, sicher, vertrauensvoll, ausfallsicher? Wie und warum – darüber schreibe ich in diesem Blog.

Name	Cookie-Einstellungen
Anbieter	Deutsche Telekom MMS GmbH, Impressum
Zweck	Speicherung der Cookie-Einwilligungen, die beim Aufruf der Website gegeben wurden.
Datenschutzerklärung	https://www.telekom-mms.com/datenschutz.html
Host(s)	blog.telekom-mms.com
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Name	Mapp (ehem. Webtrekk)
Anbieter	Deutsche Telekom MMS GmbH
Zweck	Betrieb und bedarfsgerechte Gestaltung
Datenschutzerklärung	https://leistungen.telekom-mms.com/datenschutz.html
Host(s)	tsystems01.webtrekk.net
Cookie Name	WTEID_, WT_, WTSID_*
Cookie Laufzeit	6 Monate (Cookie), Bis zum Beenden des Browsers (Session Cookie)

Name	Social Media Funktionen
Anbieter	Deutsche Telekom MMS GmbH
Zweck	Ermöglicht es, die Social Funktionen auf der Webseite zu aktivieren, um Inhalte über Social Media zu teilen.
Datenschutzerklärung	https://blog.telekom-mms.com/datenschutzhinweise
Host(s)	blog.telekom-mms.com
Cookie Name	social, lokaler Speicher (blog.telekom-mms.com)
Cookie Laufzeit	1000 Tage (Cookie), Bis zum Löschen des Caches (lokaler Speicher)

Akzeptieren	soundcloud
Name	soundcloud
Anbieter	SoundCloud Limited
Zweck	Wird von SoundCloud eingesetzt, um registrierte Nutzer plattform- und geräteübergreifend zu erkennen
Datenschutzerklärung	https://soundcloud.com/pages/privacy
Host(s)	soundcloud.com, w.soundcloud.com
Cookie Name	sc_anonymous_id, Session Cookie (w.soundcloud.com), lokaler Speicher
Cookie Laufzeit	10 Jahre (Cookie), Bis zum Beenden des Browsers (Session Cookie), Bis zum Löschen des Caches (lokaler Speicher)

Die 10 wichtigsten Erfolgsfaktoren für effektive Security-Awareness-Trainings