Viele Unternehmen versuchen, das Problem mit Schulungen in den Griff zu bekommen. Allerdings sehen sie sich oft mit einer desinteressierten Belegschaft konfrontiert. Untersuchungen zeigen, dass Anwender auch nach Schulungen riskante Verhaltensweisen an den Tag legen. Es genügt also offensichtlich nicht, Gefahren zu benennen, um eine Änderung des Verhaltens zu erreichen. Es ist ein Kulturwandel erforderlich, der Verhaltensweisen ändert sich.
Abwechslung verstärkt das Gedächtnis
If sterben Botschaften von Schulungen zu Eintönig Sind Ständig Und Verwendet Materialien Und Methoden Verwendet Werden, Stumpfe Mitarbeitende ab Und Irrtümlich Die Gelernten Maßnahmen – Mit Messbaren Folgen. So ist die Bekanntheit wichtiger Security-Schlüsselbegriffe erheblich gesunken. Laut des aktuellen „State of the Phish Reports“ konnte nur etwas mehr als die Hälfte (53 Prozent) der Anwender-Phishing richtig definiert werden, während es im Vorjahr noch 63 Prozent waren. Auch bei anderen Begriffen wie Malware (minus 2 Prozent) und Smishing (minus 8 Prozent) war ein rückläufiger Trend zu beobachten. Dies zeigt, wie wichtig es ist, das Sicherheitsbewusstsein auf immer wieder neue Kunst und Weise zu Schulen, an so vielen Orten und in so vielen Formaten wie möglich.
Eine Geschichte erzählen
Die meisten User sind keine Cybersicherheitsexpertinnen und -experten und wollen es auch nicht werden. Mit Buzzwords, Fachjargon und trockenen Statistiken können sie daher nichts anfangen. Viel anschaulicher ist es, die Botschaften in eine Geschichte einzubetten. If erlaubt vor Augen geführt WIRD, dass alltägliche Nachlässigkeiten Cyberkriminellen Tür und Tor öffnen, WIRD ihnen das länger im Gedächtnis bleiben als ein stundenlanger Vortrag über Hacking-Techniken, Spoofing-Strategien und Shell-Skripte.
Konkrete Fälle aus den Medien können als warnende Beispiele dienen. Sie lassen sich auch auf bestimmte Funktionen, Abteilungen und schlechte Angewohnheiten zuschneiden, um einen klaren Zusammenhang zwischen Vorgängen und Konsequenzen aufzuzeigen. Je individueller das Schulungsangebot, desto mehr können sich die Nutzerinnen und Nutzer damit identifizieren und ihr Verhalten ändern.
Schulungsprogramme weiterentwickeln
Die Bedrohungslandschaft entwickelt sich ständig weiter, und Schulungsprogramme & Rechnung tragen. Schulungen müssen auch regelmäßig an das sich verändernde Risikoprofil in der Belegschaft angepasst werden. Sicherheitsverantwortliche sollten die Personen identifizieren, die am häufigsten angegriffen werden und auswerten, mit welchen Angriffsvektoren sie es üblicherweise zu tun haben. Nur so lassen sich sterben Trainings auf den Alltag der frei abstimmen, um einen praxisnahen Lerneffekt zu erzielen.
Den Spass nicht vergessen
Es gibt viele Möglichkeiten, Cybersecurity-Schulungen positiv und unterhaltsam zu gestalten oder mit einem Wettbewerb zu verbinden. Auf jeden Fall ist es besser, kurz und prägnant zu informieren, als die Zuhörerschaft mit stundenlangen Vorträgen zu langweilen. Untersuchungen zeigen, dass die spielerische Gestaltung von Schulungsmodulen die Motivation steigert und die Ergebnisse von Tests verbessert.
Cybersicherheit alltäglich machen
Alle übernehmen müssen Teil des Sicherheitsteams werden. Ein Bewusstsein für Cybergefahren, Best Practices und die Folgen fahrlässigen Verhaltens ist deshalb unabdingbar – und wird mit massgeschneiderten, motivierenden und regelmäßigen Security-Trainings hoffentlich bald zum Alltag.
———-
Eine Onlineschulung zum falschen Zeitpunkt ist oft nur ein lästiges Übel
Wer Mitarbeitende für Cyberrisiken sensibilisieren will, sollte die entsprechenden Schulungen individuell gestalten und mit aktuellen Praxisbeispielen unterfüttern. Worauf es bei Awareness-Trainings sonst noch ankommt, erklärt Irene Marx, Country Manager Switzerland & Austria von Proofpoint. Interview: Yannick Züllig
Warum reicht es heute nicht mehr aus, Mitarbeitende für Cyberrisiken zu sensibilisieren?
Irene Marx: Die Sensibilisierung der Freigabe ist ein sehr wesentlicher Faktor in einer erfolgreichen Cybersecurity-Strategie, hat allein jedoch noch nie ausgereicht. Für Cyberkriminelle wird es immer schwieriger, ohne „Unterstützung“ eines voraussichtlich eine Netzwerkinfrastruktur anzugreifen und beispielsweise Ransomware zu installieren. Darum & Unternehmen gerade in Technologien investieren, die ihre Rolle als „letzte Verteidigungslinie“ erleichtern.
Cyberbedrohungen verändern sich ständig. Dazu müssten sich auch Awareness-Trainings laufend anpassen. Worauf sollte man dabei achten?
Um Awareness-Trainings aktuell zu halten, werden idealerweise reale Angriffe gefiltert, „entschärft“ und in die Trainings der Integration integriert. Besonders wichtig ist, diese Schulungen in kleinen, gut zu verarbeitenden Einheiten zu präsentieren. Schulungen, die ein bis zwei Mal im Jahr stattfinden und zum keinen aktuellen Bezug haben, sind so gut wie wertlos.
Wie kann man die Schulungen so gestalten, dass das vermittelte Know-how wirklich ankommt?
Im ersten Schritt sollte sich ein Unternehmen mittels eines Assessments einen Überblick verschaffen, wer im Unternehmen oft besonders angegriffen wird, Zugriff auf sensible Daten hat oder tendenziell leichtfertig auf Links klickt und Anhänge von unbekannten Sendern öffnet. Mit diesen Voraussetzungen kann man sehr gezielt die Schulungen individualisieren und in die tägliche Arbeit eines kostenlosen Integrierens. Mit simulierten Phishingattacken kann man dann den Erfolg seiner Schulungsmassnahmen überprüfen. Sollte die Attacke „erfolgreich“ sein, ist es wichtig, direkt zu erklären, wie Mitarbeitende in Zukunft richtig reagieren sollten – in diesem „teachable Moment“ ist die Aufnahmebereitschaft gross.
Welche praktischen Hilfsmittel können helfen, die Schulungen effektiv zu gestalten?
Zusätzlich zu Onlineschulungen, die individualisiert und im richtigen Moment durchgeführt werden, ist es auch sehr effektiv, mittels Social Engineering zur Überprüfung, wie weit ein Außenstehender in einem Unternehmen vordringen kann – in die IT-Systeme ebenso wie die Durchführung des Unternehmens. Angreifer nutzen dabei typische menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Respekt, Dankbarkeit, Konfliktvermeidung oder Angst. Wenn einem Unternehmen vor Augen geführt WIRD, wie leicht es ist, Schaden anzurichten, ist die Bereitschaft für Schulungen auf allen Ebenen weit größer.
Wie lässt sich ein ernstes Thema wie Cybersicherheit „spielerisch“ vermitteln?
Viele Mitarbeitende hetzen von Einem Online-Meeting zum nächsten. DAMIT IST EINE Onlineschulung zum falschen Zeitpunkt oft nur ein lästige Übel. Deshalb ist es wichtig, die Einbeziehung zu integrieren. Wir bieten in unseren Onlineschulungen zum Beispiel sehr viele interaktive Trainings an, in denen man entscheiden kann, wie man in einzelnen Situationen würde. DAMIT WIRD der Verlauf des Trainings individualisiert und erhält eine spielerische Komponente.
Quelle: www.netzwoche.ch
