Sicherheitsbewusstsein der Mitarbeiter spielend fördern

social-media-2528410_1920Die Mitarbeiter sind in vielen Fällen das schwächste Glied bei der Verteidigung gegen Cyberkriminelle, und sie sind daran meist nicht selbst schuld. Bei manchen Entscheidungen genügt der gesunde Menschenverstand, doch es gilt auch sicherzustellen, dass festgelegte Sicherheitspraktiken bei den Mitarbeitern „ankommen“. Egal ob durch Unachtsamkeit oder wenn Mitarbeiter – aufgrund ihrer Zugangsberechtigung zu sensiblen Daten – unbewusst zu Zielen werden: Fehler von Mitarbeitern können leicht die Tür für Malware, Spionage oder Datendiebstahl öffnen. Aus diesem Grund gibt Martin Zeitler, Senior Manager Systems Engineering bei Palo Alto Networks, Tipps und Hinweise, wie Unternehmen ihre Mitarbeiter „spielend“ schulen und motivieren können, um die IT-Sicherheit deutlich zu erhöhen.

Martin Zeitler erklärt: „ Erfolgreiche Angriffe nutzen oft unzureichende Prozesse und die Gutgläubigkeit oder Unachtsamkeit von Menschen aus. Um die Angriffsfläche zu reduzieren, muss der inhaltliche Schwerpunkt regelmäßiger Sicherheitsschulungen sich von Reaktion auf Prävention verlagern. Reine Compliance-getriebene Ansätze haben sich als unwirksam erwiesen, wenn sie für das Training von Mitarbeitern eingesetzt werden, weil sie nicht interessant oder persönlich genug sind. Die Unternehmen sollten sich darauf konzentrieren, die Mitarbeiter darüber zu informieren, wie sie ihre persönlichen Daten schützen können, wodurch die Mitarbeiter dazu ermutigt werden, weitere sicherheitsorientierte Praktiken am Arbeitsplatz umzusetzen.

Die Weiterbildung von Mitarbeitern kann in unterschiedlichen Formen erfolgen, einschließlich der zunehmenden Praxis des „Gamifying“/„Gamification“ – oder eingedeutscht „Gamifizierung“ (Game = Spiel). Dabei werden Gaming-Bestandteile in einem Nicht-Gaming-Kontext verwendet, was trockene Themen spannender und praxisnäher macht. Viele Unternehmen nutzen diesen Ansatz derzeit bereits in Bereichen wie Kundenengagement sowie Performance- und Motivationstraining. Die Gaming-Elemente umfassen Wettbewerbe, Incentivierungsprogramme und vieles mehr.

Es gibt zwei grundlegende Möglichkeiten, wie Unternehmer die Gamifizierung zur Bewältigung der Sicherheitsherausforderungen nutzen können:

1) Das Training spannender und attraktiver machen für die Mitarbeiter

Mit Gamifizierung können Unternehmen dazu beitragen, ihre Cybersicherheit in vielfältiger Weise zu verbessern. Mitarbeiter lernen, wie sie Cyberangriffe verhindern und welche Schwachstellen es in Software gibt. Die Beratungsfirma PwC lehrt Cybersicherheit durch ihr „Game of Threats“, das „Spiel der Bedrohungen“. Führungskräfte konkurrieren gegeneinander in realen Cybersicherheitssituationen, spielen als Angreifer oder Verteidiger. Die Angreifer wählen die Taktiken, Methoden und Fähigkeiten des Angriffs, während die Verteidiger Verteidigungsstrategien entwickeln und in die richtigen Technologien und Talente investieren, um auf den Angriff zu reagieren. Das Spiel gibt Führungskräften ein Verständnis dafür, wie man sich vorbereitet und auf Bedrohungen reagiert, wie gut vorbereitet das Unternehmen ist und was ihr Cybersicherheitsteam jeden Tag beobachtet. Gamifizierung trägt dazu bei, dass der Trainingsprozess spannender und attraktiver für die Mitarbeiter ist, wodurch das Bewusstsein für Sicherheitspraktiken erhöht wird, einschließlich Tipps, wie man mit Angriffen korrekt umgeht.

2) Anreize und Belohnungen, um das gewünschte Verhalten zu fördern

Menschliche Fehler sind bei den meisten Sicherheitsverletzungen mitverantwortlich. Die Mitarbeiter setzen sich unter Druck, ihre Arbeit so schnell wie möglich abzuschließen, was dazu führen kann, dass sie Sicherheitsregeln übersehen oder vernachlässigen. Zum Beispiel können so genannte PhishMe-Kampagnen eine gute Möglichkeit sein, Mitarbeiter auf eine bessere E-Mail-Sicherheit hin zu schulen. Dazu gehören eigens entworfene Phishing-E-Mails, die immer wieder unternehmensweit versendet werden, um die Antwort und das Handeln des Personals zu testen.

Unternehmen können Mitarbeiter belohnen, die Sicherheitsverfahren korrekt befolgen und sich an die Sicherheitsrichtlinien halten, was ein vorbildliches Verhalten fördert. Dies kann in der Form erfolgen, dass Mitarbeiter ein Abzeichen oder Punkte erhalten, die dann auf einer Tafel angezeigt werden, damit jeder teilnehmen kann. Wenn Mitarbeiter bestimmte Meilensteine erreichen, können sie belohnt werden, etwa mit einem Geschenkgutschein. Die Anerkennung und Belohnung von Mitarbeitern, wenn sie das Richtige tun, führt zu einem weiterhin positiven Verhalten, motiviert die Mitarbeiter, sichere Praktiken anzuwenden und für eine sichere Arbeitsumgebung zu sorgen.

Im Mittelpunkt jeder Sensibilisierungsmaßnahme steht Bildung, um Mitarbeitern ein gemeinsames Verantwortungsbewusstsein für die Daten, mit denen sie arbeiten, und die Daten, die sie erstellen und verwenden, anzutrainieren. Alle Sensibilisierungskampagnen sollten Teil eines laufenden Prozesses werden und nicht nur eine einmalige Initiative sein. Führungskräfte eines jeden Unternehmens, groß oder klein, gehen oft davon aus, dass hierfür die Ressourcen fehlen, aber es lässt sich auch mit wenig Aufwand viel erreichen.

  • Visuelle Hilfsmittel funktionieren gut. Beginnen Sie mit einigen kleinen Videos, Plakaten und/oder Wettbewerben als Erinnerung, damit alle verstehen, dass alle für die Sicherheit verantwortlich sind.
  • Autoritäre Taktiken funktionieren nicht. Das Ziel sollte sein, eine Kultur des Risikobewusstseins aufzubauen. Dies gelingt ähnlich wie bei einer Marketingkampagne mit der Absicht, Mitarbeiter zu überzeugen und deren Verhalten zu verändern.
  • Kurze und prägnante Anweisungen. Lange E-Mails werden meist  ignoriert, besser ist es, sie kurz zu halten, mit etwas Humor. Stellen Sie sicher, dass es ein Top-down-Ansatz ist. Die Mitarbeiter schauen zu ihren Führungskräften auf. Wenn diese keine Sicherheitskultur verkörpern, warum sollten es dann die Mitarbeiter tun? Das Ziel ist es, Mitarbeitern Best Practices anzueignen, sie aber nicht zu zwingen, Cybersicherheitsexperten zu sein.
  • Wiederholte Schulungen und Nacharbeiten sind entscheidend. Training ist eine Konstante: Man lernt nie aus. Neue Mitarbeiter müssen grundlegend getestet werden, ebenso wie bestehende Mitarbeiter, ob sie auf eine Phishing-E-Mail hereinfallen. Überprüfen Sie, wie viele Mitarbeiter immer noch nicht eine gefälschte E-Mail erkennen. Ermutigen Sie Nachfragen und Kommunikation, um eine Fälschung zu melden und benennen Sie Abteilungsgruppen, die hier möglicherweise zurückbleiben. Das Ziel ist nicht, einzelne Menschen bloßzustellen, sondern eine gesunde Rivalität innerhalb des Unternehmens zugunsten von besserer Sicherheit schaffen.

Die Eindämmung von Cyberrisiken ist in jedem Unternehmen ein andauernder Prozess. Es gilt herauszufinden, wo es noch hakt und je nach Bedarf Nachschulungen durchzuführen. Wenn die Mitarbeiter nachdenken, bevor sie auf etwas Riskantes klicken, dann haben die Sensibilisierungsmaßnahmen Früchte getragen.“

#Netzpalaver #PaloAltoNetworks