Viel wird aktuell über Ransomware und ähnliche Cyberattacken auf deutsche Unternehmen geschrieben, nicht ein Tag, an dem nicht eine Schlagzeile dazu erscheint. Vielfach steht am Anfang einer solchen Nachricht eine einfache E-Mail, die so verfasst wurde, dass sie die Aufmerksamkeit eines unachtsamen Mitarbeitenden ausnutzt. Der Erfolg gibt den Cyberkriminellen recht, da sie mit relativ gesehen wenig Aufwand zum Ziel kommen. Gängige Betreffzeilen sind meistens mit der IT verbunden beispielsweise Aufforderungen zur Änderung von Passwörtern, Einladungen zu Zoom-Meetings oder Sicherheitswarnungen. Andere Beispiele enthalten Aufforderungen, die im Kontext Urlaub zu verorten sind, wobei Anreize wie Terminänderungen, Geschenkgutscheine und Wellness-Pakete gerne als Köder für ahnungslose Endbenutzer genutzt werden.
Die Erfolgsquote bei Phishing per E-Mail liegt auch deshalb so hoch, weil noch immer zu wenig Mitarbeiter sich über die Gefahren im Klaren sind, die von E-Mails ausgehen können. Hierbei kommt ein Security-Awareness-Trainings ins Spiel. Leider wird das Thema in der Geschäftsführungsebene noch immer unterschätzt und als reine Pflicht oder gar als Fortbildungsmaßnahme angesehen. Nach Angaben des Statistischen Bundesamtes Destatis haben sich 2021 lediglich 3,9 Prozent der 25 bis 64-jährigen an Kursen und Lehrgängen der beruflichen Weiterbildung beteiligt. Nicht nur fehlende Anreize, sondern auch die tägliche Auslastung führen dazu, dass Angebote zur Fort- und Weiterbildung nicht immer angenommen oder aber nicht angeboten werden. Eine Schulung, die Bewusstsein für Cybergefahren schafft, kann jedoch viel mehr als nur ein Abhaken von Compliance-Anforderungen nach ISO-27001 Anforderung 7.3 oder gar Weiterbildungsmöglichkeiten sein.
Security-Awareness braucht Programm und Struktur
Ein gut gemachtes und entwickeltes Programm zur Sensibilisierung vor Cybergefahren, bei dem sich ein Team aus internen und externen Experten zusammen der Angelegenheit annimmt, kann im Gegenteil ein wichtiges Instrument für die Mitarbeiterbindung werden. Die jüngere Generation stellt ganz andere Anforderungen an den Arbeitsplatz, ihre Tätigkeit und die Atmosphäre – manche mögen sagen Kultur – als noch die Generation vor ihnen. Loyalität und Identifikation mit der Tätigkeit und der Firma nehmen ab. Eine Forsa-Umfrage, die von der Social-Media-Plattform XING beauftragt wurde, zeigt, dass 65 Prozent der befragten Arbeitnehmer aus der Gen Z sich aufgrund des Fachkräftemangels keine Sorgen um ihre Zukunft machen. Unternehmen stehen den Ergebnissen zur Folge vor der Herausforderung, dass sich die Jüngeren häufig Arbeitserleichterungen wie eine Vier-Tage-Woche mit vollem Lohnausgleich wünscht. Fast ein Drittel der dort befragten würden sogar den aktuellen Arbeitgeber wechseln, wenn sie unzufrieden mit den Bedingungen oder der Bezahlung sind.
Mehrwert durch positive Vermischung von Arbeit und Privatleben
Ein Security Awareness-Programm kann dabei unterstützen, die Brücke zwischen dem Arbeits- und dem Privatleben zu schlagen, um Mehrwerte zu bieten, die über den Job hinausgehen. Die Idee dahinter ist einfach erklärt ein Mitarbeitender, der weniger Angst davor hat, Fehler zu machen, agiert selbstbewusster und dadurch motivierter. Die Hemmschwelle, dass ein fortgebildeter Mitarbeiter attraktiver für den Wettbewerb sein kann, sollte in diesem Fall überwunden werden. Schließlich geht es nicht darum, einzelne Fachbereiche zu schulen, sondern nach und nach das gesamte Unternehmen und alle Mitarbeitenden auf den gleichen Stand zu bringen. Nichtsdestoweniger ist natürlich eine abteilungsspezifische Sprache wichtig. Die Buchhaltung wird mit anderen Phishing-E-Mails konfrontiert als die Geschäftsführung. Das Marketing bekommt beispielsweise mehr Angebote zugeschickt, die Personalabteilung erhält Phishing-E-Mails in Form von Bewerbungen und Rechnungen werden bevorzugt an Geschäftsführung und Buchhaltung versendet. Dementsprechend muss sich auch ein Training mit solchen Beispielen auseinandersetzen und im Dialog mit den Mitarbeitern feststellen, welche Formen bereits bekannt sind und welche bislang eher wenig vorkamen.
Worauf kommt es bei der Umsetzung an?
Wichtig bei der Etablierung eines Security Awareness-Programms sind Regelmäßigkeit und Abwechslung. Trainingsinhalte wie Poster, Videos, Comics, aber auch Quiz- und weitere Spiele funktionieren. Wichtig ist, die Inhalte müssen abwechslungsreich sein, sie müssen verständlich sein, sie müssen den Mitarbeiter da abholen, wo er bei seiner täglichen Arbeit in Berührung kommt. Mal kann ein Poster auf der Toilette hilfreich sein, mal ist es aber auch ein kleiner Comic neben dem Bildschirm, der täglich daran erinnert, welches die ersten und wichtigsten Warnhinweise für beispielsweise Phishing sind. Nicht bei jedem Mitarbeiter funktioniert der gleiche Inhalt, deshalb ist Abwechslung wichtig. Kulturelle und Generations-Unterschiede sollten beachtet und respektiert werden. Ein Comic im Stil der 80er funktioniert bei einem Babyboomer, aber nicht bei der Gen Z und umgekehrt.
Ein weiteres Feld ist simuliertes Phishing, hierbei werden echt aussehende Phishing-E-Mails versendet, die aber keinen Schaden anrichten, wenn die dort eingebauten Links oder in Anhängen hinterlegten Makros angeklickt werden. Anhand von roten Flaggen können die Trainer aufzeigen, worauf bei solchen E-Mails geachtet werden sollte. Eine Datenbank von einfach anpassbaren Vorlagen für E-Mails hilft bei der Durchführung verschiedenster Kampagnen, um Mitarbeiter Schritt für Schritt zu sensibilisieren. Wenn dann noch die Möglichkeit besteht, während der Arbeit mit automatisierten Hilfestellungen auf risikobehaftetes Verhalten in nahezu Echtzeit hinzuweisen, stellen sich messbare Effekte ein, die zu einer dauerhaften Veränderung des Verhaltens führen.
Am Ende eines jeden Programms sollte als Ziel ausgegeben werden, dass eine Veränderung der Unternehmenskultur stattfindet, in der eine Verbesserung der Sicherheitskultur stattfindet. Dies darf aber nichts ins Negative abdriften. Niemand braucht paranoide Mitarbeiter, die nichts und niemandem trauen, dies ist eindeutig der falsche Weg, genauso wie mit Bestrafungen wie Abmahnungen oder Ähnlichem zu arbeiten. Mitarbeiter müssen motiviert und aufgeklärt werden, nicht abgeschreckt. Aus diesem Grund sind ständiger Dialog und ständiger Austausch von Informationen über das gelehrte und gelernte wichtig. Generell sollten Mitarbeiter nicht geführt, sondern gefördert werden. Wird dieser Leitspruch beherzigt, so ist es möglich, eine echte Sicherheitskultur geschaffen, die aus Mitarbeitenden besteht, die sich der Sache verschreiben und dem Thema souverän und ohne Angst begegnen, ohne viele technische Details kennen zu müssen. Eine gesunde Sicherheitskultur ermöglicht es den Mitarbeitern, Bedrohungen zu erkennen, zu verstehen, warum sie eine Bedrohung darstellen und sicher zu handeln.
Security-Awareness kann also sogar zu einem kulturellen Wandel führen und kann als Pull-Effekt dienen, um zweifelnde Mitarbeiter stärker an sich zu binden. Letztlich gilt, wer zufriedene Mitarbeiter hat, die sich den Werten der Organisation verschreiben und den Weg mitgehen oder gar im besten Fall mitgestalten wollen, sind das beste Aushängeschild generationsübergreifend.
Fazit
Die Loyalität gegenüber dem eigenen Unternehmen nimmt verschiedenen Studien und Umfragen nach eher ab als zu, was in Krisenzeiten auch keine Überraschung darstellt. Problematisch ist jedoch, dass dadurch auch die Wechselwilligkeit zunimmt, weil dann die Unzufriedenheit wächst. Weiterbildungsmaßnahmen können hier helfen, Mitarbeiter zu halten und eine Schulung in Sachen Security Awareness Training bietet durch die Regelmäßigkeit und Abwechslung eine willkommene Ablenkung von Arbeitsroutinen. Der Aspekt, dass die Organisation auch noch sicherer im Fachjargon „Phishing resistenter“ wird, ist darüber hinaus ein nicht unbedeutender Beitrag zur Gesamtsicherheit
Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
