Schulungen zum Sicherheitsbewusstsein

    Nicht Angst, sondern Kreativität und Vertrauen lehren die Mitarbeiter, cybersicher zu sein

    Untersuchungen haben ergeben, dass es nicht zielführend ist, Mitarbeiter zu verängstigen, um sie zur Wachsamkeit im Umgang mit dem Internet zu bewegen. Vielmehr kann zu viel Angstmacherei den Bemühungen um Schulungen zur Cybersicherheit schaden.

    by Miranda Nolan
    626533121.jpg

    Wichtige Punkte

    • Untersuchungen zeigen, dass Angsttaktiken bei Schulungen zum Thema Cybersicherheit die Mitarbeiter abschrecken und nicht zu einer langfristigen Verhaltensänderung führen.
    • Angst und Bestrafung können Mitarbeiter davon abhalten, verdächtige Cyberaktivitäten zu melden.
    • Kreative, auf Vertrauen basierende Programme, die Mitarbeiter befähigen, können einem Unternehmen helfen, widerstandsfähiger gegen Cyberangriffe zu werden.

    Die Rhetorik im Bereich der Cybersicherheit ist oft durchsetzt von FUD - Furcht, Unsicherheit und Zweifel. Es handelt sich dabei um ein ordentliches Akronym, das lange vor dem Aufkommen der Cybersicherheit entstanden ist, aber seit den 1970er Jahren eng mit der Technologiebranche verbunden ist.[1]

    Theoretisch macht es Sinn, dass einige Anbieter von Cybersicherheitslösungen mit Angst und Unsicherheit arbeiten, um den Verkauf anzukurbeln oder Mitarbeiter zu schulen. Um Organisationen und Einzelpersonen dazu zu bringen, in Sicherheitsmaßnahmen zu investieren, muss man sie zunächst von einer allgegenwärtigen Bedrohung überzeugen. Und obwohl es wichtig ist, die Cybersicherheit nicht zu beschönigen - es gibt ernsthafte Cyber-Bedrohungen da draußen, die wir kennen sollten - ist es auch wichtig, nicht zu übertreiben. Wir sollten nicht zulassen, dass Angst die Hauptantriebskraft für Sicherheitsentscheidungen ist. Warum eigentlich? Weil sie einfach ineffektiv ist, wie die Studie von Dr. Karen Renaud und Marc Dupuis zeigt, die im Dezember 2020 im Wall Street Journal veröffentlicht wurde. [2]

    Warum der Angst-Faktor nicht funktioniert - und oft nach hinten losgeht

    FUD ist im Jahr 2020 kein Fremdwort, und wir haben gesehen, dass Angst tatsächlich kurzfristige Aktionen auslösen kann - denken Sie nur an die Lebensmittelregale im Frühjahr, die infolge der COVID-bedingten Panikkäufe leer waren. Obwohl Angst einmalige Aktionen wie diese auslösen kann, gelingt es ihr oft nicht, langfristige Verhaltensänderungen zu bewirken, so Renaud.

    Bei ihren Untersuchungen stellte sie fest, dass Demagogie im Bereich der Cybersicherheit oft eines von zwei Dingen bewirken kann:

    • Es entsteht ein "Junge-der-Wolf-weint"-Effekt, der dazu führt, dass Mitarbeiter berechtigte Sicherheitswarnungen abtun.
    • Mitarbeiter in einen ständigen Zustand der Angst versetzen, der ihre Entscheidungsfähigkeit beeinträchtigt

    Letzteres kann für ein Unternehmen und das psychische Wohlbefinden seiner Mitarbeiter sehr nachteilig sein. Renaud berichtete über ein britisches Unternehmen, das seinen Mitarbeitern hohe Geldstrafen auferlegte - bis zu 50 % ihres Jahresgehalts -, wenn sie auf Anhänge in simulierten Phishing-E-Mails klickten, die als Teil der Sicherheitsschulung durchgeführt wurden.[3] Ein anderes Unternehmen verfolgte eine "Three-Strikes-you're-fired"-Politik, wenn Phishing-Simulationen fehlschlugen, und ein drittes Unternehmen beschämte die "Clicker", indem es ihre Fotos in den Gemeinschaftsbereichen der Büros aushing.

    Es ist nicht abwegig, anzunehmen, dass Mitarbeiter aus Angst vor solch harten Strafen verdächtige Aktivitäten auf ihren Geräten weniger häufig melden. Wenn ein Mitarbeiter beispielsweise den Verdacht hat, dass sein Gerät aufgrund eines zweifelhaften Links, den er gestern angeklickt hat, mit einem Virus infiziert wurde, könnte er versuchen, die Situation selbst zu beheben, anstatt sie zu melden und eine Bestrafung zu riskieren. Und da er kein IT-Fachmann ist, könnte er damit nur weiteren Schaden anrichten.

    Die Daten zeigen jedoch, dass Sie Ihre Mitarbeiter nicht von der Meldung abhalten sollten. Eine weltweite Mimecast-Umfrage ergab, dass weniger als die Hälfte (45 %) der Mitarbeiter verdächtige E-Mails an ihre Sicherheitsteams melden.[4] Um diesen Prozentsatz zu erhöhen, müssen Unternehmen eine sichere Cybersicherheitskultur schaffen, die eine offene Kommunikation fördert.

    Renauds Untersuchung ergab in einer Umfrage unter 400 Arbeitnehmern, dass 32 % der Meinung sind, dass es nicht in Ordnung ist, Bedrohungen zu übertreiben, selbst wenn dies bedeutet, dass Menschen ihr Verhalten ändern, und 31 % glauben, dass es unethisch ist, überhaupt Angst einzusetzen, um Menschen zum Handeln zu bewegen. Zweiundzwanzig Prozent sagten, dass Angst nicht funktioniert, wenn es um Cybersicherheitsschulungen geht.[5]

    Fürchten Sie sich nicht. Es gibt einen stärkeren Ansatz für Schulungen zum Bewusstsein für Cybersicherheit.

    Unternehmen müssen die Philosophie hinter ihren Schulungsprogrammen zur Cybersicherheit überarbeiten. Eine von Mimecast gesponserte Forrester-Forschungsstudie ergab, dass 55 % der Unternehmen bei ihren Sicherheitstrainingsprogrammen nicht auf Daten und verhaltenswissenschaftliche Erkenntnisse zurückgreifen, 45 % kein Feedback von den Mitarbeitern einholen und 33 % keine Metriken zur Erfolgskontrolle verwenden.[6] Dies zeigt, dass Möglichkeiten verschenkt werden, das Beste aus den Schulungen zum Thema Cybersicherheit herauszuholen und eine effektive Sicherheitskultur am Arbeitsplatz zu schaffen.

    Auf der Grundlage ihrer Recherchen bei verschiedenen Professoren, Führungsexperten und Autoren empfiehlt Renaud den folgenden dreiteiligen Ansatz für die Schulung des Bewusstseins für Cybersicherheit:[7]

    1. Schaffen Sie ein Buddy-System. Ziel ist es, die Sicherheitsunterstützung zu demokratisieren, indem in jeder Abteilung mindestens eine Person als "Cybersicherheitsexperte" benannt wird, der den Kollegen im Alltag zur Seite steht. Auf diese Weise wird die Beratung für die Mitarbeiter zugänglicher und erinnert sie daran, dass Cybersicherheit keine Einzelleistung, sondern ein Teamsport ist.
    2. Stellen Sie angemessene Ressourcen zur Verfügung. Wenn möglich, geben Sie Ihren Mitarbeitern Hilfsmittel an die Hand, die ihnen die Einhaltung des Protokolls erleichtern. Wenn Sie beispielsweise möchten, dass Ihre Mitarbeiter sichere Passwörter verwenden, sie nirgendwo aufschreiben und nicht wiederverwenden, stellen Sie Passwort-Manager zur Verfügung. Wenn Sie möchten, dass Ihr Unternehmen in der Lage ist, Phishing-Attacken zu erkennen, sollten Sie ein Nachrichtensystem (außerhalb der E-Mail) einrichten, das die Mitarbeiter warnt, wenn das Unternehmen Ziel eines Angriffs ist.
    3. Beseitigen Sie Hindernisse.Verbieten Sie so wenig Hilfsmittel wie möglich, und finden Sie stattdessen sichere und effektive Wege, sie zu verwenden. USB-Speichersticks, zum Beispiel. Anstatt sie gänzlich zu verbieten, sollten Sie verschlüsselte Speichersticks ausgeben, die sich mit Fingerabdrücken authentifizieren. Auf diese Weise können die Mitarbeiter weiterhin große Dateien übertragen, ohne improvisieren zu müssen.

    Darüber hinaus bietet die Forrester-Studie die folgenden Vorschläge:[8]

    1. Einsatz von Humor und regelmäßigen mundgerechten Inhalten
    2. Verwendung von Metriken, um Fortschritte und Verhaltensänderungen zu verfolgen
    3. Erleichterung der Sicherheitsdiskussion in den breiteren Gemeinschaften

    Forrester fand heraus, dass mehr als zwei Drittel (67 %) der befragten Führungskräfte angaben, dass sie in den nächsten 12 Monaten das Schulungsprogramm für das Sicherheitsbewusstsein ihres Unternehmens aktualisieren wollen.[9] Dies stellt für diese Unternehmen und alle Unternehmen, die ihre Cybersicherheitskultur aktualisieren wollen, eine Gelegenheit dar, es dieses Mal richtig zu machen.

    Die Quintessenz

    Auch wenn es verlockend sein kann, das Verhalten der Mitarbeiter durch FUD zu beeinflussen, ist dies oft unwirksam, wenn es darum geht, die langfristigen Ziele eines Unternehmens im Bereich der Cybersicherheit zu erreichen. Es ist besser, Kreativität und Vertrauen zu nutzen, um die Mitarbeiter zu befähigen, sich selbst nicht als das Problem, sondern als integralen Bestandteil der Lösung zu sehen. Schulung der Mitarbeiter zum Schutz

    [1] "Cut the FUD: Warum Angst, Ungewissheit und Zweifel der Sicherheitsbranche schaden," Help Net Security

    [2] "Warum Unternehmen aufhören sollten, ihren Mitarbeitern Angst vor Cybersecurity zu machen," Wall Street Journal

    [3] Ibid.

    [4] "Firmeneigene Computer: Was machen die Mitarbeiter wirklich damit? " Mimecast

    [5] "Warum Unternehmen aufhören sollten, ihren Mitarbeitern Angst vor Cybersecurity zu machen," Wall Street Journal

    [6] "Designing Effective Security Awareness & Training Programs in the APAC," Forrester

    [7] "Warum Unternehmen aufhören sollten, ihren Mitarbeitern Angst vor Cybersecurity zu machen," Wall Street Journal

    [8] Designing Effective Security Awareness & Training Programs in the APAC," Forrester

    [9] Ibid.