Mitarbeiter zu verängstigen ist ein ineffektiver Weg, um sie wachsam zu machen, so eine Studie. Tatsächlich kann zu viel Angstmacherei den Bemühungen um Schulungen zum Thema Cybersicherheit schaden. 

Wesentliche Punkte:

  • Untersuchungen zeigen, dass Angsttaktiken in Schulungen zum Thema Cybersicherheit die Mitarbeiter abschrecken und nicht zu einer langfristigen Verhaltensänderung führen.
  • Angst und Bestrafung können Mitarbeiter davon abhalten, verdächtige Cyber-Aktivitäten zu melden.
  • Kreative, auf Vertrauen basierende Programme, die Mitarbeiter befähigen, können einer Organisation helfen, cyberresistenter zu werden.

Die Rhetorik der Cybersicherheit ist oft durchsetzt mit einer kleinen Sache namens FUD - Angst, Unsicherheit und Zweifel. Dieses Akronym stammt aus der Zeit lange vor dem Aufkommen der Cybersicherheit, ist aber seit den 1970er Jahren eng mit der Technologiebranche verbunden. [1]

Theoretisch macht es Sinn, dass einige Anbieter von Cybersicherheitslösungen Angst und Unsicherheit einsetzen, um den Verkauf anzukurbeln oder Mitarbeiter zu schulen. Um Organisationen und Einzelpersonen dazu zu bringen, in Sicherheitsmaßnahmen zu investieren, muss man sie zunächst von einer allgegenwärtigen Bedrohung überzeugen. Und obwohl es wichtig ist, Cybersicherheit nicht zu beschönigen - es gibt ernsthafte Cyber-Bedrohungen da draußen, derer wir uns bewusst sein sollten - ist es auch wichtig, nicht zu übertreiben. Wir sollten nicht zulassen, dass Angst die Hauptantriebskraft hinter Sicherheitsentscheidungen ist. Warum? Weil sie einfach ineffektiv ist, so die Untersuchung von Dr. Karen Renaud und Marc Dupuis, die im Dezember 2020 im Wall Street Journal erschienen ist. [2]

Warum der Angst-Faktor nicht funktioniert - und oft nach hinten losgeht

Im Jahr 2020 ist FUD kein Fremdwort, und wir haben gesehen, dass Angst in der Tat kurzfristige Aktionen auslösen kann - erinnern Sie sich an die Lebensmittelregale im Frühjahr, die aufgrund von COVID-bedingten Panikkäufen leer waren. Obwohl Angst einmalige Aktionen wie diese auslösen kann, scheitert sie oft daran, langfristige Verhaltensänderungen zu beeinflussen, so Renaud.

Bei ihren Untersuchungen stellte sie fest, dass Demagogie in der Cybersicherheit oft eines von zwei Dingen bewirkt:

  • Erzeugen Sie einen negtiven Effekt, bei dem Mitarbeiter beginnen, legitime Sicherheitswarnungen abzutun
  • Mitarbeiter in einen ständigen Zustand der Angst versetzen, der die Entscheidungsfähigkeit hemmt

Letzteres kann für eine Organisation und das psychische Wohlbefinden ihrer Mitarbeiter sehr schädlich sein. Renaud berichtete von einem britischen Unternehmen, das seinen Mitarbeitern hohe Geldstrafen auferlegte - bis zu 50 % ihres Jahresgehalts -, wenn sie auf Anhänge in simulierten Phishing-E-Mails klickten, die als Teil der Sicherheitsschulung durchgeführt wurden. [3] Ein anderes Unternehmen hatte eine "Three-Strikes-you're-fired"-Richtlinie, wenn Phishing-Simulationen fehlschlugen, und ein drittes Unternehmen beschämte Klicker, indem es ihre Fotos in den Gemeinschaftsbereichen des Büros aushängte.

Es ist nicht abwegig anzunehmen, dass Mitarbeiter aus Angst vor solch harten Strafen verdächtige Aktivitäten auf ihren Geräten eher nicht melden. Wenn ein Mitarbeiter zum Beispiel den Verdacht hat, dass sein Gerät durch einen dubiosen Link, den er gestern angeklickt hat, mit einem Virus infiziert wurde, könnte er versuchen, die Situation selbst zu beheben, anstatt sie zu melden und eine Strafe zu riskieren. Und da er kein IT-Profi ist, könnte er am Ende nur weiteren Schaden anrichten.

Aber die Daten diktieren, dass Sie Ihre Mitarbeiter nicht vom Melden abhalten wollen. Eine globale Mimecast-Umfrage ergab, dass weniger als die Hälfte (45 %) der Mitarbeiter verdächtige E-Mails an ihr Sicherheitsteam melden. [4] Um diesen Prozentsatz zu erhöhen, müssen Unternehmen eine sichere Cybersecurity-Kultur schaffen, die eine offene Kommunikation fördert.

Renauds Studie fand in einer Umfrage unter 400 Mitarbeitern heraus, dass 32 Prozent der Meinung sind, dass es nicht in Ordnung ist, Bedrohungen zu übertreiben, selbst wenn dies bedeutet, dass Menschen ihr Verhalten ändern, und 31 Prozent glauben, dass es unethisch ist, überhaupt Angst einzusetzen, um Menschen zum Handeln zu bewegen. Zweiundzwanzig Prozent sagten, dass Angst gar nicht funktioniert, wenn es um Cybersicherheitsschulungen geht. [5]

Fürchten Sie sich nicht. Es gibt einen stärkeren Ansatz für Cybersecurity Awareness Training.

Unternehmen müssen die Philosophie hinter ihren Schulungsprogrammen für Cybersicherheit überarbeiten. Eine von Mimecast gesponserte Forrester-Studie hat ergeben, dass 55 % der Unternehmen bei ihren Sicherheitstrainingsprogrammen nicht auf Daten und verhaltenswissenschaftliche Erkenntnisse zurückgreifen, 45 % kein Feedback von den Mitarbeitern einholen und 33 % keine Metriken zur Erfolgskontrolle verwenden. [6] Dies zeigt, dass Möglichkeiten verschenkt werden, um das Beste aus dem Cybersecurity-Awareness-Training herauszuholen und eine effektive Security-First-Kultur am Arbeitsplatz zu schaffen. 

Basierend auf ihren Recherchen bei verschiedenen Professoren, Führungsexperten und Autoren empfiehlt Renaud den folgenden dreiteiligen Ansatz für Schulungen zum Thema Cybersicherheit: [7]

  1. Schaffen Sie ein Buddy-System. Ziel ist es, den Sicherheits-Support zu demokratisieren, indem in jeder Abteilung mindestens eine Person als "Cybersecurity-Experte" benannt wird, der den Kollegen im Alltag zur Seite steht. Dies macht die Anleitung für die Mitarbeiter zugänglicher und erinnert sie daran, dass Cybersecurity keine Sololeistung ist, sondern ein Teamsport.
  2. Stellen Sie angemessene Ressourcen zur Verfügung. Wenn möglich, geben Sie Mitarbeitern Hilfsmittel an die Hand, die das Befolgen des Protokolls erleichtern. Wenn Sie z. B. möchten, dass Mitarbeiter sichere Passwörter verwenden, diese nirgendwo aufschreiben und nicht wiederverwenden, stellen Sie Passwort-Manager zur Verfügung. Oder wenn Sie möchten, dass Ihr Unternehmen in der Lage ist, Phishing zu erkennen, setzen Sie ein Nachrichtensystem (außerhalb von E-Mail) ein, das Mitarbeiter warnt, wenn das Unternehmen ins Visier genommen wird.
  3. Entfernen Sie Hindernisse. Verbieten Sie so wenig Tools wie möglich und finden Sie stattdessen sichere und effektive Wege, sie zu nutzen. USB-Speichersticks, zum Beispiel. Anstatt sie gänzlich zu verbieten, geben Sie verschlüsselte Speichersticks aus, die sich per Fingerabdruck authentifizieren. Auf diese Weise können die Mitarbeiter immer noch große Dateien übertragen, ohne improvisieren zu müssen.

Zusätzlich bietet die Forrester-Studie folgende Vorschläge: [8]

  1. Nutzen Sie Humor und regelmäßige, mundgerechte Inhalte
  2. Verwenden Sie Messgrößen, um Fortschritte und Verhaltensänderungen zu verfolgen
  3. Erleichterung der Sicherheitsdiskussion in den weiteren Gemeinden

Forrester fand heraus, dass mehr als zwei Drittel (67 %) der befragten Führungskräfte angaben, dass sie in den nächsten 12 Monaten ein Upgrade des Schulungsprogramms für das Sicherheitsbewusstsein ihrer Unternehmen planen. [9] Dies stellt für diese Unternehmen und alle Unternehmen, die ihre Cybersecurity-Kultur aktualisieren möchten, eine Chance dar, es dieses Mal richtig zu machen.

Was lässt sich daraus schließen?

Obwohl es verlockend sein kann, das Verhalten der Mitarbeiter mit FUD zu beeinflussen, ist es oft ineffektiv, wenn es darum geht, die langfristigen Ziele eines Unternehmens in Bezug auf Cybersicherheit zu erreichen. Es ist besser, Kreativität und Vertrauen zu nutzen, um die Mitarbeiter zu befähigen, sich selbst nicht als das Problem, sondern als integralen Bestandteil der Lösung zu sehen. Schulung der Mitarbeiter zum Schutz

[1] "Cut the FUD: Why Fear, Uncertainty and Doubt is Harming the Security Industry," Help Net Security

[2] "Warum Unternehmen aufhören sollten, ihren Mitarbeitern Angst vor Cybersecurity zu machen," Wall Street Journal

[3] Ebd.

[4] "Company-issued Computers: Was machen die Mitarbeiter wirklich damit? " Mimecast

[5] "Warum Unternehmen aufhören sollten, ihren Mitarbeitern Angst vor Cybersecurity zu machen," Wall Street Journal

[6] "Designing Effective Security Awareness & Training Programs in the APAC," Forrester

[7] "Warum Unternehmen aufhören sollten, ihren Mitarbeitern Angst vor Cybersecurity zu machen," Wall Street Journal

[8] Designing Effective Security Awareness & Training Programs in the APAC," Forrester

[9] Ibid.

Sie wollen noch mehr Artikel wie diesen? Abonnieren Sie unseren Blog.

Erhalten Sie alle aktuellen Nachrichten, Tipps und Artikel direkt in Ihren Posteingang

Das könnte Ihnen auch gefallen:

Q&A: Cybersecurity Awareness und die Lehren aus 2020

COVID-19, Remote Work und Datenschutz l...

COVID-19, Remote Work und Datenschutzgesetzgebung sind kompe... Mehr lesen >

Mercedes Cardona

von Mercedes Cardona

Mitwirkender Verfasser

Veröffentlicht am 23. Dezember 2020

9 Wege zum Aufbau einer robusten Cyber-Sicherheitskultur

Effektive Cybersicherheit erfordert eine ...

Effektive Cybersicherheit erfordert eine durchgängige organisatorische ... Mehr lesen >

Bill Camarda

von Bill Camarda

Mitwirkender Verfasser

Verfasst am 1. Dezember, 2020

Ransomware-Angriffe auf Schulen stoppen Fernunterricht in den gesamten USA

Ransomware-Angriffe auf Schulen haben...

Ransomware-Angriffe auf Schulen haben Starttermine verzögert... Mehr lesen >

Miranda Nolan

von Miranda Nolan

Sicherheitsschriftsteller

Veröffentlicht am 9. Dezember 2020