Cybersicherheit: Wie man Mitarbeitende ins Boot holt
An über 90 Prozent der erfolgreichen Cyberangriffe auf Unternehmen sind Mitarbeitende beteiligt. Sie klicken auf Phishing-Links, öffnen kompromittierte Dokumente oder verwenden unsichere Passwörter. Der menschliche Faktor ist das Einfallstor für Cyberkriminelle. Genau genommen brechen sie gar nicht ein – sie werden hereingelassen.
Viele Unternehmen versuchen, das Problem mit Schulungen in den Griff zu bekommen. Allerdings sehen sie sich oft mit einer desinteressierten Belegschaft konfrontiert. Untersuchungen zeigen, dass Anwender auch nach Schulungen riskante Verhaltensweisen an den Tag legen. Es genügt also offensichtlich nicht, Gefahren zu benennen, um eine Änderung des Verhaltens zu erreichen. Es ist ein Kulturwandel erforderlich, der Verhaltensweisen schrittweise ändert.
Abwechslung stärkt das Gedächtnis
Wenn die Botschaften von Schulungen zu eintönig sind und ständig dieselben Materialien und Methoden verwendet werden, stumpfen Mitarbeitende ab und ignorieren die gelernten Massnahmen – mit messbaren Folgen. So ist die Bekanntheit wichtiger Security-Schlüsselbegriffe erheblich gesunken. Laut des aktuellen "State of the Phish Reports" konnte nur etwas mehr als die Hälfte (53 Prozent) der Anwender Phishing richtig definieren, während es im Vorjahr noch 63 Prozent waren. Auch bei anderen Begriffen wie Malware (minus 2 Prozent) und Smishing (minus 8 Prozent) war ein rückläufiger Trend zu beobachten. Dies zeigt, wie wichtig es ist, das Sicherheitsbewusstsein auf immer wieder neue Art und Weise zu schulen, an so vielen Orten und in so vielen Formaten wie möglich.
Eine Geschichte erzählen
Die meisten User sind keine Cybersicherheitsexpertinnen und -experten und wollen es auch nicht werden. Mit Buzzwords, Fachjargon und trockenen Statistiken können sie daher nichts anfangen. Viel anschaulicher ist es, die Botschaften in eine Geschichte einzubetten. Wenn Mitarbeitenden vor Augen geführt wird, dass alltägliche Nachlässigkeiten Cyberkriminellen Tür und Tor öffnen, wird ihnen das länger im Gedächtnis bleiben als ein stundenlanger Vortrag über Hacking-Techniken, Spoofing-Strategien und Shell-Skripte.
Konkrete Fälle aus den Medien können als warnende Beispiele dienen. Sie lassen sich auch auf bestimmte Funktionen, Abteilungen und schlechte Angewohnheiten zuschneiden, um einen klaren Zusammenhang zwischen Handlungen und Konsequenzen aufzuzeigen. Je individueller das Schulungsangebot, desto mehr können sich die Nutzerinnen und Nutzer damit identifizieren und ihr Verhalten ändern.
Schulungsprogramme weiterentwickeln
Die Bedrohungslandschaft entwickelt sich ständig weiter, und Schulungsprogramme müssen dem Rechnung tragen. Schulungen müssen auch regelmässig an das sich verändernde Risikoprofil in der Belegschaft angepasst werden. Sicherheitsverantwortliche sollten die Personen identifizieren, die am häufigsten angegriffen werden und evaluieren, mit welchen Angriffsvektoren sie es üblicherweise zu tun haben. Nur so lassen sich die Trainings auf den Alltag der Mitarbeitenden abstimmen, um einen praxisnahen Lerneffekt zu erzielen.
Den Spass nicht vergessen
Es gibt viele Möglichkeiten, Cybersecurity-Schulungen positiv und unterhaltsam zu gestalten oder mit einem Wettbewerb zu verbinden. Auf jeden Fall ist es besser, kurz und prägnant zu informieren, als die Zuhörerschaft mit stundenlangen Vorträgen zu langweilen. Untersuchungen zeigen, dass die spielerische Gestaltung von Schulungsmodulen die Motivation steigert und die Ergebnisse von Tests verbessert.
Cybersicherheit alltäglich machen
Alle Mitarbeitenden müssen Teil des Sicherheitsteams werden. Ein Bewusstsein für Cybergefahren, Best Practices und die Folgen fahrlässigen Verhaltens ist deshalb unabdingbar – und wird mit massgeschneiderten, motivierenden und regelmässigen Security-Trainings hoffentlich bald zum Alltag.
----------
Eine Onlineschulung zum falschen Zeitpunkt ist oft nur ein lästiges Übel
Wer Mitarbeitende für Cyberrisiken sensibilisieren will, sollte die entsprechenden Schulungen individuell gestalten und mit aktuellen Praxisbeispielen unterfüttern. Worauf es bei Awareness-Trainings sonst noch ankommt, erklärt Irene Marx, Country Manager Switzerland & Austria von Proofpoint. Interview: Yannick Züllig
Warum reicht es heutzutage nicht mehr aus, Mitarbeitende für Cyberrisiken zu sensibilisieren?
Irene Marx: Die Sensibilisierung der Mitarbeitenden ist ein sehr wesentlicher Faktor in einer erfolgreichen Cybersecurity-Strategie, hat alleine jedoch noch nie ausgereicht. Für Cyberkriminelle wird es immer schwieriger, ohne "Unterstützung" eines Mitarbeitenden eine Netzwerkinfrastruktur anzugreifen und beispielsweise Ransomware zu installieren. Darum müssen Unternehmen gerade in Technologien investieren, die ihren Mitarbeitenden ihre Rolle als "letzte Verteidigungslinie" erleichtern.
Cyberbedrohungen verändern sich ständig. Dementsprechend müssten sich auch Awareness-Trainings laufend anpassen. Worauf sollte man dabei achten?
Um Awareness-Trainings aktuell zu halten, werden idealerweise reale Angriffe gefiltert, "entschärft" und in die Trainings der Mitarbeitenden integriert. Besonders wichtig ist, diese Trainings den Mitarbeitenden in kleinen, gut zu verarbeitenden Einheiten zu präsentieren. Schulungen, die ein bis zwei Mal im Jahr stattfinden und zum aktuellen Geschehen keinen Bezug haben, sind so gut wie wertlos.
Wie kann man die Schulungen so gestalten, dass das vermittelte Know-how wirklich ankommt?
Im ersten Schritt sollte sich ein Unternehmen mittels eines Assessment einen Überblick verschaffen, wer im Unternehmen besonders oft angegriffen wird, Zugriff zu sensiblen Daten hat oder tendenziell leichtfertig auf Links klickt und Anhänge von unbekannten Sendern öffnet. Mit diesen Voraussetzungen kann man sehr gezielt die Schulungen individualisieren und in die tägliche Arbeit eines Mitarbeitenden integrieren. Mit simulierten Phishingattacken kann man dann den Erfolg seiner Schulungsmassnahmen überprüfen. Sollte die Attacke "erfolgreich" sein, ist es wichtig, direkt zu erklären, wie Mitarbeitende in Zukunft richtig reagieren sollten – in diesem "teachable Moment" ist die Aufnahmebereitschaft besonders gross.
Welche praktischen Hilfsmittel können helfen, um die Schulungen effektiv zu gestalten?
Zusätzlich zu Onlineschulungen, die individualisiert und im richtigen Moment durchgeführt werden, ist es auch sehr effektiv, mittels Social Engieering zur überprüfen, wie weit ein Aussenstehender in ein Unternehmen vordringen kann – in die IT-Systeme ebenso wie die Räumlichkeiten des Unternehmens. Angreifer nutzen dabei typische menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Respekt, Dankbarkeit, Konfliktvermeidung oder Angst. Wenn einem Unternehmen vor Augen geführt wird, wie leicht es ist, Schaden anzurichten, ist die Bereitschaft für Schulungen auf allen Ebenen weit grösser.
Wie lässt sich ein ernstes Thema wie Cybersicherheit "spielerisch" vermitteln?
Viele Mitarbeitende hetzen von einem Online-Meeting zum nächsten. Damit ist eine Onlineschulung zum falschen Zeitpunkt oft nur ein lästiges Übel. Deshalb ist es wichtig, die Mitarbeitenden integrieren. Wir bieten in unseren Onlineschulungen zum Beispiel sehr viele interaktive Trainings, in denen man entscheiden kann, wie man in einzelnen Situationen reagieren würde. Damit wird der Verlauf des Trainings individualisiert und erhält eine spielerische Komponente.
Update: Digitalverbände begrüssen E-ID-Einführung
Der Herr der Geschenke
Die Rolle von KI in der Transformation des Schweizer Finanzsektors
APG|SGA feiert 125-Jahre-Jubiläum
Diese Themen bleiben 2025 zentral für Unternehmen
Diese Entwicklungen beeinflussen die IT-Infrastruktur 2025
Microsofts KI-Accelerator-Programm für Start-ups geht in die zweite Runde
ISE 2025: Revolutioniert Unified Communications mit bahnbrechenden Lösungen
Die Redaktion verabschiedet sich in die Weihnachtspause
