Von Kerstin Albrecht-Aigner
Security Awareness – Kommt der Chef zum IT-Verantwortlichen und „bestellt“ eine Mitarbeiterschulung zur Computersicherheit im
Unternehmen. Geschwind ist ein Folien-Vortrag erstellt, sind die Kollegen zur Pflichtveranstaltung eingeladen und ist ein passendes Rahmenprogramm organisiert. Der Tag X verläuft im Großen und Ganzen erfolgreich. Doch ein paar Monate später lässt Chef spontan eine Phishing-Attacke simulieren, um die Nachhaltigkeit der Aktion zu testen. Das Ergebnis: Durchwachsen bis niederschmetternd! Da scheint von den fachlich-fundiert aufbereiteten Informationen tatsächlich eher weniger hängen geblieben zu sein. Woran das wohl gelegen haben mag, fragt sich an dieser Stelle der IT-Verantwortliche. Und ob hier nun guter Rat teuer ist? Wir sagen: Nein! Doch lesen Sie einfach mal weiter...
Um es gleich vorweg zu nehmen: Die Aufforderung der Betriebsleitung, Mitarbeiter für Themen rund um die IT-Security zu sensibilisieren, kommt nicht von ungefähr. Tatsächlich haben Unternehmen wie auch Behörden jahrelang in eine umfangreiche technische Ausstattung investiert, um die Sicherheit ihrer Computersysteme und Netzwerke zu verbessern. So erschweren heute Firewalls, Virenscanner und Angriffserkennungssysteme Cyberkriminellen deutlich ihr Handwerk. Aus diesem Grund sind Angreifer nun verstärkt dazu übergegangen, ein neues, vermeintlich leichteres Ziel ins Visier zu nehmen: Die Betriebsangehörigen und damit den Menschen als das schwächste Glied der Sicherheitskette. Modernen Wirtschaftsspionen geht es also inzwischen nicht mehr nur darum, sich in ein Unternehmensnetzwerk zu hacken. Vielmehr erschleichen sie sich nun Benutzernamen und Passwörter ausgespähter Mitarbeiter und erhalten so „rechtmäßig“ Zugang in die Schaltzentrale des Betriebs. Diese Vorgehensweise schimpft sich, wie viele mittlerweile wissen mögen, Social Engineering.
Vom Daily Information Overload...
Gefahr erkannt, Gefahr gebannt? Auch in diesem Fall, wie bei vielem, leider nicht. Zwar waren Mitarbeiterschulungen zur IT-Sicherheit eine Zeit lang der große Renner. Heute dümpeln sie allerdings eher so vor sich hin, neben den vielen anderen Aktionen, die ein Betriebsalltag mit sich bringt. Warum eigentlich? Wirtschaftsspione, Datendiebe und Hacker haben sich doch auch nicht in ihr Schneckenhäuslein zurückgezogen, oder? Ob es wohl an der Flut aus Informationen liegt, die täglich wie ein Tsunami über uns hinwegdonnert? Werden wir nicht gefühlt im Sekundentakt mit Nachrichten und Wissen in Form von Texten, Fotos und Videos bombardiert? Und finden wir nicht alle mal den einen oder anderen Fachvortrag ermüdend und langweilig, vor allem wenn er als verpflichtend daherkommt? Tatsächlich ist es mittlerweile nicht mehr ganz so einfach, das Catching Moment zu erwischen, Menschen auf kognitiver wie auch auf emotionaler Ebene zu erreichen und damit für ein Thema zu begeistern.
...zum Special Catching Moment
Was heißt das aber nun für unsere Mitarbeiterschulung zur IT-Sicherheit? Es heißt, ein anderer Ansatz muss her! Ein Ansatz, mit dem sich nicht nur wachrütteln und Wissen zum Thema vermitteln, sondern dieses auch nachhaltig etablieren lässt. Und das am besten auf verständliche, spannende und humorvolle Art und Weise. Wie etwa bei einer Kampagne. Hmm – versteht sich nicht die hauseigene Marketing-Abteilung auf Kampagnen, auf das erfolgreiche „Verkaufen“ von Informationen? Warum also nicht diese Mannschaft mit ins „Schulungsboot“ holen, eine gemeinsame Initiative starten und so ganz nebenbei Verständnis füreinander entwickeln und den Teamgeist stärken? Tatsächlich haben inzwischen Marketing-Prinzipien auch bei IT-Mitarbeiterschulungen Einzug gehalten und finden unter dem Begriff „Security Awareness Kampagnen“ ihren Ausdruck. Maßnahmen dieser Art nutzen die Erkenntnisse moderner Markt- und Werbepsychologie und verfolgen das Ziel, zu informieren und zu motivieren. Das heißt, es geht hier nun nicht mehr nur darum, Wissen zu vermitteln, sondern auch eine positive Einstellung zum Thema aufzubauen und so eine dauerhafte Verhaltensänderung herbeizuführen.
Von den Facetten einer Marketing-induzierten IT-Kampagne
Das Marketing liefert hier eine gut bestückte Spielwiese, um auch im Rahmen von Security Awareness Kampagnen aus den Vollen schöpfen zu können: Beispielsweise lässt sich durch einen simulierten Spionage-Angriff, den Versand eines Testvirus oder durch die Schaffung eines imaginären Bösewichts ein hohes Maß an Aufmerksamkeit erregen. Darauf aufbauend zählen Präsenz- und webbasierte Trainings zu den wirksamen Mitteln, Wissen weiter zu geben. Des Weiteren verhelfen Videoclips mit authentisch nachgestellten Szenen, die neu erworbenen Kenntnisse zu festigen und in Verhalten umzusetzen. Und welche Maßnahmen eignen sich, damit Mitarbeiter nach kurze Zeit nicht schon wieder in alte Verhaltensmuster zurückfallen? Bei dieser Frage reibt sich ein Marketing-Experte die Hände, denn auch hier sind einer Security Awareness Kampagne kaum Grenzen gesetzt: Ein unternehmensweit passender Sicherheitsslogan, ein witziges Logo, Aufsteller, Banner, Poster, Aufkleber und diverse spezifische Give Aways, ein Bildschirmschoner mit Sicherheitsbotschaft, ein Wissenscheck und/oder Gewinnspiel, aktuelle Nachrichten im Intranet oder in der Mitarbeiterzeitung, Security-Video des Monats und vieles mehr lassen nicht nur Marketing-Herzen höher schlagen...
Also an alle IT-Verantwortlichen: Wenn denn Chef wieder mal eine Mitarbeiterschulung bestellt, schalten Sie doch einfach mal Ihr Kopfkino ein und hecken Sie mit der hausinternen Marketing-Abteilung einen gemeinsamen Plan aus. Gerne geben auch wir von NIC hier unsere Erfahrungen weiter, denn wir meinen, Investitionen in die menschliche Firewall und damit in die IT-Sicherheit in Ihrem Betrieb lohnen sich immer!