Vor 24 Jahren programmierte ein junger Philippiner ein Stück Computercode, welches weltberühmt werden sollte. Im Mai 2000 breitete sich das Loveletter-Virus explosionsartig per E-Mail aus. Damals waren E-Mails mit schädlichen Anhängen noch weitgehend unbekannt, und so ist es verständlich, dass Millionen von Menschen in der Hoffnung auf eine nette Liebesbotschaft das Virus ausführten. Rund ein Vierteljahrhundert später sind die Menschen weitaus besser informiert über Themen wie Phishing, Computerviren und Hacker. Oder?
Schwächstes Glied
Leider wird immer noch sehr häufig etwas angeklickt, was sich schlussendlich als schädlich herausstellt. Unzählige Studien zeigen, dass der sogenannte menschliche Fehler immer noch die mit Abstand grösste Risikoquelle für Cybersicherheitsvorfälle ist. Das Sicherheitsunternehmen Tessian hat zusammen mit dem Stanford-Professor Jeff Hancock eine Studie namens «Psy-chology of Human Error 2022» durchgeführt, in welcher aufgezeigt wurde, dass ganze 88% der Datensicherheits-verletzungen auf Fehler der Mitarbeitenden zurückzuführen sind. Gemäss dem Global Risk Report des WEF aus dem Jahr 2022 sind es sogar 95%.
Investitionen in angemessene technische Sicherheitslösungen sind unerlässlich. Aber selbst die allerbesten technischen Massnahmen nützen wenig, wenn Mitarbeitende mit ihren Zugangsdaten falsch umgehen, auf Phishing-Mails hereinfallen oder Vorschriften zum Umgang mit sensiblen Daten nicht beachten.
Rechtliche Vorgaben
Unternehmen, die in regulierten Branchen tätig sind, sind oft mit Anforderungen konfrontiert, welche eine Schulung der Mitarbeitenden in den Bereichen Datenschutz und -sicher-heit explizit oder implizit vorsehen. Und auch das neue Datenschutzgesetz macht implizit eine Mitarbeiterschulung notwendig – wie sonst sollen die organisatorischen Massnahmen zur Datensicherheit greifen?
Wirksame Schulungen
Einmal pro Jahr 45 Minuten Frontalunterricht oder ein webbasiertes Training? Dass das kaum wirksam ist, dürfte heute den meisten Entscheidungsträgern klar sein. Wer es dabei belässt, macht Mitarbeiterschulungen oft nur, um entsprechenden Vorgaben zu genügen, und nicht, um die Sicherheit des Unternehmens effektiv zu stärken.
Eine wirksame Schulung muss über die reine Wissensvermittlung hinausgehen. Es gilt, das Bewusstsein für Cyber sicherheit zu fördern und die Mitarbeitenden dazu zu bringen, in diesem Sinne zu denken und zu handeln. Um dies zu erreichen, sollten Schulungen die folgenden Hauptmerkmale aufweisen:
- relevant und zielgerichtet: Die Schulungsinhalte sollten zielgruppen-gerecht, das heisst auf die spezifischen Rollen und Zuständigkeiten der Mitarbeitenden zugeschnitten sein und sich mit den Sicherheitsherausforderungen befassen, denen sie bei ihrer täglichen Arbeit begegnen. Es ist wichtig, die unterschiedlichen Kenntnisse der Mitarbeitenden zu berücksichtigen und Schulungen anzubieten, die für alle zugänglich und relevant sind.
ansprechend und interaktiv: Klassen-zimmeratmosphäre ist nicht besonders förderlich für die Aufmerksamkeit. Interaktive und ansprechende Methoden wie Simula tionen, Rollenspiele und Gamification sowie der geschickte Einsatz unterschiedlicher Medien können einen aktiven und intensiven Lernprozess begünstigen.
kontinuierlich statt einmalig: Es gibt gleich zwei gute Gründe, um Schulungen kontinuierlich und mehrmals jährlich stattfinden zu lassen. Erstens verblasst die Wirkung einer einmaligen Schulung meist relativ schnell, und bloss durch mehrmaliges Wiederholen werden Wissen und Know-how im Gedächtnis effektiv verankert. Zweitens entwickelt sich die Bedrohungslandschaft ständig weiter, und das Bewusstsein der Mitarbeitenden muss damit Schritt halten.
messbar und nachvollziehbar: Eine wirksame Schulung sollte sich positiv auf die Sicherheitslage des Unternehmens auswirken. Die Anzahl der absolvierten Schulungen des Personals zu messen, ist jedoch eine eher schlechte Kennzahl dafür. Aussagekräftiger sind Kennzahlen wie z. B. die Phishing-Anfälligkeit, die Anzahl der Sicherheitsvorfälle und der Sensibilisierungsgrad der Mitarbeitenden. Letzterer lässt sich mit entsprechenden Tests und/oder Umfragen erheben.
Wichtige Vorbildfunktion
Es mag abgedroschen klingen, dass Personen in Führungspositionen mit gutem Vorbild vorangehen sollen. Untersuchungen zeigen jedoch klar, dass es so ist. Führungskräfte beeinflussen das Verhalten und die Einstellung der Belegschaft. Sie tun dies mit dem, was sie sagen und wie sie es sagen – viel mehr jedoch noch mit ihrem Verhalten. Dementsprechend ist ihr Einfluss auf den Erfolg der Schulungsmassnahmen kaum zu unterschätzen. Und genau dies gilt es dem Management bewusst zu machen. Auf welche Art dies idealerweise geschieht, ist abhängig von der Unternehmenskultur und den jeweiligen Persönlichkeiten. Einige Organisationen setzen auf spezielle Management-Awareness-Schulungen, andere auf dedizierte Risiko-Workshops und wieder andere auf bilaterale Gespräche zwischen den für die IT-Sicherheit verantwortlichen Personen und der Unternehmensleitung.
Aufwand reduzieren
Cybersicherheitsschulungen sind wichtig. Demgegenüber stehen jedoch oft limitierte personelle Ressourcen und etliche andere ebenso wichtige Aufgaben. Hier kann es sich lohnen, in Tools und Services zu investieren, welche die Aufwände signifikant senken. Es gibt etliche Anbieter, welche Kombinationen von vorgefertigten webbasierten Trainings in Kombination mit (teil-)automatisierten Phishing-Simulationen anbieten. Einige davon liefern sogar passende Inhalte, mit welchen auch andere Kanäle bespielt werden können (Info-Mails, Printplakate, Games etc.). Und wenn finanzielle Ressourcen die grössere Herausforderung sind, so lassen sich mit ein wenig Recherche etliche Quellen mit frei verfügbaren Inhalten finden.
Fazit
Cyberattacken können jeden treffen. Die Eintrittswahrscheinlichkeit und das potenzielle Schadensausmass lassen sich aber durch gezielte Massnahmen senken. Eine besonders wichtige Massnahme ist die Schulung der Mitarbeitenden – zumal die allermeisten Cyberangriffe immer noch auf menschliches Versagen zurückzuführen sind. Dabei sollte auf zielgerichtete und relevante Schulungsinhalte gesetzt werden, welche ansprechend und attraktiv präsentiert werden. Das zu vermittelnde Wissen und Know-how sollte besser in kleineren Häppchen, dafür öfter serviert werden. Vorgesetzte müssen sich ihrer Vorbildfunktion bewusst sein und diese wahrnehmen. Und die Effektivität der Schulungen gilt es mit adäquaten Kennzahlen zu messen.