Warum Ihre Security-Awareness-Kampagnen nicht funktionieren

Sie schicken regelmäßig Rundmails aus, um Ihr Personal über die Gefahren der jüngsten Phishing-Kampagne zu informieren und trotzdem wird fleißig auf die falschen Links geklickt? Das hübsch aufbereitete e-Learning für Neuzugänge hat Sie zwar beim Consulter ein kleines Vermögen gekostet, aber trotzdem ist jedes zweite Dokument falsch klassifiziert? Und von den immer wieder auftauchenden Post-Its mit Passwörtern sowie den Pizzalieferanten, die sich ohne Ausweis durch die Stockwerke ihrer Zentrale tummeln, wollen Sie lieber gar nicht erst anfangen?

Könnte es sein, dass Sie ein Awareness-Problem haben?

Jedes Unternehmen, das zumindest über einen Anflug von Reife in Sachen Informationssicherheit verfügt, führt heutzutage Awarenessmaßnahmen durch.

In den meisten Fällen haben diese Maßnahmen, aber auf die Belegschaft denselben Effekt wie meine wiederholten Appelle an meine Einjährige, sie möge doch nicht wieder mit der Steckdose rumspielen.

Besonders schlimm gestaltet sich dieses Problem oft für Unternehmen, deren Kerngeschäft nicht im IT-Sektor liegt. Durch den fehlenden Bezug wird einfach angenommen, dass es genügt den Mitarbeitern ab und zu (oder schlimmer: EINMALIG und zwar kurz nach der Einstellung) zu erzählen, dass man nicht auf Phishinglinks klicken solle, keine Passwörter wiederzuverwenden hat und bitte keine am Parkplatz gefundenen USB-Sticks direkt am Firmencomputer anstecken solle.

Dass die Ergebnisse dabei eher dürftig ausfallen, ist keine Mutmaßung, die ich mir hier erlaube, sondern ein Fakt. Trotz steigender Budgets für Informationssicherheit bleiben die primären Einfallswinkel für Cyberkriminelle simple Social Engineering Tricks, welche leider weiterhin bestens funktionieren.

In dieser Artikelserie möchte ich Ihnen im Groben zwei Dinge näher bringen: zum Einen, welche klassischen Fehler Sie tunlichst vermeiden sollten und zum Anderen, wie Sie einen Rahmen schaffen, um regelmäßig effektive und vor allem nachhaltig wirksame Awarenessmaßnahmen durchzuführen.

Und weil es so viel Spaß macht, beginnen wir gleich mit Ihren Baustellen ;-) :

Baustelle Nummer 1: Know your Enemy (= Employee)

Fehler Nummer 1 ist die Annahme, dass man alle Mitarbeiter mit denselben Awarenessmaßnahmen abholen kann. Abhängig von Ihrer Unternehmensgröße wird eine generische Kampagne wohl kaum bei allen Mitarbeitern Eindruck hinterlassen.

Mit steigender Größe und Diversität müssen Sie auf unterschiedliche Maßnahmen und Inhalte zurückgreifen. Sie haben viele Mitarbeiter mit IT-Bezug? Super! Wieso diese nicht mit technischen Details, wie zum Beispiel der Funktionsweise von Public Key Cryptography fordern?

In der Personalabteilung und der Kundenbetreuung liegen besonders schützenswerte Daten? Schwerpunkt Datenschutz bitte sehr!

Rufen Sie doch Ihre Mitarbeiter auch auf, sich proaktiv mit Awarenessthemen zu beschäftigen (Sie wären überrascht, wie viele Non-Techies sich für das Thema begeistern können, solange nur der richtige Anreiz geboten wird). Starten Sie Wettbewerbe oder Spiele mit Goodies für Mitarbeiter, welche sich zu dem Thema engagieren.

Teilen Sie Ihre Mitarbeiter in verschiedene Gruppen auf, je nach Funktion und Rolle. Entwickeln Sie daraufhin personalisierte Inhalte, die auf die spezifischen Sicherheitsrisiken und Bedürfnisse jeder Gruppe eingehen. Individuell zugeschnittene Materialien werden die Mitarbeiter eher ansprechen und ihre Beteiligung an der Kampagne steigern.

Dies läuft auch mit dem zweiten Fehler zusammen: der mangelnden Einbeziehung der Mitarbeiter. Klar, als Unternehmensführung treten Sie (oder von Ihnen engagierte Experten), ja als Lehrmeister gegenüber Ihren Mitarbeitern auf.

Baustelle Nummer 2: Laaaaaaaaangweilige Inhalte

Mal ehrlich: Sind Sie in allen Schulungen, die Sie im Rahmen Ihres Jobs so machen “dürfen” immer voll aufmerksam? Wahrscheinlich nicht! Gerade bei einer Security-Awarenesskampagne, deren Inhalte so wichtig sind, darf es für das Publikum nicht langweilig werden. Sehen Sie das als Ausrede, um ein bisschen aus dem üblichen Korsett der Profesionalität auszubrechen und Ihren Mitarbeitern Inhalte mit Biss zu liefern. Wie eine österreichische Bodybuilding- und Schauspiellegende einst sagte: “A little Schmäh can go a long way!”.

Dabei ist fast alles erlaubt. Sie erinnern sich an die zwei oder drei Mitarbeiter, die bei der letzten Weihnachtsfeier plötzlich Entertainern mit Ballermann-Qualitäten mutierten? Holen Sie sie für Awarenessvideos vor die Kamera. Alleine der Wiedererkennungswert (sowie eine Prise Schadenfreude) werden Ihnen die Aufmerksamkeit der restlichen Belegschaft sichern.

Baustelle Nummer 3: One and Done

Der nächste Compliance-Audit steht vor der Tür und Ihnen fällt auf, dass schon wieder ein Jahr ohne jede Awarenessmaßnahme verstrichen ist? Na dann noch schnell alle Mitarbeiter vor der Sommerpause versammeln. Jetzt gibt es zwei Möglichkeiten: entweder eine hastig zusammengeschusterte neue Schulung, oder wir spielen einfach dasselbe Programm vom letzten Jahr noch einmal runter… der Eindruck, irgendjemand könnte sich noch an die Inhalte erinnern, besteht sowieso nicht.

Wenn Ihnen das bekannt vorkommt, dann kennen Sie das nächste Problem bereits: Punktuelle Maßnahmen. Schon klar, jede Woche oder auch nur jeden Monat, Awarenessschulungen durchzuführen, wird sich weder auf die Zufriedenheit Ihrer Mitarbeiter noch auf Ihre Bottom Line positiv auswirken.

Allerdings: Wenn Sie wirklich möchten, dass Ihre Mitarbeiter nachhaltig ein starkes Informationssicherheitsbewusstsein entwickeln, dann müssen Sie dies regelmäßig - idealerweise sogar täglich - mit dem Thema in Berührung bringen.

Scheuen Sie sich auch nicht davor, beispielsweise “Awareness Deputys” in Abteilungen zu ernennen, die gar nichts mit der IT zu tun haben (es finden sich doch immer Leute, die sich gerne mit einem weiteren Titel schmücken). Diese können dann aufgerufen werden, die Kollegen ausgestattet mit Essensgutschein zu einem kleinen Awarenessplausch einzuladen.

Wie wäre es mit Cybersecurity-Postkarten anlässlich besonderer Tage, wie dem Valentinstag? Rufen Sie Ihre Mitarbeiter auf, Ihren Lieben zu Hause einen guten Tipp zum Schutze ihrer digitalen Identität zu geben.

Wenn sie es zeitlich und ressourcentechnisch einrichten können, laden Sie doch auch mal geübte Pentestprofis ein, um den Unerfahrenen ein paar Schmankerl aus der Hacking-Welt zu erzählen - damit kann man meiner Erfahrung nach fast alle abholen.

Baustelle Nummer 4: What’s in it for me?

“Die Mitarbeiter nochmal extra belohnen?” Schwachsinn, die bekommen doch ohnehin ihr Gehalt. “Auf die Informationssicherheit im Unternehmen mit zu achten, versteht sich doch von selbst und überhaupt haben wir dazu doch sicher auch irgendeine Klausel im Dienstvertrag, oder?”

Mag alles sein, scheitert aber leider an der Realität. Im hektischen Arbeitsalltag stellt Informationssicherheit für die meisten ihrer Mitarbeiter bestenfalls ein lästiges Ärgernis dar, schlimmstenfalls wird sie geistig sowieso völlig ausgeblendet.

Eine zusätzliche Anerkennung für Bemühungen im Namen der Informationssicherheit kann dabei aber die Motivation und das Engagement steigern!

Führen Sie Belohnungssysteme ein, um Mitarbeiter zu ermutigen, sicherheitsbewusst zu handeln. Dies könnte beispielsweise kleine Geschenke, Lob oder sogar Anreize für das erfolgreiche Bestehen von Sicherheitstests umfassen.

Baustelle Nummer 5: Did It Work?

Das Thema worauf sämtliche Manager unter ihnen schon nervös gewartet haben: die Kennzahlen. Ohne sinnvolles Konzept zur Messung der Effektivität ihrer Maßnahmen wird Ihnen immer der Einblick fehlen, ob diese denn zielführend waren und ob für das nächste Jahr Änderungen erforderlich sind.

Da dies ein komplexes Thema ist, werden wir uns dem in einem eigenständigen Artikel widmen. Doch soviel vorab: Die Effektivität von Awareness zu messen, mag vielen eingangs schwammig erscheinen, ist aber gar keine solche Hexerei, wie man sich vorstellen mag.

Na gut, wir sind schon etwas hart mit Ihnen und Ihren Awarenessmaßnahmen ins Gericht gegangen. Aber wir meinen es ja nur gut! Im nächsten Artikel werden wir einen konstruktiven Blick darauf werfen, wie Sie - unabhängig ihrer Unternehmensgröße - eine effektive und vor allem fortdauernde Awarenesskampagne für sämtliche Ihrer Mitarbeiter konzipieren können.

Falls Sie es nicht erwarten können, dann können Sie uns auch gerne anrufen. Unsere Experten bei Eradicate helfen Ihnen gerne weiter!