In den letzten Jahren wurde unter Experten, Analysten und Anbietern viel über die Security-Awareness-Branche diskutiert – und besonders darüber, wie ein gutes Schulungsprogramm aussieht, wie es bewertet wird und warum es überhaupt bewertet werden sollte.
Nach hunderten Gesprächen mit Kundenunternehmen unterschiedlicher Größe und Komplexität hat sich herausgestellt, dass die herkömmlichen Security-Awareness-Schulungen, die auf Compliance basieren, unzureichend sind. Das Gleiche gilt für die Methoden, mit denen die Wirksamkeit der Schulungen bewertet werden soll.
Wenn das Ziel darin besteht, das Cybersicherheitsrisiko zu reduzieren, das durch die Aktionen und Verhaltensweisen von Mitarbeitern verursacht wird, müssen wir nicht nur sensibilisieren, sondern nachhaltige Verhaltensänderungen und eine sicherheitsorientierte Kultur fördern.
Herausforderungen herkömmlicher Security-Awareness-Programme
Herkömmliche Programme zur Steigerung des Sicherheitsbewusstseins sind seit Langem ein fester Bestandteil von Maßnahmen zur Verbesserung der Cybersicherheit in Unternehmen. Doch warum zeigen sie so wenig Wirkung?
Einheitsansatz
Viele herkömmliche Programme verwenden Jahr für Jahr die gleichen standardisierten, auf Compliance ausgerichteten Schulungsinhalte. Damit werden jedoch die verschiedenen Situationen außer Acht gelassen, mit denen die Mitarbeiter von Unternehmen in der realen Welt konfrontiert werden können.
Einheitsansätze führen häufig dazu, dass die Motivation der Mitarbeiter verloren geht und die Schulungsinhalte für die Teilnehmer nicht relevant sind. Ein maßgeschneiderter Ansatz kann jedoch für Sicherheitsteams eine enorme Herausforderung darstellen, vor allem wenn sie nicht über ausreichende Ressourcen verfügen.
Kein Bezug zur realen Welt
Herkömmliche Programme vermitteln zwar Wissen, scheitern aber häufig daran, dies auch in nachhaltige Verhaltensänderungen umzusetzen. Die Untersuchungen zum Proofpoint-Bericht State of the Phish 2024 haben gezeigt, dass mehr als zwei Drittel der Mitarbeiter (68 %) sich wissentlich riskant verhalten, obwohl 99 % der Unternehmen über ein Security-Awareness-Programm verfügen.
Die meisten Schulungsprogramme ähneln einem Kurs zum Fallschirmspringen, der sich auf das Zeigen von Videos und Vermitteln von Richtlinien beschränkt. Wenn die Teilnehmer aus dem Flugzeug springen, sind sie vollkommen desorientiert, weil sie nicht an den Wind und die dünne Luft gewöhnt sind und nicht wissen, wann sie den Fallschirm öffnen müssen.
Ähnlich verhält es sich mit Mitarbeitern, die nur passiv zu Sicherheitsthemen geschult werden und daher Schwierigkeiten haben, ihr Wissen bei realen Bedrohungen anzuwenden. Sie verstehen dann vielleicht zwar die Sicherheitskonzepte, tun sich jedoch schwer, diese im Arbeitsalltag auch konsequent umzusetzen.
Warum eine Änderung der Begrifflichkeiten nicht ausreicht
In den Gesprächen mit unseren Kunden taucht nun ein neuer Begriff auf: Abwehr von menschlichen Risiken.
Viele Kunden äußern den Wunsch, zu diesem Ansatz zu wechseln. Sie wollen Risiken bewerten, sind sich jedoch nicht sicher, was sie eigentlich bewerten sollen – und auf welche Weise. Es ist nicht einfach, Daten aus verschiedenen Lösungen und Quellen zusammenzuführen, zu interpretieren und daraus verwertbare Schlüsse zu ziehen. Außerdem wollen sie die Mitarbeitermotivation mithilfe von Automatisierung, Gamification und anderen Elementen steigern.
Das sind alles gute Hilfsmittel, und ohne Zweifel ist es wichtig, Risiken zu verstehen und Wege zu finden, die Mitarbeiter besser anzusprechen. Doch es sind eben nur Hilfsmittel. Sie können nicht erklären, wie eine Verhaltensänderung erreicht werden kann, da dies eine umfassende Beschäftigung mit den Prinzipien und Techniken der Verhaltensforschung erfordert, für die die meisten Cybersicherheitsteams nicht ausgebildet sind.
Einige Kunden, Analysten und Anbieter bezeichnen die Sensibilisierung für Sicherheit als „Abwehr von menschlichen Risiken“, ohne zu wissen, was sich hinter diesem unklaren und negativ besetzten Begriff verbirgt, der suggeriert, dass Menschen ein Risiko darstellen und abgewehrt werden müssen und impliziert, dass die Mitarbeiter das Problem sind. Damit fördert er eine „Wir gegen die“-Mentalität anstelle einer ganzheitlichen Sichtweise.
Wir bei Proofpoint glauben, dass es sich lohnt, die Mitarbeiter zu verstehen – was sie tun, was sie wissen und was sie glauben. Dieses Verständnis muss auch quantifiziert werden, um ein Programm zu entwickeln, das nachhaltige Verhaltensänderungen fördert.
Sensibilisierung ist die Grundlage
Wir werten es dennoch als positives Zeichen, wenn Kunden die Abwehr von menschlichen Risiken ansprechen. Obwohl dieser Begriff negativ besetzt ist, gibt er uns die Möglichkeit, mit unseren Kunden allgemeiner über Programme für Sicherheitskultur und Sicherheitsverhalten sowie über die Rolle der Sicherheitssensibilisierung zu sprechen.
Sensibilisierung ist die entscheidende Grundlage, um Mitarbeiter mit wichtigem Wissen über potenzielle Bedrohungen und Best Practices auszustatten, und ihnen die Bedeutung von Cybersicherheit bei ihrer täglichen Arbeit bewusst zu machen.
So etwas Grundlegendes wie die Sensibilisierung können wir nicht einfach über Bord werfen. Stattdessen müssen wir sie weiterentwickeln, indem wir Inhalte implementieren, die auf die jeweilige Position und den Verantwortungsbereich eines Mitarbeiters im Unternehmen zugeschnitten sind. Damit berücksichtigen wir, dass sich die Herausforderungen der Cybersicherheit je nach beruflicher Rolle unterscheiden. Nur mit dem Wissen über berufliche Rollen, Bedrohungen und Berechtigungen können Verhaltensänderungen effektiv umgesetzt und Bedrohungen abgewehrt werden.
Wir empfehlen Ihnen, Ihr bestehendes Programm mit Schulungen zu relevanten Bedrohungen zu ergänzen, die in kleineren Teilschulungen und unterschiedlichen Formaten bereitgestellt werden. Dies sind zum Beispiel:
- Interaktive Simulationen
- Gamifizierte Erlebnisse
- Kontinuierliche Kampagnen zur Festigung von Schulungsinhalten
Wir empfehlen unseren Kunden, sich Gedanken darüber zu machen, wie sie mehr Hinweise in Echtzeit geben und dazu beitragen können, dass ihre Mitarbeiter die richtigen Entscheidungen treffen. Dazu schlagen wir die Einbindung und Beteiligung einer funktionsübergreifenden Gruppe von Mitarbeitern vor. Sie werden eventuell angenehm überrascht sein, welches enormes Kreativitäts- und Motivationspotenzial freigesetzt wird, wenn die Mitarbeiter an der Lösungsfindung mitwirken können.
Kultur steht unangefochten an erster Stelle
Der Grundsatz, dass die Kultur einen größeren Einfluss hat als die Strategie, ist für Programme für sicheres Verhalten und eine Sicherheitskultur äußerst wichtig. Er verdeutlicht die Bedeutung der Unternehmenskultur für den Erfolg von Sicherheitsinitiativen, da die Kultur das Fundament bildet, auf dem sicheres Verhalten aufbaut. Selbst die besten Sicherheitsstrategien scheitern, wenn sie nicht von einer Kultur getragen werden, die Sicherheit wertschätzt und ihr Priorität einräumt.
Die Sicherheitsstrategie legt den Plan und die Ziele für den Schutz der Unternehmensressourcen fest. Die Kultur bestimmt jedoch, wie diese Strategie wirksam umgesetzt wird. Unabhängig davon, für welchen Anbieter und welche Technologie Sie sich entscheiden, werden Sie kaum nachhaltige Verhaltensänderungen bei Ihren Mitarbeitern erreichen, wenn Ihr Unternehmen sich nicht voll und ganz zu einer sicherheitsorientierten Kultur bekennt.
Die Sicherheitskultur beginnt und endet mit der Unternehmensführung, womit übrigens nicht nur der CISO gemeint ist. Effektive Programme sollten nicht nur durch das Sicherheitsteam gestaltet werden, sondern auch auf die übergeordneten Leistungsindikatoren des Unternehmens ausgerichtet sein. Sie werden von einem funktionsübergreifenden Team entwickelt, das Verantwortung und nicht Angst fördert. Darüber hinaus sollten effektive Programme die folgenden Punkte berücksichtigen:
- Förderung von freiwilliger Beteiligung
- Anerkennung der Mitarbeiter als Lösung und nicht als Problem
- Verwendung von Cybersicherheitsmetriken, die sich auf operative und strategische Ziele beziehen
Außerdem zeigen gute Programme auf, wie das Engagement der Mitarbeiter zur Reduzierung von Cybersicherheitsvorfällen auch die folgenden Vorteile mit sich bringt:
- Verbesserung der allgemeinen Sicherheitslage des Unternehmens
- Steigerung der Produktivität Ihrer Mitarbeiter
- Positive Auswirkungen auf Umsatz, Kostenprognosen und strategische Ziele
Die Umsetzung all dieser Punkte mag auf den ersten Blick schwierig erscheinen. Mit dem PIPE-Framework von Gartner können Sie jedoch sofort damit beginnen und Ihr Security-Awareness-Programm auf nachhaltige Verhaltensänderungen ausrichten sowie eine sicherheitsorientierte Kultur fördern.
Fazit
Um nachhaltige Verhaltensänderungen zu bewirken, sind die Unterstützung der Führungskräfte, gemeinsame Ziele, Kreativität und die richtigen Hilfsmittel notwendig. Genauso wenig wie jemand über Nacht zum Fallschirmspringer wird, werden Ziele nicht ohne Übung, Anleitung und effektive Techniken erreicht.
Bei Proofpoint arbeiten wir kontinuierlich an der Weiterentwicklung unserer Lösungen, um den Anforderungen unserer bestehenden und zukünftigen Kunden gerecht zu werden. Wir freuen uns über Ihr Feedback zu unserer Arbeit. Wenn Sie mehr über dieses Thema erfahren oder sich an der Diskussion beteiligen möchten, laden wir Sie zur nächsten Proofpoint Protect-Konferenz in London, Austin oder Chicago ein.