In Zeiten von immer mehr Angriffen durch Ransomware-Gangs und ständigen Berichten von kompromittierten Institutionen und Organisationen ist Security Awareness das Schlagwort für viele Unternehmen. 9 von 10 Angriffen auf die IT starten mit einem Mitarbeiter, der auf einen Link klickt, durch einen Anruf Zugangsdaten preisgibt oder Menschen in das Unternehmen lässt, die dort nichts verloren haben. Verständlicherweise wollen immer mehr Unternehmen es gar nicht so weit kommen lassen. Daher werden Schulungen veranstaltet, Phishing-Kampagnen gestartet und Poster im Unternehmen aufgehängt. Diese Maßnahmen reichen allerdings bei weitem nicht aus.
1. Security als „aufgedrückter Stempel“
Für „echte Sicherheit“ reichen solche Maßnahmen alleine nicht aus. Denn sie wirken oft nur wie ein Pflaster auf offene Wunden. Etwas fangen Sie ab, aber lang halten Sie nicht, und es blutet weiter. Damit Sicherheit im Unternehmen wirksam wird, müssen Security-Maßnahmen in den Köpfen der Mitarbeitenden verankert, als Teil der Firmenkultur etabliert und nicht als einmalig aufgezwungene Fortbildungsmaßnahme verstanden werden.
2. Kostenfalle Security Wissen
Zunächst sei zu erwähnen, dass Schulungen für Professionals gut sind. Informationsschutzbeauftrage und Manager benötigen in regelmäßigen Abständen Schulungen zu aktuellen Themen der Sicherheit, denn sie sind für die Teams verantwortlich und benötigen daher Einblick in das große Ganze.
Häufig stellen jedoch Schulungen für die restlichen Angestellten die Unternehmen vor große Herausforderungen. Denn Schulungen haben oftmals nur eine kurze Halbwertszeit. Die meisten Menschen vergessen den Schulungsinhalt nach drei bis sechs Monaten wieder. Einer der Gründe, die meisten Schulungen wirken leider immer noch wie Dokumentarfilme. Man sieht eine Stunde zu und am Schluss bleiben maximal 60% hängen, an die man sich erinnert. Man beschäftigt sich schließlich lieber mit anderen Themen. Das bedeutet, nur bei regelmäßigen Wiederholungen machen sie Sinn und das kostet Geld. Dies gilt übrigens genauso für E-Learning Angebote im Security-Bereich. Diese sind daher meist als Abonnements angelegt, um ein stetiges Vertiefen zu erreichen.
3. Psychologische Tendenzen versus Auffrischungslernen
Leider beschäftigen sich Schulungskonzepte oftmals zu wenig mit der kognitiven Psychologie des Lernens. Lernen ist zwar ein lebenslanger Prozess, doch pure Wiederholung von Lernstoff ist den meisten Leuten verhasst. Auch wenn Personen den Inhalt der letzten Schulung schon zu 90% vergessen haben, sind die verbleibenden 10% dafür verantwortlich, dass Auffrischungsschulungen langweilig erscheinen. Man hat das alles schonmal gehört – und hört weg.
In diese Bresche versuchen Phishing-Kampagnen zu springen. Learning by doing ist hier, wenn auch begrenzt, möglich. Entweder die Person erkennt die falsche E-Mail und sortiert sie aus, freudig darüber, dass man Gelerntes erfolgreich angewandt hat, oder der Mitarbeiter/die Mitarbeiterin klickt auf den Link und bekommt erneut die Hinweise zur Erkennung von Phishing-Mails.
Leider garantiert so etwas keinen Lernerfolg, der dauerhaft wirkt. Über kurz oder lang kann es jedem im Unternehmen passieren, auf eine gut gemachte Mail hereinzufallen. Die Wunde wird zwar kurz geschlossen, das Pflaster platzt aber garantiert wieder auf, weil die Menschen ihre Verletzlichkeit vergessen und unvorsichtig werden.
Die Lösung: Verhaltensorientiertes Lernen
Wie frühe Psychotherapie macht auch die Awareness-Industrie den Fehler, zu versuchen, die kognitiven Mechanismen hinter Lernfaulheit bzw. Vergessen durch informationelles Brute-Force auszuhebeln. Leider haben Sie übersehen, dass dies in den seltensten Fällen funktioniert. Menschen lernen generell ungern, wenn sie Themen eigentlich nicht interessieren.
Wie bereits erwähnt, sollte Security daher als Teil der Firmenkultur etabliert werden. Das Verhalten der Mitarbeiter und Mitarbeiterinnen eignet sich dabei hervorragend als Medium. Wenn alle bestimmte, normierte Verhaltensweisen im Umgang mit Social Engineering-Anrufen, E-Mails, Kundendaten oder Fremden im Unternehmen erlernen und verinnerlichen, stärkt dies ihre Awareness und erzeugt vielleicht sogar ein „Wir-Gefühl“ innerhalb der Organisation. Gemeinsames Verhalten schweißt zusammen und Erlerntes kann zur Gewohnheit werden. Ist dies geschafft, erledigt sich auch das Vergessen.
Die Zukunft der Sicherheit liegt im Faktor Mensch. Schulungen, Phishing-Kampagnen und Poster sind zwar in bestimmten Situationen wirksam und notwendig, aber verhaltensorientierte Ansätze bieten die meisten Chancen, die Sicherheit im Unternehmen signifikant zu erhöhen.
Der Autor:
Christian Schaaf
Geschäftsführer
Kontakt: schaaf@corporate-trust.de
Corporate Trust Sicherheitsblog 