Das Bewusstsein für Cybersicherheit verändern: Vom passiven Zuschauen zum aktiven Verstehen

Seien wir ehrlich: Programme zur Förderung des Sicherheitsbewusstseins fühlen sich oft wie eine lästige Pflicht an. Für die Mitarbeiter ist es verlorene Zeit mit wenig unmittelbarem Nutzen. Für die Sicherheitsteams ist es eine Verpflichtung, die nicht immer sichtbare Ergebnisse liefert.

Noch vor einigen Jahren war dies in den meisten Unternehmen die Norm. Glücklicherweise ändern sich die Dinge. Unser Ziel ist es jetzt, die Mitarbeiter in dem Moment zu beeinflussen, in dem sie Entscheidungen treffen, Gewohnheiten entwickeln und mit unerwarteten Situationen umgehen. Mit anderen Worten: Wir wollen erreichen, dass Cybersicherheit nicht mehr nur eine Aufgabe ist, sondern zur zweiten Natur wird.

Die Herausforderung der modernen Arbeitsumgebung

Das Tempo der Arbeit hat sich beschleunigt. Fernarbeit, Matrixmanagement und der ständige Strom von Tools für die Zusammenarbeit bombardieren uns aus allen Richtungen. In diesem Chaos ein 10-Fragen-Multiple-Choice-Training zum Sicherheitsbewusstsein durchzuführen und dauerhafte Ergebnisse zu erwarten, ist unrealistisch. Das Ergebnis ist nicht überraschend: minimales Engagement und noch geringere Mitarbeiterbindung.

Es ist an der Zeit, unseren Ansatz zu ändern. Wir müssen aufhören, das Sicherheitsbewusstsein als ein Kästchen zu betrachten, das man ankreuzen kann, und uns darauf konzentrieren, es wirklich effektiv zu machen. Um dies zu erreichen, schlage ich vor, dass wir zwei Aspekte des Dreiklangs “Schulung, Ausbildung und Sensibilisierung” betonen: Ausbildung und Schulung.

Bildung: Die Grundlage für den Wandel

Die Ausbildung ist oft der schwächste Teil von Sicherheitsprogrammen, doch sie ist der Schlüssel dazu, dass die Mitarbeiter gute Sicherheitsverfahren verinnerlichen. Wie sieht also eine gute Ausbildung aus?

Es beginnt mit dem Kontext. Die Mitarbeiter müssen verstehen, warum Cybersicherheit wichtig ist, nicht nur für das Unternehmen, sondern auch für sie persönlich. Schauen wir uns zwei Beispiele an:

• Auf organisatorischer Ebene: Ein schlecht gemanagter Cybervorfall könnte den Ruf unseres Unternehmens erheblich schädigen und das Vertrauen unserer Kunden untergraben, was unsere langfristige Strategie gefährden würde.

• Auf der Ebene der Rolle: Callcenter-Mitarbeiter, die täglich mit sensiblen Kundendaten umgehen, müssen wissen, dass selbst ein kleiner Fehler dazu führen kann, dass diese Daten Angreifern in die Hände fallen. Cyber-Kriminelle suchen aktiv nach der Art von Informationen, die wir verwalten, daher ist Wachsamkeit entscheidend.

Sobald das “Warum” klar ist, können wir uns dem "Was" zuwenden.

Die Bedeutung einer kontextbezogenen Bildung

Sicherheitsrisiken sollten in einer Weise erläutert werden, die für die Mitarbeiter nachvollziehbar ist. Zum Beispiel:

“Angreifer hacken sich nicht in Systeme ein - sie loggen sich ein.”

Diese Aussage unterstreicht die Bedeutung starker Anmeldedaten. Wenn ein Angreifer Ihren Benutzernamen und Ihr Kennwort stiehlt, spart er Zeit und Mühe und kommt so seinem Ziel näher. In Anbetracht der Tatsache, dass 90% der Cyberangriffe auf Phishing zurückzuführen sind, ist die Einhaltung einer guten Anmeldehygiene - wie die Vermeidung schwacher oder wieder verwendeter Kennwörter - von entscheidender Bedeutung.

Durch die Bereitstellung relevanter Informationen und Zusammenhänge beginnen die Mitarbeiter zu verstehen, warum diese Praktiken wichtig sind. Dies bildet die Grundlage für das Wie - die eigentlichen Schritte, die sie unternehmen müssen.

Ausbildung: Wissen in die Tat umsetzen

Sobald wir mit der Schulung die Grundlagen geschaffen haben, gehen wir zur Ausbildung über. Hier lernen die Mitarbeiter das Wie - die praktischen Schritte zum Schutz des Unternehmens.

Zum Beispiel:

• Wenn es verdächtig aussieht, melden Sie es. Wir alle sind Zielscheiben, und Ihre Wachsamkeit kann einen Angriff im Keim ersticken.
• Verwenden Sie einen Passwort-Manager. Lassen Sie es sichere Passwörter für Sie erstellen und speichern. Eine Sache weniger, um die Sie sich kümmern müssen.
• Erwarten Sie eine Multi-Faktor-Authentifizierung (MFA). Das ist ein wichtiger Schutz. Sie sollten MFA-Anfragen nur genehmigen, wenn Sie sich aktiv anmelden.

Die Schulungen sollten in verschiedenen Formaten angeboten werden, nicht nur mit statischen PowerPoint-Folien. Sie muss den verschiedenen Erfahrungsstufen Rechnung tragen und leicht verständliche Anleitungen für diejenigen enthalten, die zusätzliche Hilfe benötigen.

Von der Anwesenheit zum Verstehen

In diesem ersten Beitrag habe ich mich auf die Bedeutung von Bildung und Schulung konzentriert, um das Sicherheitsbewusstsein von der bloßen Anwesenheit in ein echtes Verständnis zu verwandeln. Wenn die Mitarbeiter das Warum und Was hinter den Sicherheitspraktiken verstehen, werden sie sich mit größerer Wahrscheinlichkeit sicherere Verhaltensweisen angewöhnen und bessere Entscheidungen treffen.

In künftigen Beiträgen werde ich darauf eingehen, wie kontinuierliche Sensibilisierungsmaßnahmen - durch regelmäßige Anstöße - dazu beitragen können, diese Gewohnheiten zu stärken und die Sicherheit noch stärker in die tägliche Entscheidungsfindung einzubinden.