Warum Security Awareness oft nicht funktioniert und welche Formate wirklich funktionieren

Warum Security Awareness oft nicht funktioniert und welche Formate wirklich funktionieren

Vonadmin

Zahlreiche Unternehmen investieren viel Geld in Security Awareness und wundern sich dann über Phishing Klicks, zu schwache Passwörter oder nicht überprüfte Zahlungsanweisungen. Dabei liegt das nur sehr selten daran, dass die Mitarbeiter “es nicht ernst nehmen”. Oftmals ist der Trainingsinhalt zu abstrakt, wird viel zu selten vermittelt oder passt nicht in den konkreten Jobablauf. Sicherheitsverhalten entwickelt sich nicht aus einmaligem Wissen, sondern aus Wiederholung, aus Regeln und aus Konsequenzen.

Deshalb ändern klassische Schulungen wenig

Formate, die im Alltag besser wirken

Erfolgreiche Awareness setzt auf kurze Impulse und praktische Übungen. Microlearnings von wenigen Minuten lassen sich besser im Alltag unterbringen als lange Module. Wichtig ist die Regelmäßigkeit und der Bezug zu konkreten Situationen. Phishing-Simulationen können hilfreich sein, wenn sie fair gemacht sind. Es geht nicht ums Bloßstellen, sondern ums Lernen. Gute Programme verbinden Simulationen mit kurzem Feedback, warum etwas verdächtig war und klaren Meldewegen. Die Mitarbeitenden müssen wissen, was sie tun sollen, wenn sie etwas verdächtig finden, wann Unterstützung kommt und wie schnell.

Ein weiteres Format sind Live-Demonstrationen. Wenn Mitarbeitende sehen, wie schnell ein schwaches Passwort geknackt ist, wie schnell ein täuschend echter Login-Screen aussieht oder wie einfach sich Absendernamen fälschen lassen, dann entsteht ein anderes Gefühl als durch Text. Ein schönes Beispiel sind hier Veranstaltungen wie Live Hacking, bei denen typische Angriffsmethoden nachvollziehbar demonstriert werden, ohne dass daraus eine Anleitung zum Missbrauch entsteht.

Messbarkeit und Prozessbezug statt reiner Wissensabfrage

Gerne lässt sich Awareness an Quiz-Ergebnissen messen. Diese Werte sagen jedoch nur wenig darüber aus, ob sich wirklich Verhalten ändert. Bessere Kennzahlen sind die, die an Prozesse gekoppelt sind: Wie schnell werden verdächtige Mails gemeldet, wieviel Systeme nuten Mehrfaktor Login, wie oft werden externe Freigaben ohne Ablaufdatum erstellt, wie oft gibt es Abweichungen bei Zahlungsprozessen? Die Rollen sind dabei wichtig, denn Buchhaltung und Vertrieb sind anderen Angriffen ausgesetzt als IT und Assistenz. Ein guter Weg ist es, für alle Kernregeln zu definieren und dann kurze, rollenbezogene Module anzuhängen.

Ähnliche Beiträge