Cybersecurity Awareness Training, das wirklich wirkt
Experten-Interview: wie die Hochschule Anhalt ihr Team und ihre Studierenden zur wichtigsten Verteidigungslinie gegen Cyber-Gefahren macht.
Praxisnahe Einblicke: So wird IT-Security-Awareness wirklich effektiv
Cybersecurity Awareness Training ist längst kein reines IT-Thema mehr, sondern betrifft die gesamte Organisation. An der Hochschule Anhalt wird deshalb ein ganzheitlicher Ansatz verfolgt, um Informationssicherheit nachhaltig zu verankern – unter anderem mit neuen, aktivierenden Lernformaten. Denn Cybersecurity Awareness ist mehr als ein Pflichttraining: Sie ist ein entscheidender Faktor für die Sicherheit von Organisationen.
Doch wie gelingt es, Mitarbeitende nicht nur zu erreichen, sondern ihr Verhalten nachhaltig zu verändern?
Susanne Nitschke, Informationssicherheitsbeauftragte der Hochschule Anhalt und Dr. Robert Lohmann, Product Manager bei Scheer IMC und Experte für digitale Lernlösungen, bringen dazu ihre Perspektiven aus Lösungsanbieter- und Anwendersicht zusammen, und gehen gemeinsam der Frage auf den Grund, wie IT-Securitity Awareness wirklich wirksam wird.
Robert Lohmann: Cybersecurity Awareness ist seit Jahren ein wichtiges Thema. Wir beobachten dennoch, dass es vielen Organisationen schwerfällt, Mitarbeitende nachhaltig zu erreichen. Woran liegt das aus Ihrer Sicht?
Susanne Nitschke: Es ist gar nicht schwer, die Mitarbeitenden zu erreichen. Schwer ist es vielmehr, sie zu motivieren, sich für das Thema IT-Security zu begeistern. Durch die Verwendung der digitalen Systeme im Alltag ist man praktisch jeden Tag Cybergefahren ausgesetzt, aber wer möchte schon jeden Tag über Risiken und Gefahren nachdenken. Da ist man vielleicht auch ein bisschen müde, was das Thema angeht. Es wird erst dann interessant, wenn es einen selbst betrifft und man im ersten Schockmoment so gar nicht weiß, damit umzugehen. Man hat es nicht gelernt und sich auch nicht dafür interessiert, weil es einen nicht tangiert hat.
Die Motivation, sich mit dem Thema IT-Security zu beschäftigen und eine gewisse Sensibilität gegenüber möglichen Gefahren aufzubauen, muss auch vom Management kommen. Die Menschen müssen immer ein bisschen zu ihrem Glück gezwungen werden. Zwar hilft in vielen Situationen der gesunde Menschenverstand und auch eine gesunde Skepsis, aber das reicht eben manches Mal nicht dafür aus, eine Situation professionell zu behandeln. Es muss sich in den Organisationen eine IT-Security-Kultur etablieren, die von oberer Stelle gefordert und gefördert wird, wo auch mal nach Kennzahlen gefragt wird und wo auch Ziele gesetzt und ernsthaft verfolgt werden. Dann wird auch die Notwendigkeit klarer und die Mitarbeitenden sicherer, wenn es zu einem unvorhersehbaren Cybervorfall kommt. Das ist jedoch ein langer Prozess, der auch einer ständigen Veränderung unterliegt und über verschiedene Elemente lebendig gehalten werden muss.
Robert Lohmann: Klassische IT Security-Trainings werden oft als Pflichtübung wahrgenommen. Welche Erfahrungen haben Sie gemacht?
Susanne Nitschke: Es gab ein Schreiben des Präsidenten der Hochschule, dass die Grundlagen-Schulung verpflichtend für alle Mitarbeitenden ist und diese alle zwei Jahre zu wiederholen ist. Jedoch hängt der Grad der Pflichterfüllung sehr vom Grad der Umsetzungskontrolle ab. Ohne professionelle Kontrollwerkzeuge und ohne große Unterstützung durch die jeweiligen Vorgesetzten der Bereiche (wobei es auch Bereiche gibt, die da sehr vorbildlich sind) bleibt es bei einer eher geringen Anzahl an Teilnehmenden.
Ich würde mir wünschen, dass unsere Schulungen nicht als lästige Pflichtübung angesehen werden, sondern vielmehr als Ratgeber für sichere Verhaltensweisen. Der Bereich Arbeits- und Unfallschutz ist fest in der Organisation verankert. Die Teilnahme an den Schulungen wird in diesem Bereich auch mit Nachdruck verfolgt. Die IT-Sicherheit, die meiner Meinung nach auch irgendwie zum Arbeitsschutz gehört, weil man täglich mit Informationstechnik umgeht, hat diesen Status noch nicht erreicht.
Mein Ziel ist es, ansprechende, aber auch informative Schulungen zu erzeugen und auch einmal neue Formate auszuprobieren. Ich setze lieber auf freiwilliges Interesse an diesem Thema als auf eine Pflicht. Durch eingebaute Feedback-Mechanismen, Gamification-Elemente, Quizze und Videos in den online-Kursen sowie ein ansprechendes Design – wie es gerade auch bei Cyber Crime Time der Fall ist – und auch durch die jährlich stattfindenden Security-Events möchte ich ins Gespräch mit den Mitarbeitenden kommen, das Thema auch an die noch Desinteressierten herantragen und auch die Schulungen Stück für Stück verbessern. Ein schöner Nebeneffekt dabei ist, dass das eigene Lernmanagementsystem mehr und mehr auch den Mitarbeitenden bekannt wird.
Robert Lohmann: Was ist entscheidend, damit Cyber Security Awareness im Arbeitsalltag wirklich ankommt?
Susanne Nitschke: Awareness hat man oder man hat sie nicht. Diese Achtsamkeit ist ja nicht nur im Arbeitsalltag, sondern auch im täglichen Leben wichtig. Ich glaube, wenn man privat schon einmal die Erfahrung gemacht hat mit Geld- oder Datendiebstahl wird man für das Thema auch sensibler und weiß um die Wichtigkeit auch im Arbeitsalltag.
Es geht vor allem um die Relevanz eines Szenarios für jeden persönlich, auch für jeden individuellen Arbeitsbereich. Wenn es Schulungen gibt, die jeden Mitarbeitenden an ihrem Arbeitsplatz mit ihrer ganz spezifischen Arbeitssituation abholen und dort auf die Stolperfallen hinweisen, dann kann eine erhöhte Achtsamkeit erreicht werden, weil es die Menschen eben persönlich betrifft.
Ich habe hier an der Hochschule versucht, die Online-Schulungen zunächst einmal nach Zielgruppen zu strukturieren. So gibt es Kurse für Studierende, Mitarbeitende, die nicht nur ausschließlich vor dem Computer sitzen, für Mitarbeitende, die jeden Tag mit wichtigen Daten in verschiedenen Anwendungen umgehen, für Mitarbeitende, die sich über das Basis-Know-how fortbilden wollen und für die IT-Administratoren. Verbesserungspotenzial sehe ich hier jedoch immer noch bei der Relevanz der jeweiligen Themen, die dort behandelt werden. Sie könnten noch spezifischer auf die jeweilige Arbeitssituation abgestimmt sein. Denn je individueller und relevanter, desto besser wird die Schulung meiner Ansicht nach angenommen und kann die Awareness erhöhen.
Robert Lohmann: Sie setzen auch auf spielerische Trainingsformate. Was war der Auslöser dafür?
Susanne Nitschke: Auch wenn man selbst davon überzeugt ist, dass man eine gute Schulung entwickelt oder auch eingekauft hat, muss man immer noch sein Zielpublikum davon überzeugen. Mit Postern, Flyern und Newslettern kann man versuchen, auf die Schulung aufmerksam zu machen, aber mit Gamification bringt man die Teilnehmenden dann auch dazu, das Training zu beenden – zumindest die Teilnehmenden, die für diese Art der Motivation empfänglich sind.
Da die Menschen sehr unterschiedlich auf verschiedene Reize reagieren, passt auch nicht jede verwendete Spielemechanik gleichermaßen auf alle Teilnehmenden. Es gibt verschiedene Spieltypen und Persönlichkeiten, die nicht auf alle Elemente reagieren. Manche Menschen mögen es, sich in Foren auszutauschen, manche wollen kreativ werden und andere wiederum wollen gern im Wettbewerb mit anderen stehen. Ich habe versucht, auch möglichst von allen Bereichen etwas in die Grundlagen-Schulungen einzubauen und so die Motivation positiv beeinflussen zu können.
Als Reaktion habe ich für das ein oder andere Spielelement Verwunderung oder auch totale Ablehnung geerntet. Aber ich freue mich, dass es überhaupt zu einer Reaktion führt, denn dann wird darüber zumindest nachgedacht. Cyber Crime Time kommt durchweg sehr gut an – bei Mitarbeitenden und Studierenden. Durch die eingebaute Feedback-Funktion sind die Teilnehmenden in der Lage, ihre Meinung zu äußern. Bisher hat keiner etwas Negatives dazu gepostet, was mich sehr freut und was bedeutet, dass Cyber Crime Time eine gute Investition ist!
Robert Lohmann: Ihr Projekt befindet sich noch in der Einführungsphase. Welche ersten Erkenntnisse haben Sie gewonnen?
Susanne Nitschke: Der Start war zunächst eher verhalten, aber wenn ich mir heute die Teilnehmenden-Zahlen anschaue und das Feedback dazu lese, bin ich schon ganz zufrieden. Natürlich muss man solche Aktionen auch immer gut bewerben über Newsletter, Plakate, Flyer und auch auf Social Media.
Aufgrund des ansprechenden Designs, der Story – nämlich in die Rolle des Hackers zu schlüpfen – und aufgrund der kurzen, aber spannenden Lerneinheiten glaube ich, dass das Projekt auch über eine gewisse Mund-zu-Mund-Propaganda noch weiter an Bekanntheit gewinnen wird. Dadurch, dass die Kampagne aus verschiedenen Modulen besteht, die in regelmäßigen Abständen erneuert werden und die Story der Hauptfigur „X.O1“ mehrere Teile hat, bleibt sie lebendig und die Menschen schauen immer wieder einmal auf der Lernplattform vorbei, um zu sehen, ob es neue Inhalte gibt bzw. ob die Geschichte von „X.O1“ jetzt eine Fortsetzung erfahren hat.
Robert Lohmann: Was sollten andere Organisationen beachten, wenn sie ein Awareness-Programm aufbauen?
Susanne Nitschke: Das Awareness-Programm darf kein Fingerzeig und keine Schulung „von oben herab“ sein, sondern sollte immer wieder über kleine Impulse an die Wichtigkeit erinnern und sich ein bisschen „einbrennen“ in das Bewusstsein.
Ein Awareness-Programm ist auch nicht nur eine Online-Schulung, die man durchführt, sondern besteht aus vielen Bausteinen, die zusammenwirken und die auch verschiedene Sinne der Menschen ansprechen. Auch die Kommunikation über das Thema und eigene Erfahrungen ist ein bedeutender Baustein, der zu mehr Verstehen und Verständnis führt. Wir machen das ja alle mit einem gemeinsamen Ziel und nicht, um uns gegenseitig die Zeit zu stehlen.
Manche Formate passen nicht immer zu dem Typ Mensch, der man gerade ist, aber es gibt ja verschiedene Aktivitäten, wovon dann eine vielleicht doch den Nerv trifft. Ein Awareness-Programm sollte auch ein gutes Training von möglichst realistischen Angriffen beinhalten. Aktuell sind deshalb auch noch neben Cyber Crime Time weitere Workshops und Events für dieses Jahr geplant.
Am Ende verfolgen alle dasselbe Ziel: mehr Sicherheit im Umgang mit digitalen Systemen.
Robert Lohmann: Wie sorgen Sie dafür, dass das Thema langfristig sichtbar bleibt?
Susanne Nitschke: Ich plane immer wieder neue Aktionen, um Aufmerksamkeit für das Thema Informationssicherheit zu schaffen. Ein Beispiel ist eine Kampagne mit Augmented Reality, bei der man sich „X.O1“ als Figur im Raum anzeigen lassen kann. Sie gibt einem dann den Hinweis, wo es zum aktuellen Online-Kurs geht. Das ist mal eine ganz andere Art der Bekanntmachung und ich hoffe, dass der QR-Code auch gescannt wird und nicht aus Angst vor Quishing die Aktion nicht den gewünschten Werbeeffekt bringt.
In dem Zuge möchte ich aber trotz allem auch gleich auf QR-Code-Phishing aufmerksam machen und vor den Gefahren warnen, die es in diesem Zusammenhang gibt. Der Zeitpunkt April wurde deshalb gewählt, weil dort das neue Semester für die Studierenden anfängt und ich gerade auch dieses Zielpublikum erreichen möchte. Die Hochschule lebt ja nun einmal von ihren Studierenden und und in der Partnerschaft mit Scheer IMC haben wir eine gute Übereinkunft gefunden, auch gerade für dieses Publikum die Schulung anzubieten. Auch die Studierenden gehören wie die Hochschulmitarbeitenden zu den Personen, die ein entscheidender Faktor beim Thema Informationssicherheit sind.
Langfristige Sichtbarkeit erzeugt man meiner Ansicht nur über eine regelmäßige Kommunikation mit allen Beteiligten.
Robert Lohmann: Was ist Ihr Fazit zu diesem Thema?
Susanne Nitschke: Cybersecurity Awareness Training ist kein Selbstläufer. Es braucht kontinuierliche Impulse, relevante Inhalte und Formate, die die Menschen wirklich erreichen. Immer wieder finden Cyberkriminelle Mittel und Wege, um Schwachstellen anzugreifen. Doch je besser alle auf diese Angriffstechniken vorbereitet und für das richtige Verhalten geschult sind, desto sicherer ist unsere Infrastruktur vor Cyberangriffen.
Cyber-Security-Awareness stärken
Cybersecurity beginnt bei Ihren Mitarbeitenden. Erfahren Sie, warum gezielte Schulungen Ihre stärkste Waffe gegen Cyberangriffe sind.
Mehr IT-Sicherheit durch gezielte Mitarbeiterschulungen
Mit gezielten Awareness-Trainings schärfen Sie das Bewusstsein für Cyber-Gefahren. Erfahren Sie mehr über die preisgekrönten Cybersecurity-Schulungen von Scheer IMC.
