Laut KnowBe4 ist „Passwortüberprüfung sofort erforderlich“ die am häufigsten verwendete Betreffzeile in Phishing-E-Mails – weil sie funktioniert. Wenn man sie ignoriert, sind diese E-Mails harmlos, aber allzu oft fallen ahnungslose Angestellte auf den Köder herein. Aus diesem Grund sind Sensibilisierungsschulungen für Mitarbeitende noch wichtiger und ein wichtiges Instrument zur Verbesserung der Cybersicherheit eines Unternehmens. Es ist wichtig, dass die Mitarbeiter sicherheitsbewusster sind und wissen, worauf sie achten müssen und was zu tun ist, wenn sie die falsche E-Mail öffnen oder auf einen Link klicken, der „nicht so unschuldig“ ist .

IWC Schaffhausens Head of IT & Cyber Resilience, Sascha Maier, sprach kürzlich über das Thema an unserem Security Experts Roundtable (SEC.OS) und teilte die folgenden Erkenntnisse mit, die aus den preisgekrönten Kampagnen für Sicherheitsbewusstsein eines Schweizer Luxus-Uhrenherstellers gewonnen wurden.

  1. „Top-Down/Bottom-Up“-Zustimmung erhalten
    Stellen Sie vor dem Start sicher, dass Sie den Vorstand auf Ihrer Seite haben. Dadurch ist das Budget und die Unterstützung sichergestellt, die für die Entwicklung Ihrer Kampagne erforderlich sind. Der nächste Schritt besteht darin, intern für Ihre Aufgabe zu werben. Ziel ist es, die Zustimmung eines Netzwerks von Stakeholdern im gesamten Unternehmen zu erhalten. Sie benötigen deren Unterstützung, um Ihre Kampagnen zum Sicherheitsbewusstsein zu entwickeln, durchzuführen, zu integrieren und aufrechtzuerhalten. Ein paar Beispiele hierfür sind:
    • Aufnahme des Themas Cybersicherheit in die Einführungsprogramme für neue Mitarbeitende
    • Hilfe beim Schreiben und Entwerfen von Dokumenten, Präsentationen, und anderem Material
    • Entwicklung von Rich Media wie Webinare und Podcasts für Online-Schulungen
    • Unterstützung für Netzwerk-Hosting, -Bereitstellung, -Wartung und Werbung für Ihre Kampagnen durch interne Kommunikationsmittel.
  2. Schwerpunkt
    Es ist nahezu unmöglich, alle Bedrohungsmöglichkeiten in einer einzigen Sensibilisierungskampagne abzudecken – eine Reihe von Kampagnen ist der bessere Ansatz. Bewerten Sie zunächst die stärksten Bedrohungen, denen Ihr Unternehmen ausgesetzt ist, ob Phishing, soziale Medien, Passwortsicherheit oder etwas anderes. Erstellen Sie basierend auf Ihrer Analyse und neu gewonnenen Erkenntnissen einen Kommunikationsplan, um jede Ihrer Kampagnen zu entwickeln und zu planen.
  3. Werden Sie kreativ
    Einer der Schlüssel zum Erfolg einer Sensibilisierungskampagne ist, wie begeistert sich die Mitarbeiter engagieren. Das Erscheinungsbild ist wichtig, und ein Grafikdesigner und ein Texter können dafür sorgen, dass Ihre Kampagnen professionell und ansprechend aussehen. Erstellen Sie eine Botschaft und Bildmaterial, das durch gut geschriebene Inhalte, die clever und leicht zu verstehen sind, ergänzt werden. Wenn Sie diese Elemente berücksichtigen, können Sie Begeisterung und Neugier wecken und vor allem Ihre Botschaft erfolgreich vermitteln.
  4. Nutzen Sie die Expertise anderer in Ihrer Organisation
    Setzen Sie einen Lenkungsausschuss ein, der sich aus Personen aus Ihrem gesamten Unternehmen zusammensetzt. Ermöglichen Sie ihnen, anstehende Themen, Designs, Nachrichten usw. von Kampagnen in einer Vorschau anzusehen und Feedback darüber zu geben. Überlassen Sie ihnen beispielsweise die Wahl, mit welchem Slogan sie arbeiten oder welche visuellen Elemente sie verwenden möchten. Dieser Ausschuss wird das Sprungbrett sein, intern für Ihr Programm zu werben und Ihnen bei der Gestaltung zu helfen, während es noch in der Entwicklung ist. Auch hier ist ein solides Netzwerk in Ihrem Unternehmen (Schritt 1) auf vielen Ebenen Ihrer Kampagnen wichtig.
  5. Erfolg demonstrieren
    Um das Bewusstsein für den Erfolg Ihrer Kampagne weiter zu fördern, müssen Sie die Ergebnisse unbedingt mitteilen. Ist die Anzahl der Verstösse zurückgegangen oder ist jemand in ihrem/seinem sicherheitsorientierten Verhalten aufgefallen? Belohnen Sie sie und erkennen Sie die Leistung der Belegschaft an. Anerkennung ermutigt andere Mitarbeitende, diesem Beispiel zu folgen.
  6. Sind wir schon am Ziel?
    Sobald Sie in der Lage sind, Kennzahlen festzulegen, ist es Zeit, sich selbst auf die Schulter zu klopfen. Kennzahlen unterstützen Sie (a) bei der Sicherung zusätzlicher Budgets oder anderer Ressourcen und geben Ihnen (b) die Grundlage für die Einführung neuer Programme, um die langfristige Sicherheitslage Ihres Unternehmens zu verbessern. Welche Kennzahlen gemessen werden müssen, hängt von Ihrem Schwerpunkt ab – werfen Sie einen Blick auf den Sicherheitsbewusstseinsblog von SANS zu Kennzahlen.
  7. Geduld ist Gold
    Erwarten Sie nicht, mit Ihrer ersten Kampagne Perfektion zu erreichen. Bewusstseinsbildung ist Change Management, bei dem Menschen neues Verhalten lernen, verstehen und üben. Es kann mehrere Monate dauern, bis sich erste Ergebnisse zeigen und es ist eine Frage der Geduld und Ausdauer. Begeisterung und Wiederholung werden schliesslich den Unterschied ausmachen.
  8. Umgeben Sie sich mit anderen Experten
    Die IT-Community ist eine wertvolle Informationsquelle, ebenso wie Sicherheitsverantwortliche, die – wie wir alle – mit dem Wandel Schritt halten müssen. Mit SEC.OS (Security Experts Circle – Open Systems) können Sie einer Community von Cybersicherheitsexperten beitreten, die sich regelmässig treffen, um Beziehungen aufzubauen, zusammenzuarbeiten, Informationen auszutauschen und von Gastexperten zu lernen.

Denken Sie daran, bei Mitarbeitenden auf Schuldzuweisungen oder Vorträge im Zusammenhang mit Sicherheit zu verzichten. Die Botschaft Ihres Sensibilisierungsprogramms lautet, immer die Organisation zu unterstützen. Sie möchten Ihrem Team die Möglichkeit geben, das stärkste Glied zu sein, nicht das schwächste.

Nützliche Links:

SANS Kostenloser Newsletter zu Sicherheitsbewusstsein

SANS Roadmap für das Sicherheitsbewusstsein