Sicherheitsbewusstsein: Spielerische Motivation der Mitarbeiter empfohlen

Palo Alto Networks gibt Tipps zur Aufklärung und Motivation

[datensicherheit.de, 06.08.2017] Mitarbeiter gelten in vielen Fällen als das schwächste Glied bei der Verteidigung eines Unternehmens gegen Cyber-Kriminelle – doch sind sie daran meist nicht einmal selbst schuld. Reicht es zuweilen aus, bei manchen Entscheidungen an den „gesunden Menschenverstand“ appellieren, muss doch auch sichergestellt werden, dass festgelegte Sicherheitspraktiken im Bewusstsein der Mitarbeiter ankommen. Denn egal ob Mitarbeiter durch Unachtsamkeit oder aufgrund ihrer Zugangsberechtigung zu sensiblen Daten unbewusst zu Zielen werden, können deren Fehler leicht die Tür für Malware, Spionage oder Datendiebstahl öffnen. Daher gibt Palo Alto Networks Tipps zur Umsetzung von Sensibilisierungsprogrammen für erhöhte Cyber-Sicherheit im Unternehmen.

Ausnutzung der Gutgläubigkeit oder Unachtsamkeit

„Erfolgreiche Angriffe nutzen oft unzureichende Prozesse und die Gutgläubigkeit oder Unachtsamkeit von Menschen aus. Um die Angriffsfläche zu reduzieren, muss der inhaltliche Schwerpunkt regelmäßiger Sicherheitsschulungen sich von Reaktion auf Prävention verlagern“, fordert Martin Zeitler, „Senior Manager Systems Engineering“ bei Palo Alto Networks, und gibt Tipps und Hinweise, wie Unternehmen ihre Mitarbeiter „spielend“ schulen und motivieren können, um die IT-Sicherheit deutlich zu erhöhen:
Reine von Compliance getriebene Ansätze für das Training von Mitarbeitern hätten sich als unwirksam erwiesen, weil sie nicht interessant oder persönlich genug seien. Die Unternehmen sollten sich darauf konzentrieren, die Mitarbeiter darüber zu informieren, wie sie ihre persönlichen Daten schützen können, wodurch diese dazu ermutigt würden, weitere sicherheitsorientierte Praktiken am Arbeitsplatz umzusetzen.

Trockene Themen spannender und praxisnäher machen!

Die Weiterbildung von Mitarbeitern könne in unterschiedlichen Formen erfolgen, einschließlich der zunehmenden spielerischen Praxis („Gamification“). Dabei würden Gaming-Bestandteile in einem „Nicht-Gaming-Kontext“ verwendet, was trockene Themen spannender und praxisnäher mache. Viele Unternehmen nutzten diesen Ansatz derzeit bereits in Bereichen wie Kundenengagement sowie Performance- und Motivationstraining. Die Gaming-Elemente umfassen demnach Wettbewerbe, Incentive-Programme und vieles mehr. Es gebe zwei grundlegende Möglichkeiten, wie Unternehmer die Gamifizierung zur Bewältigung der Sicherheitsherausforderungen nutzen könnten:

1. Training der Mitarbeiter spannender und attraktiver machen
   Mit „Gamification“ könnten Unternehmen dazu beitragen, ihre Cyber-Sicherheit in vielfältiger Weise zu verbessern. Mitarbeiter lernten so, wie sie Cyber-Angriffe verhindern und welche Schwachstellen es in Software gibt. Die Beratungsfirma PwC z.B. lehre Cyber-Sicherheit durch ihr „Game of Threats“ („Spiel der Bedrohungen“). Führungskräfte konkurrierten dabei gegeneinander in realen Cyber-Sicherheitssituationen, spielten als Angreifer oder Verteidiger.
   Die Angreifer wählten die Taktiken, Methoden und Fähigkeiten des Angriffs, während die Verteidiger Verteidigungsstrategien entwickeln und in die richtigen Technologien und Talente investierten, um auf den Angriff zu reagieren.
   Das Spiel gebe Führungskräften ein Verständnis dafür, „wie man sich vorbereitet und auf Bedrohungen reagiert, wie gut vorbereitet das Unternehmen ist und was ihr Cyber-Sicherheitsteam jeden Tag beobachtet“.
   So trage „Gamification“ dazu bei, dass der Trainingsprozess spannender und attraktiver für die Mitarbeiter werde, wodurch das Bewusstsein für Sicherheitspraktiken erhöht werde, einschließlich Tipps, wie man mit Angriffen korrekt umgeht.
2. Anreize und Belohnungen zur Förderung gewünschten Verhaltens
   Menschliche Fehler seien bei den meisten Sicherheitsverletzungen mitverantwortlich. Die Mitarbeiter setzten sich unter Druck, ihre Arbeit so schnell wie möglich abzuschließen, was dazu führen könne, dass sie Sicherheitsregeln übersehen oder vernachlässigen. Zum Beispiel könnten sogenannte PhishMe-Kampagnen eine gute Möglichkeit sein, Mitarbeiter auf eine bessere E-Mail-Sicherheit hin zu schulen. Dazu gehörten eigens entworfene Phishing-E-Mails, die immer wieder unternehmensweit versendet würden, um die Antwort und das Handeln des Personals zu testen. Unternehmen könnten Mitarbeiter belohnen, die Sicherheitsverfahren korrekt befolgen und sich an die Sicherheitsrichtlinien halten, was ein vorbildliches Verhalten fördere. Dies könne in der Form erfolgen, dass Mitarbeiter ein Abzeichen oder Punkte erhielten, die dann auf einer Tafel angezeigt würden, damit jeder teilnehmen könne. Wenn Mitarbeiter bestimmte Meilensteine erreichen, könnten sie belohnt werden, etwa mit einem Geschenkgutschein. Die Anerkennung und Belohnung von Mitarbeitern, wenn sie das Richtige tun, führe zu einem weiterhin positiven Verhalten, motiviere die Mitarbeiter, sichere Praktiken anzuwenden und für eine sichere Arbeitsumgebung zu sorgen.

Sensibilisierungskampagnen als fortwährender Prozess

Im Mittelpunkt jeder Sensibilisierungsmaßnahme stehe Bildung, um Mitarbeitern ein gemeinsames Verantwortungsbewusstsein für die Daten, mit denen sie arbeiten, und die Daten, die sie erstellen und verwenden, anzutrainieren.
Alle Sensibilisierungskampagnen sollten Teil eines laufenden Prozesses werden und nicht nur eine einmalige Initiative sein. Führungskräfte eines jeden Unternehmens, groß oder klein, gingen oft davon aus, dass hierfür die Ressourcen fehlten, aber es lasse sich auch mit wenig Aufwand viel erreichen:

1. Visuelle Hilfsmittel funktionierten gut
   „Beginnen Sie mit einigen kleinen Videos, Plakaten und/oder Wettbewerben als Erinnerung, damit alle verstehen, dass alle für die Sicherheit verantwortlich sind“, empfiehlt Zeitler.
   Autoritäre Taktiken funktionierten dagegen nicht. Das Ziel sollte sein, eine Kultur des Risikobewusstseins aufzubauen. Dies gelinge ähnlich wie bei einer Marketingkampagne mit der Absicht, Mitarbeiter zu überzeugen und deren Verhalten zu verändern.
2. Kurze und prägnante Anweisungen geben!
   Lange E-Mails würden meist ignoriert; besser sei es, sie kurz zu halten, mit etwas Humor. Zeitler: „Stellen Sie sicher, dass es ein Top-down-Ansatz ist.“
   Die Mitarbeiter schauten zu ihren Führungskräften auf. Wenn diese keine Sicherheitskultur verkörperten, warum sollten es dann die Mitarbeiter tun? Das Ziel sei es, Mitarbeitern „Best Practices“ anzueignen, sie aber nicht zu zwingen, Cyber-Sicherheitsexperten zu sein.
3. Wiederholte Schulungen und Nacharbeiten erfolgsentscheidend
   Training sei eine Konstante: „Man lernt nie aus.“ Neue Mitarbeiter müssten grundlegend getestet werden, ebenso wie bestehende Mitarbeiter, ob sie auf eine Phishing-E-Mail hereinfallen.
   „Überprüfen Sie, wie viele Mitarbeiter immer noch nicht eine gefälschte E-Mail erkennen“, rät Zeitler: „Ermutigen Sie Nachfragen und Kommunikation, um eine Fälschung zu melden und benennen Sie Abteilungsgruppen, die hier möglicherweise zurückbleiben. Das Ziel ist nicht, einzelne Menschen bloßzustellen, sondern eine gesunde Rivalität innerhalb des Unternehmens zugunsten von besserer Sicherheit schaffen.“

Die Eindämmung von Cyber-Risiken sei in jedem Unternehmen ein andauernder Prozess. Es gelte herauszufinden, wo es noch hakt und je nach Bedarf Nachschulungen durchzuführen. „Wenn die Mitarbeiter nachdenken, bevor sie auf etwas Riskantes klicken, dann haben die Sensibilisierungsmaßnahmen Früchte getragen“, betont Zeitler.

Weitere Informationen zum Thema:

pwc
Game of Threats™ – A cyber threat simulation