Awareness-Training, kein One-size-fits-all

Dieser Artikel soll keinesfalls eine Blaupause für die erfolgreiche Durchführung von Awareness-Trainings sein. Wie kann ich Awareness-Trainings auf ihre Empfänger abstimmen? Hierzu bieten wir Ihnen ein paar Denkanstöße, die Ihnen bei der Konzipierung Ihrer Awareness-Trainings helfen können.

Warum sind Awareness-Schulungen wichtig?

Es gibt viele Möglichkeiten den immer währenden Bedrohungen für einzelne Werte einer Organisation zu begegnen. Wir nutzen Firewalls, Backups und Netzwerksegmentierung ganz selbstverständlich, um Maßnahmen zu ergreifen die uns und unsere Werte im Ernstfall schützen sollen. Immer häufiger ist am Ende des Tages aber nicht die Technik ausschlaggebend, sondern die Menschen, die sie bedienen. Wir wollen ein Sicherheitsbewusstsein (Awareness) schaffen, um zu verhindern, dass technische Schutzmaßnahmen durch die Beeinflussung von Menschen umgangen werden können.

Welches Awareness-Training passt zu welchem Empfänger

Wie bei einer guten Marketingstrategie sollten wir uns als allererstes unsere einzelnen Zielgruppen betrachten. Also: „Wen möchte ich mit meinen Awareness-Trainings erreichen?“ Ähnlich wie die verschiedenen Funktionen einzelner Personen in der Organisation, unterscheiden sich Alter, Vorwissen und Bedrohungsszenarien.

Wir machen an dieser Stelle ein kurzes Gedankenspiel. Stellen wir uns ein mittelständisches Unternehmen, mit 150 Mitarbeiter*innen vor, das im Bereich Maschinenbau tätig ist. Die Empfänger unserer Schulung administrieren das Netzwerk unserer Firma. Versuchen wir diesen Personen die Gefahren von Office-Dokumenten aus E-Mails aufzuzeigen, so werden wir deren Aufmerksamkeit schnell verlieren.

Ebenfalls ist es nicht zielführend mit der Lohnbuchhaltung einen Deep-Dive in Netzwerk-Security zu machen. Denn erstens ist dies kein Wissen, das die Abteilung einsetzt und zweitens fehlt hier meistens das technische Vorwissen. Im besten Fall haben wir hier nur ein paar Personen unserer Organisation gelangweilt und von der Arbeit abgehalten. Im schlimmsten Fall verlieren Organisationsmitglieder das Vertrauen in die Sinnhaftigkeit von Maßnahmen, die für den Schutz unserer Informationswerte wichtig sind.

Alltägliche Anwendbarkeit und Sicherheitsbewusstsein nicht nur im Unternehmen

Gerade bei Informationen, die für unsere Organisation einen besonders hohen Wert haben ist der Schutz, zum Beispiel durch gute Passwörter und Mehrfaktorauthentifizierung, wichtig. Hierfür wollen wir nun also bei unserem Maschinenbauer Bewusstsein schaffen. Den meisten müssen wir den Stellenwert der entsprechenden Informationen nicht erklären, den Weg diese zu schützen schon. Jede einzelne Person in der Organisation hat privat Daten und Zugänge, die für sie persönlich wichtig und teuer sind, zum Beispiel die Logindaten zum Onlinebanking.

Erkläre ich den anwesenden also wie sie diese privat ordentlich absichern, wird das Ganze zu einer guten Gewohnheit, die dann eben auch aber nicht ausschließlich im Unternehmen eingesetzt wird und nicht als Gängelung angesehen wird die sich irgendwer überlegt haben, um das Leben zu erschweren. Gleiches kann ich bei Themen wie Phishing oder den Umgang mit persönlichen Informationen erreichen. Wenn ich Wissen so vermitteln kann, dass die Geschulten dieses Wissen, zum Beispiel an Freunde, Familie oder auch anderen Kollegen selbst anwenden und weitertragen, wird das Vertrauen in die Informationen, Maßnahmen und letztendlich das Sicherheitsbewusstsein jeder einzelnen Person gestärkt.

Verbote vs. Erkenntnis

Das gebetsmühlenartige Abspielen von „Du darfst dies nicht“ und „Du sollst das nicht“ sorgt nicht für Akzeptanz auf der Empfängerseite. Natürlich haben wir gute Gründe für die Maßnahmen, die wir zum Schutz unserer Werte ergreifen. Akzeptanz ist aber genau was wir benötigen damit diese Maßnahmen von allen mitgetragen werden. Um notwendige Bewusstsein zu schaffen, sollte also immer auch das „Warum“ vermittelt werden. Wird beispielsweise erklärt, wie Angreifer agieren, um an Login-Daten zu kommen, folgt die Erkenntnis wie man dem entgegenwirken kann und so die Erkenntnis zur Sinnhaftigkeit unserer Maßnahmen.

Wie können wir Ihnen helfen Sicherheitsbewusstsein zu etablieren?

Unser Maschinenbauunternehmen war nur ein kleines Beispiel. Natürlich kennen wir, bei ibi systems, die passenden Schulungsinhalte für Ihre Organisation nicht. Bei der Konzeption und Umsetzung helfen Ihnen gerne unsere starken Partner von metafinanz und syracom. ibi systems iris kann Sie anschließend beim Management ihrer Awareness-Trainings unterstützen. Sei es durch das Erfassen und Verfolgen von Schulungsmaßnahmen, die Dokumentation der Regelmäßigkeit von Schulungen, die Abfrage von Wissen durch Prüfungen, deren Auswertung und basierend auf den Ergebnissen die Steuerung weiterer Schulungsangebote sowie das Tracking von Veränderungen Risikobewertung für Ihre Informationswerte.

Zusammenfassung

Awareness entsteht durch Akzeptanz und Vertrauen bei den Adressaten. Daher müssen wir darauf achten und Inhalte und das Format auf die Awareness-Trainings Empfänger abstimmen, damit das Wissen ankommt. Eine One-size-fits-all Lösung gibt es hier leider nicht. Am Ende des Tages sind es Menschen die unsere Maßnahmen mittragen. Auf deren individuellen Bedürfnisse gilt es bei der Vermittlung von Wissen einzugehen.