Wie sollte man ein Security-Awareness-Training kommunizieren?

Mitarbeiter sind heutzutage ein wichtiger Faktor für die Informationssicherheit und benötigen entsprechende Trainings. Doch wie sollte man Fortbildungsmaßnahmen und Security-Awareness-Kampagnen kommunizieren, die wegen des Mitarbeiterschutzes auf den ersten Blick kritisch bewertet werden könnten?

Um Attacken von Cyberkriminellen abzuwehren reichen moderne Technologien wie Firewalls oder Virenprogramme längst nicht mehr aus. Aufmerksame Mitarbeiter sind unverzichtbar, um ein Unternehmen abzusichern. «Security Awareness» bedeutet, dass Mitarbeiter wissen, welche Risiken beispielsweise durch Phishing-Angriffe entstehen, wie sie Angriffe erkennen und was sie tun müssen, wenn etwas schief geht. In der digitalen Arbeitswelt ist ein Phishing-Schutz durch Security Awareness und sensibilisierte Mitarbeiter nicht mehr wegzudenken.

Wenn allerdings durch eine falsch gewählte Kommunikation das vermittelte Wissen von den Mitarbeitern nicht angewandt wird, führt auch eine Security Awareness Kampagne nicht zum Ziel. Essenziell für eine gute Sicherheitskultur sind aufgeklärte Mitarbeiter, die ihre Verantwortung für die Sicherheit des Unternehmens kennen und wahrnehmen. Um die Kultur eines Unternehmens nachhaltig zu beeinflussen, braucht es daher eine gute und schlüssige Kommunikation auf verschiedenen Ebenen.

Im Rahmen einer Studie von Trend Micro nennen 63 Prozent der befragten IT- und Sicherheitsentscheider deutscher Unternehmen interne Kommunikation als größte Herausforderung für die Cybersicherheit in ihrem Unternehmen. 43 Prozent der Befragten berichteten von Problemen, der Unternehmensführung komplexe Sachverhalte zu vermitteln. Die Studie zeigt auch, dass es oft erst eines aufsehenerregenden Cyberangriffs bedarf, um die nötige Aufmerksamkeit für IT-Sicherheit zu bekommen: 69 Prozent der Befragten erleben, dass nach Vorfällen wie WannaCry die Kommunikation für sie einfacher wird. Das wirft die Frage auf, wie IT-Sicherheitsverantwortliche und IT-Sicherheitsbeauftragte diese Kommunikationsbarrieren überwinden können, bevor solche Angriffe geschehen [1].

Ein Teil des Problems: Das Themengebiet Security Awareness ist in vielen Unternehmen in der IT angesiedelt. 80 Prozent der Sensibilisierungsprofis bringen einen technischen Hintergrund mit [2]. Die wenigsten Personen, die Security Awareness Maßnahmen in Unternehmen planen und betreuen, haben daher die notwendigen Kompetenzen in den Bereichen Kommunikation, Marketing oder Psychologie im Studium oder außerhalb erlernt.

7 Tipps zur Kommunikation einer Security Awareness Kampagne

Doch deshalb ist Hopfen und Malz noch nicht verloren. Viele IT-Sicherheitsverantwortliche entwickeln diese Fähigkeiten daher Learning-by-Doing. Mit diesen 7 Tipps treffen Sie im Rahmen Ihrer Security Awareness Maßnahmen den richtigen Ton:

• Mitarbeiter durch richtige Kommunikation motivieren: Sich mit IT-Sicherheit zu befassen ist für viele immer noch eine Mühseligkeit. Gestalten Sie die Informationen für Ihre Mitarbeiter daher möglichst spannend und anschaulich. Greifen Sie bei der Darstellung der Risiken auf interne Beispiele von Risiken zurück oder stellen Sie den privaten Nutzen für die Mitarbeiter dar. Dies hilft den Mitarbeitern, sich besser damit identifizieren zu können. Auch eine humoristische Art und Weise kommt oft gut bei den Mitarbeitern an. So kann beispielsweise mithilfe eines Cartoons eine Information einfach, kurz und unterhaltsam vermittelt werden.
• Vertrauensvolle Kultur fördern: Wenn Mitarbeiter Fehler nicht melden, ist es schwer, sie zu entdecken und künftig zu vermeiden. Bauen Sie daher in ihrem Unternehmen durch eine offene Kommunikation eine gute Fehlerkultur auf. Insbesondere eine angstmachende Kommunikation, Bedrohungsszenarien oder Bestrafung der Mitarbeiter sollten in jedem Fall vermieden werden. Hier ist Fingerspitzengefühl gefragt.
• Wissensvorsprung und Sprachbarrieren überbrücken: Die IT spricht eine andere Sprache als die Mitarbeiter der anderen Bereiche. Seien Sie sich Ihres Wissensvorsprungs bewusst. Wählen Sie daher eine zielgruppenorientierte, einfache und verständliche Sprache, damit Ihre Informationen von allen Mitarbeitern, unabhängig von Abteilung oder Wissensstand, verstanden werden können. Beispielsweise sollten IT-Fachausdrücke vermieden werden, sofern die Adressaten nicht einen IT-Hintergrund haben.
• Keine Verwirrung durch widersprüchliche Informationen: Die gewünschten und kommunizierten Verhaltensregeln sollten konsistent sein, indem sie auf die schon bestehenden internen Richtlinien abgestimmt sind.
• Führungskräfte einbinden: Führungskräfte müssen an Bord geholt werden und als Botschafter das Thema im Unternehmen verbreiten. Es wird sehr schwer werden, das Thema IT-Sicherheit gegen den Widerstand der Führungskräfte zu verbreiten. Dazu muss ein entsprechendes Bekenntnis von ganz oben kommen. Die Führungskräfte können das Thema als Botschafter dann weiter in die Teams tragen und die Wichtigkeit des Themas den Mitarbeitern mitgeben.
• Kulturelle Unterschiede berücksichtigen: Ihr Awareness-Training richtet sich an Mitarbeiter aus unterschiedlichen Ländern? Um den erhofften Erfolg zu erreichen, sollten kulturelle Unterschiede bei der Kommunikation mit den Mitarbeitern berücksichtigt werden. Neben Umgangsformen und Kommunikationstools kann auch die Risikowahrnehmung je nach kulturellem Kontext unterschiedlich sein.
• Verschiedene Kanäle nutzen: Es gibt verschiedene Lerntypen und Medien-Nutzer-Typen. Daher ist es ratsam, bei der Kommunikation mit den Mitarbeitern multimedial vorzugehen, d.h. verschiedene Kanäle einzubinden, sowohl digital als auch physisch. Digitale Kommunikation ist wichtig, es darf jedoch nicht die Wirkung von Face-to-Face-Kommunikation unterschätzt werden.

Die Kommunikation hat in der IT-Sicherheit die schwierige Aufgabe, Personen mit unterschiedlichsten Hintergründen für die Risiken und das richtige Verhalten bei Cyberangriffen zu sensibilisieren. Wenn Sie diese Tipps beachten, schaffen Sie eine gute Basis.