Alle Jahre wieder… − Ein anderer Ansatz zur Schulung in Informationssicherheit

Security Awareness ist bei vielen nicht besonders beliebt. Oft kommt es als leidige Pflichtübung einmal im Jahr auf den Tisch und verschwindet bis zur nächsten Schulung wieder. Für die Verantwortlichen stellt sich also nicht nur die Frage, welche Inhalte in der diesjährigen Schulung vermittelt werden sollen, sondern insbesondere, wie die Kollegen erfolgreich zu rekrutieren sind. Vor allem dann, wenn die Schulung zum Jahresende durchgeführt werden muss – sei es, weil immer wieder etwas dazwischengekommen ist, oder der Zyklus sich einfach so ergeben hat – ist die Aufmerksamkeit der Kollegen meist sowieso ganz woanders.

Vor allem zwei Gruppen kristallisieren sich häufig als diejenigen heraus, die sich besonders schwer zur Teilnahme an Schulungsmaßnahmen animieren lassen: Auf der einen Seite die wenig IT-affinen Mitarbeiter, die IT-Sicherheit eher als Aufgabe der IT-Abteilung verstehen und sich ihrer Exponiertheit für Angriffe und ihrem Stellenwert in der Reihe der Schutzmaßnahmen gar nicht bewusst sind. Auf der anderen Seite die „Alleskönner“, die sich sicher sind, schon alles über IT- und Informationssicherheit zu wissen, vielleicht sogar mehr als die im Unternehmen dafür Verantwortlichen.

Doch eine nachhaltige Awareness-Maßnahme lebt von der regen Teilnahme mehr als alles andere! Nicht nur, um eine entsprechende Teilnahmequote zu erreichen und einen Auditor zufriedenzustellen. Schließlich geht es eben um das Bewusstsein dafür, dass Informationssicherheit nicht nur Firewalls und E-Mail-Verschlüsselung heißt, sondern vor allem Mitdenken und aufmerksam sein.

Egal, ob wir Mitarbeiter als größtes Sicherheitsrisiko oder als Human Firewall betrachten, zwischen einem Angreifer und den Unternehmensinterna stehen oft nur sie: Die Kollegen aus dem Sekretariat, die info@ihrunternehmen.de-Mails sichten oder auch der Geschäftsführer, der sich dazu hinreißen lässt, auf einen Link zu einem interessanten Projektexposé zu klicken.

In der Theorie klingt das gut. Warum ist es dann so schwer, Mitarbeiter für Schulungsmaßnahmen zu rekrutieren? Vielleicht weil Informationssicherheitsschulung nach langweiligem Frontalunterricht klingt und auch der Anglizismus Security Awareness es nicht besser macht? Alleine sitzt der Mitarbeiter vor seinem Bildschirm und schaut Schulungsvideos oder klickt sich durch E-Learning-Maßnahmen. Auch wenn sie gut gemacht sind, bleibt es etwas, das die Aufmerksamkeit der Kollegen von den ‚eigentlichen‘ Aufgaben ablenkt.

Warum also nicht genau das Thema aufgreifen, welches zum Jahresende den Alltag beherrscht und eine gern gesehene Ablenkung im Arbeitsalltag darstellt? Weihnachten und Adventszeit. Die ComConsult befindet sich dieses Jahr im Selbstversuch und hat die jährliche Schulungsmaßnahme als Security-Awareness-Adventskalender gestaltet. Die Kollegen sollen acht Türchen öffnen, hinter denen jeweils eine Frage zu einer sicherheitsrelevanten Situation formuliert ist. Themen wie gefundene USB-Sticks, fragwürdige E-Mails oder richtiges Verhalten bei der Arbeit an öffentlichen Orten finden sich als Klassiker neben unternehmensspezifischeren Szenarios.

Damit gehen wir gleich auf mehrere Aspekte ein, die Experten für Security Awareness zu bedenken geben. Vor einigen Wochen hat uns Sandra Aengenheyster, Kommunikations-Expertin in IT-Kampagnen, in ihrem Webinar der Woche deutlich gemacht, dass die Angriffsmethoden von Cyberkriminellen immer ausgefeilter werden und zunehmend auf Emotionen setzen. Um erfolgreich zu sein, muss eine Security-Awareness-Maßnahme genau hier ansetzen!

Emotional bedeutet für uns auch das Bewusstsein, mit so einem wichtigen Thema nicht allein dazustehen. In unserem Adventskalender werden nicht der oder die Beste gekürt, Fehler vorgeführt oder die Ergebnisse unter Verschluss gehalten. Das allgemeine Ziel ist es, so viele Kollegen wie möglich zum Mitmachen zu animieren, beim Kaffee über die Fragen zu diskutieren und gemeinsam etwas zu lernen. Die Motivation erhält einen Extraschub durch eine versprochene Überraschung auf allen Schreibtischen, wenn denn alle Kollegen fleißig mitmachen.

Wir werden sehen, ob wir mit einem kreativen Ansatz zur jährlichen Informationssicherheitsschulung unsere Ziele erreichen konnten – und halten Sie gerne auf dem Laufenden!