Alle Jahre wieder… − Ein Resümee zur etwas anderen Security-Awareness-Kampagne

Ende des vergangenen Jahres haben wir es uns zur Aufgabe gemacht, eine Security-Awareness-Schulung der anderen Art im Selbstversuch durchzuführen. Unsere Motivation bestand darin, die Kollegen in ihrer festlichen Stimmung abzuholen und mit einem interaktiven Adventskalender Situationen zum Nachdenken und Lernen zu kreieren, in denen Informationssicherheit für jeden Einzelnen relevant werden kann. Hatten wir damit Erfolg?

Um mit unserer jährlichen Security-Awareness- und Informationssicherheitsschulung nicht in die Kerbe der langweiligen Pflichtprogramme zu schlagen, die jeder Mitarbeiter zu diversen Themen über sich ergehen lassen muss, haben wir Ende letzten Jahres einen Adventskalender erstellt, hinter dessen Türchen sich Fragen zur Informationssicherheit verbargen. Dabei wurden Situationen geschildert, in denen sich die Kollegen befinden könnten, sowie verschiedene Reaktionen zur Auswahl angeboten, von denen manche mehr und manche weniger richtig waren. Sie alle hatten einen Bezug auf das Beachten von Informationssicherheitsmaßnahmen, die unser Unternehmen formuliert hat. Eine dieser Fragen lautete: Was tue ich, wenn ich einen USB-Stick vor der Eingangstür finde? Die möglichen Antworten hierauf waren: Ich nehme ihn mit und verwende ihn. Ich frage Kollegen, ob sie ihn verloren haben. Ich schaue, ob sich darauf Indizien befinden, die mich den Besitzer finden lassen. Ich gebe ihn beim IT-Support ab, um in einer gesicherten und kontrollierten Umgebung zu sehen, was sich darauf befindet oder ich werfe ihn sogar direkt weg, damit kein Schaden angerichtet werden kann.

In einer vorangegangenen Schulung haben die Kollegen ein Grundverständnis von Informationssicherheit und eventuell riskanter Situationen vermittelt bekommen. In unserer unternehmensinternen Richtlinie zum richtigen Verhalten am Arbeitsplatz sind zudem Sicherheitsmaßnahmen formuliert, die identifizierte Risiken in Zusammenhang mit Informationssicherheit bei der täglichen Arbeit minimieren sollen. Ein Jahr nach dieser Schulung war es nun an der Zeit, dieses Grundwissen auf die Probe zu stellen. Dabei standen die Grundlagenschulungen weiterhin als Nachschlagewerk zur Verfügung. In dem Wissen, dass interaktives Lernen generell Erfolg versprechender ist als ein frontales Vermitteln von Inhalten, haben wir die aktuelle Schulung also als Quiz gestaltet.

Was haben wir gelernt?

Ja, weihnachtliche Themen kommen zur Weihnachtszeit gut an. Und auch grundsätzlich ist eine kreativere Kampagne etwas, was Aufmerksamkeit generiert und Rückfragen erzeugt. Uns fiel auf, dass ein reger Austausch über den Adventskalender an sich, die Idee also, so etwas durchzuführen, über die Inhalte der Fragen sowie die beschriebenen Situationen und vorgegebenen Antworten auf den Fluren und an der Kaffeemaschine stattfand. So war auch das Feedback, was direkt an die Mitwirkenden gegeben wurde oder gestellte Rückfragen definitiv vielfältiger als bei vorherigen Schulungen und Informationskampagnen. Neben Lob für die Idee und generellen Verbesserungsvorschlägen, die wir gerne aufgenommen und für die Durchführung Ende dieses Jahres vorgemerkt haben, gab es ebenfalls direkte Anmerkungen zu den Inhalten: Eigene Herangehensweisen an die geschilderten Situationen wurden diskutiert und Bestätigung zum Verständnis der Sicherheitsmaßnahmen und ihrer Wirkung gesucht.

Rückfragen haben wir generell als etwas Positives gewertet: Es bedeutet, dass sich die entsprechenden Mitarbeiter Gedanken gemacht haben. Genau das ist es, was wir uns als Ziel gesetzt haben: Das Bedenken von Informationssicherheit ins Bewusstsein der Kollegen zu rücken. Auch in den letzten Wochen nach der Maßnahme haben wir einen Anstieg an Anfragen an unsere ISB bemerkt. Fragen zu Phishing Mails, Spam-SMS oder fremden Menschen im Gebäude – Inhalte aus der Schulung und ähnliche Themen haben weiterhin zum Nachdenken angeregt. Und dabei ist auch klar geworden, dass es nicht darum geht, Maßnahmen auswendig zu lernen und sich in jeder Situation korrekt zu verhalten, sondern dass jeder Kollege ein Gespür dafür bekommt, dass er hier gerade einem Risiko gegenübersteht, und weiß, wen er um Unterstützung bitten kann.

Es war nicht nur die rege Teilnahme an der Schulung, die sich als zentraler Erfolgsfaktor herausgestellt hat, sondern auch die Präsenz und Ansprechbarkeit der Mitwirkenden. Bei der Vorstellung der Schulungsmaßnahme haben wir alle Beteiligten benannt. Sie waren allesamt begeistert vom Thema und der Umsetzung und haben dies auch so in ihr Umfeld getragen. So konnten Fragen und Feedback oft über den kurzen Dienstweg angebracht werden und mussten nicht mit einigem Drumherum an ein Funktionspostfach gestellt werden.

Auch die Gruppe derjenigen, die sich als Experten im Thema Informationssicherheit sehen und oft nur schwer zur Teilnahme an einer Awareness-Kampagne zu motivieren sind, haben wir mit einigen Antwortmöglichkeiten aus der Reserve locken können. Beispielsweise gab es in der Situation mit dem gefundenen USB-Stick die Antwortmöglichkeit „Ich schaue selbst in einer gesicherten Umgebung, was sich auf dem Stick befindet“. Kompetenzen dazu haben wir in unserem Kollegium ganz sicher genug. Wichtig ist jedoch, dass auch ihnen bewusst wird, dass sie die Verantwortung für die Behandlung von (potentiellen) Sicherheitsvorfällen nicht haben, sondern es klare Meldewege und Reaktionspläne gibt, die für alle Kollegen gelten. Im persönlichen Gespräch mit den Kollegen hatten wir den Eindruck, dass wir dies vermitteln konnten.

Zudem haben wir gelernt, dass – egal wie viel Arbeit, Kreativität und guten Willen wir in eine Kampagne stecken – es immer Kollegen geben wird, die wir nicht erreichen werden. Da hilft nichts anderes als den sauren Drops zu lutschen und diese Kollegen persönlich anzusprechen und, böse gesagt, zu einer Schulungsmaßnahme zu verdonnern. Vielleicht ergeben sich im kommenden Jahr noch Lerneffekte, die uns einen Ansatz geben, eben diese Kollegen zu erreichen. Wir halten Sie auf dem Laufenden.

Sicherheit trotz oder wegen der Cloud

Grundlagen der IT-Sicherheit
04.06.-05.06.2024 in Siegburg | online

ISMS mit ISO 27001 und BSI IT-Grundschutz
25.06.-27.06.2024 in Neuss | online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.