aus dem Netzwerk Insider Januar 2025
Für viele Beschäftigte sind Schulungen zur Informationssicherheit ein notwendiges Übel, das sich in die jährlichen Durchklick-Marathons zu Datenschutz und Arbeitssicherheit einreiht. Meist zählt weniger der Lernerfolg für die Teilnehmenden, als möglichst schnell damit fertig zu sein. Aufgabe des Informationssicherheitsbeauftragten ist es, das zu ändern – aber wie?
Um die Mitarbeitenden für wichtige Themen zu begeistern und ihr Mitwirken zu garantieren, gibt es viele Ansätze. Vielleicht fragen sich einige Leser, weshalb ich Mitarbeiter für Regelungen begeistern muss, an die man sich schlicht und ergreifend halten muss. Für andere Themen wie zum Beispiel Arbeitszeiterfassung ist schließlich auch kein extra Aufwand nötig: Es gibt Regelungen innerhalb des Unternehmens, und hält sich jemand nicht daran, werden entsprechende Disziplinarmaßnahmen eingeleitet. Dafür braucht es keine Begeisterung.
Beim Thema Informationssicherheit ist das leider nicht so einfach: Es gibt viele Maßnahmen, deren Einhaltung nicht direkt nachvollziehbar ist. Beispielsweise kann ich nicht messen, ob ein Mitarbeiter E-Mails bei der Bearbeitung gewissenhaft prüft, die Absenderadresse mit dem angezeigten Namen vergleicht, bei Hyperlinks die URL vor dem Klicken prüft und Dateianhänge durch einen Virenscan absichert. Auch wenn ich keinen Sicherheitsvorfall erlebe, kann ich als Informationssicherheitsbeauftragte nicht davon ausgehen, dass alle meine Kollegen die Maßnahmen durchführen. Spätestens bei einem Sicherheitsvorfall merke ich dann jedoch, dass diese offenbar nicht eingehalten wurden – vielleicht auch nur dieses eine Mal, weil der betreffende Kollege, der sonst sehr gewissenhaft ist, bloß einen schlechten Tag hatte. Außerdem ist der potenzielle Schaden bei Verletzung von Regelungen der Informationssicherheit signifikant höher als, wie beim Beispiel oben, bei falsch oder nicht eingetragenen Arbeitszeiten. Sie betreffen nicht nur eben jenen Kollegen, sondern das ganze Unternehmen, wenn nicht sogar deren Kunden und Lieferanten.
Security-Awareness-Kampagnen
Gerade im Bereich der Informationssicherheit haben sich daher Security-Awareness-Kampagnen durchgesetzt. Wie der Name schon sagt, geht es um Aktionen, die das Bewusstsein für Informationssicherheit bei der Belegschaft steigern sollen. Ein Bewusstsein oder auch eine persönliche Motivation für dieses Thema greift die gerade beschriebene Begeisterung auf: Für ein erfolgreiches Informationssicherheitsmanagement ist es notwendig, dass zumindest ein Großteil der Mitarbeiter verstanden hat, was auf dem Spiel steht und gleichzeitig bereit ist, einen Teil dazu beizutragen. Nach meiner Erfahrung ist genau das, was nicht messbar ist, der wichtigste Teil: die tatsächliche Anteilnahme bzw. das Sich-Verantwortlich-Fühlen auch über die eigenen konkreten Aufgaben hinaus.
Informiert man sich über Angebote zu Awareness-Maßnahmen, stolpert man schnell über Phishing-Kampagnen. Ein Anbieter sendet in Absprache mit dem Unternehmen gutartige Phishing-Mails an alle Mitarbeiter. Überprüft wird, ob und wenn ja wie viele Mitarbeiter auf die in den Mails platzierten Links klicken. Anhand der Ergebnisse kann ein Schulungsbedarf festgestellt werden, auch bezogen auf eine spezielle Abteilung. Der Lerneffekt geht über die bloße Information in einer Schulung, nicht auf potenziell bösartige Links zu klicken, hinaus. Denn ein Mitarbeiter, der den betreffenden Link klickt, ist auf einmal persönlich involviert. Einen Fehler, den man einmal gemacht hat, sei es auch in einem simulierten Umfeld, wiederholt man seltener. Auch Kollegen, die nicht selbst in die Falle getappt sind, erfahren von der Kampagne, tauschen sich mit anderen über die eigenen Erfahrungen aus und erklären, woran sie die Phishing-Mail erkannt haben – der Lerneffekt steigt.
Negativ könnte eine solche Kampagne bei Kollegen einschlagen, die sich damit unfair auf die Probe gestellt fühlen. Eben dieses „Tappen in die Falle“, die vom eigenen Unternehmen aufgestellt wurde, kann auf Unmut stoßen. Welchen Einfluss das auf den Lerneffekt hat, kann ich nicht beurteilen. Ich bin mir ebenfalls nicht sicher, ob man diesen Aspekt bei der Planung einer Awareness-Kampagne überhaupt in Betracht ziehen sollte.
Lea Müller und Prof. Dr. Stefan Sütterlin haben sich in der Oktober-Ausgabe des Netzwerk-Insiders mit einer anderen Art der Awareness-Übung auseinandergesetzt, die Mitarbeiter noch mehr einbezieht: Table Top Exercises (https://www.comconsult.com/awareness-jenseits-der-end-user-perspektive-verstehen-und-foerdern/). Dabei werden Notfallszenarien simuliert und überprüft, ob Notfallpläne funktionieren und alle Beteiligten wissen, was zu tun ist. Der erfolgreiche Lerneffekt solcher Übungen ist aus anderen Bereichen bekannt: Feueralarme und Evakuierungsübungen für den Brandfall sollte jeder Leser schon mehrere Male miterlebt haben. Neben der Erprobung des Verhaltens im Ernstfall werden eventuelle Lücken in Plänen aufgedeckt, seien es Verständnislücken oder vergessene Schritte in Prozessen, Meldeketten etc.
Diese Art der Übung des Ernstfalls ist besonders effektiv. Von jedem Beteiligten wird eine spontane Reaktion gefordert, die vor allem das Abrufen von Vorwissen in einem Ernstfall realistisch auf die Probe stellt. Es reicht nicht aus, die Informationen darüber parat zu haben, dass es zum Beispiel dokumentierte Notfallpläne und Telefonlisten gibt, sondern diese müssen sofort gefunden und Handlungsweisen erprobt werden. So eine Table Top Exercise kann schon mal an vermeintlich einfachen Dingen scheitern, die wiederum genauso einfach zu verbessern sind. Vielleicht sind die Nummern auf der Telefonliste veraltet? Vielleicht gibt es keinen Ausdruck der Notfallpläne, für den Fall, dass die zentrale Datenablage nicht erreichbar ist? Manche Einzelheiten fallen erst auf, wenn ein Prozess geübt wird, auch wenn die Planung noch so gut ist.
Dem enormen Lerneffekt solcher Übungen steht der Nachteil gegenüber, dass gleichzeitig viele verschiedene Ressourcen gebunden werden. Zur Vor- und Nachbereitung durch den Informationssicherheitsbeauftragten und der Mitwirkung anderer Abteilungen kommt ein halber bis ganzer Arbeitstag vieler Kollegen hinzu. Wenn der gewünschte Lerneffekt erzielt werden soll und alle Kollegen die Chance haben sollen, durch eine Simulation auf den Ernstfall vorbereitet zu werden, ist der Aufwand enorm und schwierig zu organisieren.
Adventsquiz zur Informationssicherheit
Daneben steht ein anderer Ansatz, um das Thema Informationssicherheit bei allen Mitarbeitern zu platzieren und den Lernerfolg verhältnismäßig hoch zu gestalten: ein Quiz. Der Erfolg von Gamification ist in vielen Bereichen erprobt und kann uns auch bei Security-Awareness-Maßnahmen weiterhelfen. Den Befragten wird die Möglichkeit gegeben, vorher durch Schulungen erworbenes Vorwissen anzuwenden, sie werden zum Nachdenken über sicherheitskritische Situationen angeregt und können die im Quiz abgefragten Antworten später im Ernstfall anwenden.
Bei der Flut an wichtigen Themen ist es trotzdem schwierig, sich durchzusetzen. Warum also nicht ein Thema nutzen, welches sowieso schon alle Aufmerksamkeit in den Wintermonaten erweckt: ein Quiz in Form eines Adventskalenders? Meine Kollegin Kathrin Stollenwerk und ich haben im vergangenen Jahr über die Maßnahme und die anschließende Auswertung und Einschätzung berichtet (Ein anderer Ansatz zur Schulung in Informationssicherheit › ComConsult und Ein Resümee zur etwas anderen Security-Awareness-Kampagne › ComConsult). Seitdem haben wir bei der ComConsult das Adventskalender-Quiz wiederholt und planen einen dritten Durchlauf für die diesjährige Schulungsmaßnahme.
Besonders wichtig war es, möglichst viele Mitarbeiter-Gruppen zu aktivieren: Diejenigen, die sich von Quizzen begeistern lassen – ob, um ihr Wissen zu präsentieren oder spielerisch zu lernen – und die Kollegen, die ein festliches Setting anspricht, etwa das Advents-Thema oder ein bunter, glitzernder Kalender mit rieselnden Schneeflocken.
Die Quizfragen beziehen sich auf Schulungsvideos zum Thema Informationssicherheit am Arbeitsplatz und in Projekten, die jeder Mitarbeiter durchlaufen und nachprüfbar zur Kenntnis genommen hat. Als Teil der Einarbeitung gilt dies auch für jeden neuen Mitarbeiter. Zusätzlich sind im Unternehmenskontext Leit- und Richtlinien zur Informationssicherheit veröffentlicht, die bei Fragen herangezogen werden können. Jede Frage skizziert eine Situation inklusive mehrerer Handlungsoptionen – mal mehr, mal weniger richtig in Bezug auf den sicheren Umgang mit Informationen.
Eine Beispielfrage: Du musst für ein Kundenportal ein neues Passwort festlegen. Was machst du?
a) Ich nehme das, was ich immer nehme. Das kann ich mir gut merken und schnell eingeben.
b) Ich denke mir ein neues, leicht zu merkendes aus, vielleicht eine Kombination aus meinem Namen und Geburtsdatum − Hauptsache ich vergesse es nicht.
c) Ich denke mir ein neues, sicheres Passwort aus, das mindestens den Unternehmensrichtlinien sowie den Kundenanforderungen entspricht.
Die Frage spricht den Mitarbeiter direkt an, die Antworten sind in der Ich-Perspektive formuliert, um die persönliche Betroffenheit zu stärken. Das ist besonders interessant bei Fragen, auf die der Befragte die richtige Antwort (hier natürlich c) kennt, trotzdem aber eine andere Handlung durchführt (im schlimmsten Fall a). In diesem Fall würde die kognitive Dissonanz, so die Überlegung, deutlich und eine Änderung der Handlungsweise folgen.
Das Feedback zu dieser Art Schulungsmaßnahme ist messbar höher als zu Schulungsvideos. Die initiale Schulung zur Informationssicherheit am Arbeitsplatz hat mehrere Runden gebraucht, um alle Kollegen an Bord zu holen. Das Feedback war ebenfalls mäßig: Außer gelegentliche formale Verbesserungen von fachkundigen Kollegen konnte ich nur wenige Rückmeldungen verbuchen, alles fernab von Begeisterung.
Mit dem Adventskalenderquiz habe ich gelernt: Kollegen, die Antworten geben, geben auch Feedback! Meine Kollegin und ich haben bei der Formulierung der Fragen absichtlich nicht immer auf eindeutige Antworten gesetzt, ab und zu gab es Interpretationsspielraum. Und genau dieser war Bestandteil von Diskussionen beim gemeinsamen Mittagessen in der Kantine oder zwischendurch an der Kaffeemaschine. So wurden viele Kollegen zu Multiplikatoren unseres Themas, haben dadurch, dass sie das Thema in lockeren Gesprächen aufgreifen, die Teilnahmequote und den Lerneffekt gesteigert.
Im zweiten Durchlauf wurden neben den Wissensfragen auch Schätzfragen eingebaut, die besonders viele Gespräche unter den Mitarbeitern motiviert haben. Hier konnte Kontextwissen gezeigt sowie gefachsimpelt werden, und gleichzeitig wurde das allgemeine Risikobewusstsein geschärft. Ein Beispiel für eine Schätzfrage:
Wie hoch war der durchschnittliche finanzielle Schaden bzw. die Kosten verursacht durch eine Cyberattacke in Deutschland im Jahr 2022 je Vorfall?
a) 15 255 €
b) 18 712 €
c) 384 582 €
Richtig ist Antwort b. (Hiscox Cyber Readiness Report 2022 | Hiscox)
Messbarkeit von Erfolg
Die Auswertung erfolgte anonymisiert, in Ausnahmefällen wurde geschaut, wer die Antworten gegeben hatte. Bei der Auswertung der Fragen bin ich auf eine Überprüfung meiner Methoden durch einen Teilnehmer gestoßen: Er beantwortete im ersten Durchlauf absichtlich alle Fragen falsch, um zu sehen, welche und ob überhaupt Konsequenzen zu erwarten sind. Ein kurzes Gespräch konnte die Situation aufklären, und für mich habe ich die Erfahrung als Erfolg verbucht. Nicht zuletzt, weil ich erkennen konnte, dass der Kollege ein breites Grundwissen zum Thema Informationssicherheit vorweisen kann.
Im ersten Durchlauf haben etwa zwanzig Prozent der Mitarbeiter nicht mitgemacht. Zu beliebten Urlaubszeiten oder bei Erkältungswellen ist das keine Überraschung. Etwa die Hälfte davon hat nach einer freundlichen Erinnerung die Fragen, ebenso wie die anderen Kollegen, zum Großteil richtig beantworten können. Die Übrigen brauchten eine deutlichere zweite Erinnerung und manche sogar eine Privatschulung.
Dabei konnte ich beobachten, dass die mangelnde Teilnahme keineswegs mit mangelndem Verständnis oder Wissen zu tun hatte, denn die Kollegen haben fast alle Fragen ohne Schwierigkeiten richtig beantworten können. Da dieselben Kollegen auch bei anderen Schulungen, sei es der Form nach, also Schulungsvideos, oder zu anderen Themen wie Datenschutz, wenig Motivation zur Teilnahme gezeigt haben, kann ich nicht die Quiz-Form als Grund für die Ablehnung heranziehen.
Beide bisher durchgeführten Advents-Quizze hatten eine höhere Teilnehmerquote als die initiale Schulung durch Videos und Richtlinien. Auch die Zahl der Kollegen, die an die Aktion erinnert werden mussten, war geringer und sank sogar im zweiten Jahr. Eine gewisse Anzahl von Kollegen, die sich nicht motivieren ließen, blieb weiterhin.
Eine höhere Quote richtiger Antworten konnte ich nicht beobachten, der Prozentsatz blieb etwa gleich. Beide Male wurden verschiedene Bereiche des Arbeitsalltags und damit verbundene zu beachtende Sicherheitsmaßnahmen oder Verhaltensweisen in den Quizzen berührt. Das Quiz hat damit (hoffentlich) bereits vorhandenes Wissen abgerufen und zur Anwendung gebracht, also erneut ins Gedächtnis gerufen, oder neues Wissen vermittelt. Laut einer Studie der University of California in Berkeley sei der Lerneffekt ggf. sogar höher, wenn Teilnehmer zuerst die falsche Antwort geben. Der Überraschungseffekt als emotionale Reaktion auf die eigene falsche Einschätzung führe dazu, dass die richtige Antwort besser gemerkt werde. (Being proven wrong elicits learning in children – but only in those with higher executive function skills – Brod – 2020 – Developmental Science – Wiley Online Library) Eine ähnliche Beobachtung habe ich bei den Fragen mit mehr Interpretationsspielraum gemacht: Hier war das Nachdenken und gegenseitige Beraten über die richtige Antwort, meist auch das Feedback an mich direkt, deutlich höher als bei eindeutigen und vielleicht einfacheren Fragen.
Informationssicherheit als Teil der Unternehmenskultur
Kann man mit Quizfragen also die Awareness steigern? Wie oben beschrieben, ist das nicht leicht zu messen. Es zeigt sich eine gesteigerte Awareness im Unternehmen, wenn ein Thema häufiger besprochen und auch von Mitarbeitern aufgeworfen wird, die nicht per se dafür verantwortlich sind. Diesen Effekt konnte ich bei Kollegen aus verschiedenen Abteilungen beobachten.
Der Name Security Awareness sagt es eigentlich schon: Ein Bewusstsein für Sicherheitsrisiken und das Wissen um Maßnahmen, die jeder einzelne umsetzen kann, um diese Risiken so gering wie möglich zu halten. Hier kommt man schnell zu einem ähnlichen Ansatz wie bei einer Unternehmensphilosophie: Jeder Mitarbeiter muss wissen, wofür das Unternehmen steht und was es einzigartig macht, um sich mit den Zielen identifizieren zu können und ein produktiver und zufriedener Teil davon zu sein. Ist Informationssicherheit Bestandteil der Unternehmensphilosophie, ist dies erfolgsversprechender als jede abgekoppelte Awareness-Maßnahme.
Und weil dieser Gedanke nicht neu ist, findet man ihn am Anfang jeder größeren Norm: Die ISO 27001:2023 gibt vor, die oberste Leitung müsse sicherstellen, „dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt und mit der strategischen Ausrichtung der Organisation vereinbar sind“ (Kapitel 5.1). Die Leitungsebene trägt die Verantwortung für das Formulieren einer Sicherheitsphilosophie, „der Sicherheitsprozess muss aber von allen Beschäftigten in einer Organisation mitgetragen und mitgestaltet werden.“ (BSI Standard 200-2 Kapitel 3.1 Übernahme von Verantwortung durch die Leitungsebene) Auch der Verband der Automobilindustrie hat im eigenen Informationssicherheitsstandard die Forderung im ersten Control vorangestellt: „Die Richtlinie [zur Informationssicherheit] enthält Ziele und den Stellenwert der Informationssicherheit innerhalb der Organisation“ (VDA ISA Version 6.0.2, Control 1.1.1 Informationssicherheit in Unternehmen | VDA).
Den Erfolg des Adventskalender-Quizzes erkenne ich an der gesteigerten Teilnahme, der Zunahme von Fragen oder dem Gesprächsbedarf, der mir als Informationssicherheitsbeauftragte direkt mitgeteilt wird. Zudem haben mich einige Kollegen gefragt, ob es wieder ein Adventsquiz mit neuen Fragen geben wird – und meine Antwort ist ein klares Ja.
Gesetzliche Zusatzmotivation
Neben den oben genannten Normen zur Informationssicherheit, an denen sich Unternehmen orientieren oder an die sie sich eigenmotiviert halten können, gibt es nun die gesetzliche Verpflichtung zu Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union und Deutschland. Dies wird durch die NIS-2-Richtlinie bzw. dem NIS-2 Umsetzungsgesetz geregelt, dessen Inkrafttreten ich Anfang 2025 erwarte, obwohl Anfang November noch kein Beschluss vorliegt. Von dieser Regelung sind neben KRITIS-Betreibern auch durch die Richtlinie definierte wichtige und besonders wichtige Einrichtungen betroffen. Zu erwarten ist, dass sich dies in einem gewissen Maße auch auf deren Lieferanten und Dienstleister auswirkt.
In der NIS-2-Richtlinie findet sich der Begriff Cyberhygiene in §30: Gefordert werden „grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Sicherheit in der Informationstechnik“. Gefordert wird also, Mitarbeiter zu schulen und ein Bewusstsein für Informationssicherheitsthemen und vor allem -risiken zu pflegen. Zusätzlich gibt es eine Verpflichtung für die Geschäftsführung, regelmäßig an Schulungen zur Informationssicherheit teilzunehmen, damit Risiken erkannt und kompetent behandelt werden können (§38: „Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen regelmäßig an Schulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und von Risikomanagementpraktiken im Bereich der Sicherheit in der Informationstechnik zu erlangen sowie um die Auswirkungen von Risiken sowie Risikomanagementpraktiken auf die von der Einrichtung erbrachten Dienste beurteilen zu können“).
Natürlich liegt es immer im Ermessen des Verantwortlichen für Informationssicherheit im jeweiligen Unternehmen, wie er diese Anforderungen umsetzt. Wichtig ist aber, dass eine gewissenhafte Umsetzung und das Erzielen eines großflächigen Bewusstseins für Informationssicherheitsrisiken bei den Mitarbeitern das Ziel sein sollten. Nur eine Schulungsteilnahme zu dokumentieren reicht hier leider nicht.
Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.
Kontakt
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com