Schwerpunkte

Mitarbeiterschulung

Was ein gutes Security-Awareness-Training ausmacht

19. Juni 2019, 11:43 Uhr   |  Axel Pomper | Kommentar(e)


Fortsetzung des Artikels von Teil 1 .

Durchführung eines ausgereiften Security-Awareness-Programms

funkschau: Wie können Unternehmen ein ausgereiftes Security-Awareness-Programm aufbauen?

KnowBe4 Detlev Weise
© KnowBe4

Detlev Weise, Managing Director bei KnowBe4

Weise: Wenn die Sicherheitsverantwortlichen ein ausgereiftes Trainingsprogramm konzipieren und durchführen wollen, müssen sie schrittweise vorgehen. Meistens beginnt die Arbeit bereits vor der offiziellen Entscheidung für die Schulungsmaßnahmen, weil zunächst allgemeine Tests durchgeführt werden müssen. In diesen Basisevaluationen müssen erste Simulationen durchgeführt werden, um belastbare Zahlen zum aktuellen Stand der Mitarbeiter und zur Bedrohungslage des Unternehmens zu sammeln. Diese Zahlen sind wichtig, um die Führungskräfte einzubinden und das notwendige Budget zu rechtfertigen. Außerdem werden diese Werte die Referenz sein, an dem der Erfolg der Schulungen gemessen werden kann. Anschließend beginnt die Aufklärungsphase, in der den Mitarbeitern in Schulungen das notwendige Wissen vermittelt wird. Das sollte sich allerdings nicht in langwierigen Powerpoint-Präsentationen erschöpfen, sondern eine Mischung aus On-Demand-Einheiten sowie interaktiven und computerbasierten Formaten wie Lernvideos, Games, aber auch Postern, Newslettern und Erinnerungsmails sein.
Wenn die Mitarbeiter die theoretischen Grundlagen kennen, sollten sich praxisorientierte Simulationen wie zum Beispiel automatisch versendete Test-Phishing-Nachrichten anschließen. Wenn die Mitarbeiter bei einem Fehler direkt darauf hingewiesen werden, setzt der Lerneffekt ein und die Gefährdungsrate sinkt.
Der vierte Schritt ist die Darstellung der Resultate. Gute Simulationsplattformen erstellen auf Knopfdruck Reports und Auswertungen auf Unternehmens-, Abteilungs- und Nutzerebene, die Aufschluss über Erfolge und Entwicklungsmöglichkeiten bieten. Die Verantwortlichen sehen dann, wo sie stehen und wo sie die Security Awareness weiter erhöhen müssen. Auf dieser Basis können dann weitere Schulungen und Simulationen durchgeführt werden. In der Regel werden die IT-Sicherheitsabteilungen dazu weitere Partner involvieren müssen.

funkschau: Welche Unterstützung sollten sich IT-Sicherheitsabteilungen holen und was sind die ausschlaggebenden Faktoren für den Trainingserfolg des Programms?

Weise: Ein gutes Training kommt nicht von Einzelkämpfern. Der Erfolg der Security Awareness hängt davon ab, dass Führungskräfte, Personalwesen, Marketing und die IT sowie IT-Sicherheit zusammenarbeiten. Darüber hinaus lohnt es sich, externe Partner zu beteiligen, die auf diesen Bereich spezialisiert sind, weil sie wertvolle Tools und Materialien für die Trainings bereitstellen. Für die Verantwortlichen gilt: Denk wie ein Marketer – Teste wie ein Angreifer!
Die Aufklärung der Schulungsteilnehmer sollte wie eine Marketingkampagne behandelt werden, um ihre Botschaften zu vermitteln. Die Marketingabteilung kann dazu wertvolle Ideen beitragen, den Mitarbeitern die Relevanz der Kampagne nahezulegen und ihre „Security-Reflexe“ zu trainieren. Dafür müssen die Tests und Simulationen auf echten Angriffsmethoden basieren, um realitätsnahe Situationen zu schaffen, in denen sie lernen, die Warnsignale zu erkennen.

funkschau: Haben Sie einen Tipp, welche Fehler im Training vermieden werden sollten?

Weise: Security Awareness ist ein breites Feld und natürlich erkennt im Idealfall jeder Mitarbeiter alle Szenarien, aber das Programm darf nicht überladen werden. Vielmehr sollten Unternehmen die anfängliche Evaluation nutzen, um Schwerpunkte zu definieren und zu priorisieren, auf welche sie sich zunächst konzentrieren wollen. Anschließend ist es normal, Schulungen mit Simulationen zu begleiten und den Mitarbeitern zwölf bis achtzehn Monate Zeit zu geben, bei kontinuierlichem Ablauf der Maßnahmen, einzelne Verhaltensweisen zu ändern. Erst danach sollte die nächste Einheit begonnen werden. Wenn die Verantwortlichen das berücksichtigen, dem Training und den Trainierten diese Zeit geben, dann werden ihre Erfolge die Organisation langfristig sicherer machen.

Seite 2 von 2

1. Was ein gutes Security-Awareness-Training ausmacht
2. Durchführung eines ausgereiften Security-Awareness-Programms

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Neue Grundlagen für Cybersicherheit
Cybercrime: Ein Geschäft wie jedes andere
Wie werden Privatsphäre und Cybersicherheit berücksichtigt?
Hybride Architektur und Sicherheit
Sicherheit im Real Time Enterprise

Verwandte Artikel

funkschau