18.08.2022

TreeSolution: Der Experte, wenn es um die Schulung von Mitarbeitenden in IT-Sicherheit geht

Security Awareness Schriftzug. Mann und Frau im Gespräch.
Das Ratgeberstudio – Experten geben Auskunft

Besondere Gäste im Interview
Mit Birgit Schneider


Es gibt eine Reihe von Anbietern auf dem Markt, die Mitarbeitende in Sachen IT-Sicherheit schulen. Einen davon haben wir heute in unser Ratgeberstudio eingeladen: Dr. Thomas Schlienger, Security Awareness Pionier und Gründer der Firma TreeSolution Security Awareness AG. 

Er erzählt uns, was sein Unternehmen genau macht, wie sie sich von anderen Anbietern unterscheiden und wieso besonders er und sein Unternehmen die Experten sind, wenn es um die nachhaltige Schulung von Mitarbeitenden in Sachen Sicherheit geht.

Herr Schlienger, wir freuen uns, dass Sie heute unser Gast sind!

Birgit Schneider: Bitte stellen Sie sich kurz vor.  

Thomas Schlienger: Mein Name ist Thomas Schlienger. Ich bin Gründer und Inhaber der TreeSolution Security Awareness AG, der Experte für ganzheitliche Security Awareness-Lösungen.

Seit dem Jahr 2001 beschäftige ich mich mit diesem Thema, zuerst in der Forschung und seit 2005 auch mit meinem Unternehmen. Ich war damals einer der Ersten, die sich mit diesem Thema auseinandergesetzt haben.

Heute unterstütze ich die Sicherheitsbeauftragten von Unternehmen bei der Sensibilisierung und Schulung ihrer Mitarbeitenden sowie bei der Verankerung sicheren Verhaltens in der Unternehmenskultur.

Als Experte für IT-Sicherheit in Unternehmen wird man ja nicht geboren. Wie sind Sie darauf gekommen, sich mit diesem Thema zu beschäftigen?

Meine Begeisterung für Informationssicherheit zeigte sich bereits während meines Wirtschaftsinformatik-Studiums. Nach erfolgreichem Abschluss und kurzer Tätigkeit in der Wirtschaft, zog es mich zurück an die Universität, um eine Doktorarbeit zu schreiben.

Während meiner Forschungszeit habe ich rasch erkannt, dass der Faktor Mensch für die Informationssicherheit kritisch werden wird. Deshalb widmete ich mich der Forschungsfrage, wie man sicheres Verhalten erfolgreich in der Unternehmenskultur verankern und auch messen kann.

Damals war ich einer der ersten Forscher weltweit, die an diesem Thema arbeiteten.

Herr Schlienger, was ist für Sie das Besondere an Ihrer Tätigkeit? Was ist es, was Sie an Ihrem Beruf so lieben oder anders gefragt: Wofür brennen Sie?

Die Schnittstelle zwischen Menschen und Technik finde ich unglaublich faszinierend. Auch wenn die meisten Unternehmen ähnliche Probleme haben, jedes Unternehmen tickt anders.

Wenn wir wirklich erfolgreich sein wollen, dann reicht es nicht, eine einfache Schulung durchzuführen. Wir müssen uns mit den Eigenheiten des Unternehmens auseinandersetzen, die Kultur verstehen und wo nötig anpassen.

Erfolgreiche Security Awareness ist eigentlich ein Changemanagement-Prozess. Dieses System der Sicherheitskultur zu verstehen und zusammen mit dem Kunden zu formen, ist einfach grossartig.

Auf dem Markt tummeln sich ja nun eine ganze Menge an Beratern und Anbietern für die Schulung von Mitarbeitenden in Sachen IT-Sicherheit. Was hebt Sie von all diesen Mitbewerbern ab?

Um menschliches Verhalten zu beeinflussen und sicherer zu machen, müssen nicht nur das Wissen oder die Motivation der Mitarbeitenden positiv verändert werden, sondern wir müssen das ganze „System Sicherheitskultur“ anschauen, in dem der Mensch arbeitet.

Das beinhaltet Fragen wie z. B. die internen Prozesse und Strukturen, wie wir mit Problemen umgehen, wie wir lernen oder wie das Führungsverhalten ist. Diese komplexen Zusammenhänge verstehen die wenigsten Anbieter.

Mit dem Security Awareness Radar® – unserer Lösung für die Messung und Förderung der Informationssicherheitskultur - setzen wir bei diesem Thema hingegen völlig neue Massstäbe und sind heute auch immer noch das einzige Unternehmen auf diesem revolutionären Gebiet.

Doch nicht nur in der Analyse sind wir sehr stark, sondern auch, wenn es darum geht, das Verhalten zu beeinflussen. Mit unseren Lösungen können wir als Spezialist für Security Awareness nicht nur Einzellösungen, sondern ein Rundum-Konzept mit nachhaltigem Erfolg anbieten.

Was sind Ihre besonderen Erfahrungen in Ihrer Tätigkeit?

Die Presse ist zurzeit voll von Geschichten über Hackerangriffe. Die meisten dieser Angriffe sind nur erfolgreich, weil sie einen Mitarbeitenden austricksen konnten.

Hier aber mit dem Finger auf die Mitarbeitenden zu zeigen und „Angstmacherei“ zu betreiben, ist jedoch kontraproduktiv.

Stattdessen sollten wir die Mitarbeitenden befähigen, Gefahren zu erkennen, und ihre Zuversicht steigern, dass sie richtig reagieren können.

Vielen Unternehmen ist jedoch nicht klar, dass das ein langwieriger Prozess ist. Einmal eine kleine Aktion alle 1-2 Jahre durchzuführen reicht bei Weitem nicht.

Erfolgreich werden nur die Unternehmen sein, die das Thema ernst nehmen, langfristig planen und regelmässige Massnahmen umsetzen.

Herr Schlienger, Sie gelten als ausgewiesener Experte auf Ihrem Gebiet. Da haben Sie doch sicher schon einiges erlebt: Was war das Kurioseste bisher?

Wir bekamen eines Tages den Auftrag aus der Geschäftsleitung eines Unternehmens, die ihre Mitarbeitenden auf IT-Risiken sensibilisieren und schulen wollten.

Bevor wir jedoch an die Umsetzung dieser Massnahmen gingen, haben wir zuerst die Sicherheitskultur analysiert und Folgendes festgestellt: die Mitarbeitenden hatten zwar klare Wissenslücken, waren aber hoch motiviert, dies zu ändern.

Das Management hingegen hatte noch grössere Wissenslücken und sah gar keinen Sinn darin, dass sie etwas an sich ändern sollten.

Das ist besonders kurios, wenn man bedenkt, dass ja gerade das Management die bevorzugten Angriffsziele sind. Das war ihnen aber nicht bewusst.

Daher mussten wir zuerst das Management sensibilisieren und schulen.

Was sind aktuelle Themen, die gerade heute für Ihre Kunden besonders wichtig oder interessant sind?

Oft fehlt den Kunden schlichtweg die nötige Zeit, aber auch das nötige Wissen, um sich mit Security Awareness richtig auseinanderzusetzen.

Dadurch werden meist nur punktuell Massnahmen umgesetzt, wenn der Druck gerade am grössten ist.

Diese Massnahmen folgen aber keinem langfristigen Plan und beinhalten auch keine Ziele zur Verhaltensveränderung. Ich finde es immer schade, wenn ich so etwas beobachte.

Wir haben deshalb ein Rundum-sorglos-Paket entwickelt: den Security Awareness Club.

Das ist ein Service, bei dem man sich keine Gedanken mehr machen muss, was man für die kommenden Jahre brauchen könnte – es ist alles dabei. Die Mitgliedschaft beinhaltet Messungen mit dem Security Awareness Radar®, alle unsere Schulungs-Module und weiteres Awareness-Material.

So kann man problemlos über mehrere Jahre hinweg Massnahmen planen und umsetzen. Durch die kontinuierlichen Aktivitäten werden auch wirklich Erfolge erzielt und die Informationssicherheit von Grund auf und für lange Zeit gestärkt.

Welche besonderen Vorteile oder auch Nutzen haben Ihre Kunden aus Ihrer Arbeit?

In den letzten 15 Jahren haben wir Hunderte von Projekten und Unternehmen bei der Verbesserung der Sicherheitskultur und Security Awareness begleitet.

Mit unseren E-Learning-Kursen haben wir bereits über eine halbe Million Anwender geschult. Wir sind stolz auf diese Leistung und natürlich auch darauf, dass wir von unseren Kunden durchwegs positives Feedback bekommen.

Doch bis wir überhaupt so weit kommen, muss manchmal viel Überzeugungsarbeit geleistet werden.

Wir arbeiten z. B. gerade an einem Projekt mit einem deutschen Unternehmen, bei dem wir dank unserer Messung aufzeigen konnten, dass es so nicht weitergehen kann. Der Sicherheitsbeauftragte hat so die nötigen Argumente in die Hand bekommen, um die Geschäftsleitung zu überzeugen, endlich eine sinnvolle und effektive Awareness-Strategie umzusetzen.

So etwas ist natürlich immer ein grosser Erfolg für uns, unseren Auftraggeber und natürlich auch für das Unternehmen, das wir so ein Stück sicherer machen.

Vielen Dank für das wirklich interessante Gespräch. Wenn noch Fragen offen sind, wie können Sie kontaktiert werden?

Auf unserer Webseite www.treesolution.com finden Sie oben rechts das Kontakt-Menü mit verschiedenen Kontaktmöglichkeiten.

Es kann das Kontaktformular ausgefüllt werden, eine E-Mail geschrieben werden oder ein Termin für ein Beratungsgespräch vereinbart werden.


Soll es schnell gehen? Vereinbaren Sie gleich hier einen Termin für ein kostenloses Beratungsgespräch.

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.