Lesen Sie hier den Teil 1 - Change Management-Strategie als Erfolgsfaktor - Wieso hilft eine Change Management-Strategie bei Security Awareness-Kampagnen und einer Sicherheitsstrategie und auf was ist dabei zu achten.
Anhand eines fiktiven Beispiels zeigen wir Ihnen, wie Sie eine Change Management-Strategie für Security Awareness umsetzen können.
Das fiktive Unternehmen «Sicher AG» möchte ihre Sicherheit nebst technischen Massnahmen auch in Bezug auf ihre Mitarbeitenden verbessern und diese auf sicheres Verhalten schulen. Das Unternehmen hat 500 Mitarbeitende und ein kleines Sicherheitsteam, welches sich auch um Security Awareness kümmert.
Da der Stand der Informationssicherheitskultur innerhalb des Unternehmens nicht ganz klar ist, beschliesst die Geschäftsleitung, vorab eine Befragung bei den Mitarbeitenden durchzuführen. Hierfür wird der Security Awareness Radar® von TreeSolution verwendet.
Die Umfrage prüft das Informationssicherheits-ABC: Awareness, Behaviour, Culture. Starke und schwache Punkte in den Bereichen Bewusstsein, Verhalten und Kultur werden gemessen. Die Messung zeigt auf, in welchen Abteilungen das Informationssicherheitsverständnis grösser ist und in welchen mit gezielten Massnahmen nachgebessert werden muss.
Auf Basis dieses Wissens erarbeitet das Sicherheitsteam zusammen mit der Kommunikations- und Personalabteilung eine Security Awareness-Strategie mit passenden Kampagnen. Die Kampagnen dienen dazu, das Sicherheitsbewusstsein der Mitarbeitenden zu fördern, sie in ihrem sicheren Verhalten zu unterstützen und dadurch auch das Unternehmen sicherer zu machen. Für die Umsetzung gehen sie nach den Prinzipien des Change Managements vor.
• Zentrale Dokumentenablage für Sicherheitsrichtlinien und -verfahrensanweisungen
Die sicherheitsrelevanten Dokumente waren bisher nicht an einem zentralen Ort in der Dokumentablage gesammelt und waren daher schlecht auffindbar. Durch eine bessere Auffindbarkeit der Dokumente kann sichergestellt werden, dass sicherheitsrelevante Aspekte in Arbeitsprozessen und neuen Projekten von Anfang an besser berücksichtigt werden.
• Schulung des Managements bezüglich Sicherheitsthemen
Ein wichtiger Aspekt bei Security Awareness und der damit verbundenen Umsetzung von Informationssicherheit ist das Vorleben derselben. Daher wird der Einbezug des Managements und der Führungspersonen als wichtig erachtet. Wird Sicherheit durch die Führungspersonen gelebt, hat dies einerseits einen Vorbildcharakter und andererseits können Führungspersonen ihre Mitarbeitenden richtig beraten. Somit werden sie auch zu Security-Ambassadoren. Die Schulung findet mittels E-Learning und Workshops statt.
• Schulung zu den Themen Phishing und Passwortsicherheit
Für alle Mitarbeitenden werden E-Learnings zu Phishing und Passwortsicherheit erstellt. Zusätzlich wird mit einer E-Mail-Kampagne, Postern und Merkblättern auf die Themen aufmerksam gemacht. Im Zusammenhang mit der Passwortsicherheit hat das Unternehmen eine neue Weisung über die Länge und Art und Weise von Passwörtern beschlossen. Diese wird zeitgleich kommuniziert. Auch wird eine zentrale Kontaktstelle eingerichtet, wo Phishing-E-Mails gemeldet werden sollen.
• Datenschutz-Schulung für die Personalabteilung
Die Personalabteilung wird zusätzlich mit E-Learning und Merkblättern spezifisch auf das Thema Datenschutz geschult, damit das Unternehmen nicht Gefahr läuft, in einen Rechtsstreit verwickelt zu werden. Denn bei der Umfrage wurde festgestellt, dass hier ein Wissensdefizit besteht, besonders in Bezug auf die neue Datenschutzverordnung.
Die Massnahmen der Kampagne sollen über 2 Jahre verteilt werden. Danach soll nochmals mittels einer Umfrage ermittelt werden, wie nachhaltig die Veränderung von den Mitarbeitenden aufgenommen und umgesetzt wurde.
Um es lesbarer und kürzer zu halten, fokussieren wir uns hier nur auf eine Massnahme. Wir schauen uns den Change Management-Prozess in Bezug auf die Schulung von Phishing an.
Als Vorlage dient das TreeSolution Change Management-Modell des sicheren Verhaltens.
Das Modell zeigt auf, wie die beschlossenen Massnahmen umgesetzt werden sollen, damit die Verankerung des Wissens bei den Mitarbeitenden am effektivsten ist. Je nach Ebene müssen daher die Massnahmen anders aufbereitet werden. Zuerst soll die Aufmerksamkeit auf das Thema durch Information und Sensibilisierung erhöht werden. Durch die richtige Art der Kommunikation wird einerseits die Wahrnehmung und Einstellung gegenüber der Thematik verbessert und andererseits das Wissen und Verständnis zu Phishing geschult. Die Verankerung wird durch die Festigung der Fähigkeiten erreicht.
Da Veränderung nicht von heute auf morgen stattfinden kann, läuft die Kampagne über mehrere Monate. Während dieser Zeit werden die Themen jeweils in die drei Schritte des Modells, 1) Aufmerksamkeit, 2) Akzeptanz und 3) Verankerung aufgeteilt, entsprechend aufbereitet und kommuniziert sowie geschult.
Um die Aufmerksamkeit der Mitarbeitenden auf das Thema Phishing zu lenken, wird in einem ersten Schritt mit einer Poster-Kampagne informiert. Kurz und knapp wird beschrieben, um was es bei Phishing geht.
In einem zweiten Schritt erfolgt die Sensibilisierung. Es wird eine Informations-E-Mail an alle Mitarbeitenden versendet, mit zusätzlichen Informationen zu Phishing und wie man sich schützen kann.
Um die Akzeptanz zum Thema zu erhöhen, muss dieses verstanden werden und das Wissen darüber zusätzlich gestärkt werden. Dies wird mit einem obligatorischen Phishing-E-Learning erreicht. Darin werden nochmals Informationen zu Phishing erläutert, um was es geht, wie man Phishing erkennt, wie man sich schützt und wo man verdächtige E-Mails melden kann. Am Ende des E-Learnings gibt es ein Quiz, wo das Erlernte geprüft wird.
Überzeugung (positive Wahrnehmung/Einstellung): Einige Wochen nach dem E-Learning, wird in einer Informations-E-Mail erläutert, welche Vorteile das Erkennen von Phishing mit sich bringt. So schützt man beispielsweise nicht nur den Arbeitgeber, sondern auch seine privaten Informationen. Zudem wird erneut die neue Meldestelle für Phishing kommuniziert und wie einfach man eine E-Mail melden kann.
Transfer (Fähigkeiten/Fertigkeiten): Die wichtigste Eigenschaft ist das Erkennen von Phishing-E-Mails. In einer Phishing-Challenge wird geprüft, wie gut die Mitarbeitenden eine solche E-Mail erkennen können. Dazu wird eine Serie von Phishing-E-Mails versendet und es wird überprüft, wie viele Mitarbeitende auf den Link in der E-Mail klicken und ihre Daten eingeben oder wie viele die E-Mail als Phishing melden. Da dies spielerisch aufbereitet ist und die E-Mails auf die Situation des Empfängers zugeschnitten sind, hat die Massnahme eine hohe Akzeptanz bei den Benutzern.
Bestätigung: Um den Dialog mit den Mitarbeitenden zum Thema zu fördern, werden zusätzlich Lunch Break-Webinare organisiert, bei denen das Thema vertieft wird, Fragen beantwortet werden und sich die Interessenten untereinander austauschen können.
Zum Schluss wird nochmals mit einem Merkblatt informiert. Dieses ist als Leitfaden aufgebaut, mit Tipps, auf was zu achten ist.
Vorgängig überlegt sich das Team, welchen Widerständen sie begegnen könnten:
In einer Risk-Map werden die Widerstände nach Risiko und Eintrittswahrscheinlichkeit festgehalten.
Um diesen schon vorgängig zu begegnen, werden bereits Lösungsvorschläge erarbeitet.
In einem Projektplan werden alle Ziele, Meilensteine und Teilprojekte festgehalten. Ebenso enthält der Projektplan die einzelnen Zielgruppen der Massnahmen, die Zeitpläne, die Vorteile der Veränderungen sowie Details zu den Massnahmen. Der Projektplan steht auf dem Intranet allen Mitarbeitenden zur Verfügung. Während des Projekts wird laufend über den Status, Erfolge und Herausforderungen kommuniziert. Für Fragen und Anliegen wird der IT Service Desk speziell geschult.
Um die Thematik des Phishings in den Teams und Abteilungen gut zu verankern und die Mitarbeitenden zu unterstützen, werden Security-Ambassadoren gesucht, welche die Sicherheitsabteilung bei der Kommunikation und Hilfestellung unterstützen. Diese können die Mitarbeitenden in ihren Bereichen bei Fragen unterstützen und selbstständig Information-Points einrichten, wo die Leute z. B. in der Pause vorbeikommen können. Zudem können Mitarbeitende bei den Ambassadoren Feedback geben und ihre Fragen und Unsicherheiten kommunizieren.
Wir empfehlen, bei der Planung von Sicherheitsprojekten und Security Awareness-Massnahmen nach den in dieser Blogserie aufgeführten Prinzipien des Change Managements vorzugehen. Dadurch kann man vorab bereits viele Hürden und Herausforderungen erkennen und Lösungen dazu erarbeiten. Durch die Zusammenarbeit mit den Betroffenen wird die Akzeptanz für die Neuerungen erhöht und mögliche Befürchtungen können abgeholt werden. Eine gut erarbeitete Change Management-Strategie unterstützt alle Beteiligten im Prozess der Veränderung, bis neue Tools, Arbeitsweisen oder Prozesse verankert sind und gelebt werden.
Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.