Deutsch
kontakTenglish
GRATIS
Whitepaper
Wie man das Sicherheitsverhalten ändert
XDOWNLOAD

02.02.2021

Change-Management-Strategie als Erfolgsfaktor – Teil 2

Beispiel der Umsetzung einer Change-Management-Strategie für eine Phishing Kampagne

Lesen Sie hier den Teil 1 - Change-Management-Strategie als Erfolgsfaktor - Wieso hilft eine Change-Management-Strategie bei Security Awareness Kampagnen und einer Sicherheitsstrategie und auf was ist dabei zu Achten.

Change-Management-Strategie für Security Awareness

Anhand eines fiktiven Beispiels zeigen wir Ihnen, wie Sie eine Change-Management-Strategie für Security Awareness umsetzen können.

Die fiktive Firma «Sicher AG» möchte ihre Sicherheit nebst technischen Massnahmen auch in Bezug auf ihre Mitarbeitenden verbessern und diese auf sicheres Verhalten schulen. Die Firma hat 500 Mitarbeitende und ein kleines Sicherheitsteam, welches sich auch um Security Awareness kümmert.

Da der Stand der Informationssicherheitskultur innerhalb der Firma nicht ganz klar ist, beschliesst die Geschäftsleitung, vorab eine Befragung bei den Mitarbeitenden durchzuführen. Hierfür wird der Security Awareness Radar® von TreeSolution verwendet.

Die Umfrage prüft das Informationssicherheits-ABC: Awareness, Behaviour, Culture. Starke und schwache Punkte in den Bereichen Bewusstsein, Verhalten und Kultur werden gemessen. Die Messung zeigt auf, in welchen Abteilungen das Informationssicherheitsverständnis grösser ist und in welchen mit gezielten Massnahmen nachgebessert werden muss.

  • So zeigt sich, dass auf der Unternehmensebene das Thema der Auffindbarkeit von Sicherheitsrichtlinien und Verfahrensanweisungen angegangen werden sollte.
  • Auf der Ebene der Abteilungen wurde deutlich, dass viele Vorgesetzte das Thema Sicherheit zu wenig vorleben und unterstützen.
  • Bei den Mitarbeitenden ist ersichtlich, dass vor allem die Themen Passwortsicherheit sowie Phishing geschult werden sollten.
  • Ausserdem zeigte die Umfrage, dass für die Personalabteilung zusätzliche Massnahmen in Bezug auf Datenschutz erforderlich sind.

Auf Basis dieses Wissens erarbeitet das Sicherheitsteam nun zusammen mit der Kommunikations- und Personalabteilung eine Security-Awareness-Strategie mit passenden Kampagnen. Die Kampagnen dienen dazu, das Sicherheitsbewusstsein der Mitarbeitenden zu fördern, sie in ihrem sicheren Verhalten zu unterstützen und dadurch auch das Unternehmen sicherer zu machen. Für die Umsetzung gehen sie nach den Prinzipien des Changes-Managements vor.

Folgendes wird beschlossen:

Zentrale Dokumentenablage für Sicherheitsrichtlinien und -verfahrensanweisungen.
Die sicherheitsrelevanten Dokumente waren bisher nicht an einem zentralen Ort in der Dokumentablage gesammelt und wurden daher schlecht gefunden. Durch eine bessere Auffindbarkeit der Dokumente kann sichergestellt werden, dass sicherheitsrelevante Aspekte in Arbeitsprozessen und neuen Projekten von Anfang an besser berücksichtigt werden.

Schulung des Managements bezüglich Sicherheitsthemen.
Ein wichtiger Aspekt bei Sicherheits-Awareness und der damit verbundenen Umsetzung von Informationssicherheit ist das Vorleben derselben. Daher wird der Einbezug des Managements und der Führungspersonen als wichtig erachtet. Wird Sicherheit durch die Führungspersonen gelebt, hat dies einerseits einen Vorbildcharakter und andererseits können Führungspersonen ihre Mitarbeitenden richtig beraten. Somit werden sie auch zu Security-Ambassadoren. Die Schulung findet mittels E-Learning und Workshops statt.

Schulung zu den Themen Phishing und Passwortsicherheit.
Für alle Mitarbeitenden werden E-Learnings zu Phishing und Passwort Sicherheit erstellt. Zusätzlich wird mit einer E-Mail-Kampagne, Postern und Merkblättern auf die Themen aufmerksam gemacht. Im Zusammenhang mit der Passwortsicherheit hat die Firma eine neue Weisung über die Länge und Art und Weise von Passworten beschlossen. Diese wird zeitgleich kommuniziert. Auch wird eine zentrale Kontaktstelle eingerichtet, wo Phishing Mails gemeldet werden sollen.

Datenschutz-Schulung für die Personalabteilung.
Die Personalabteilung wird zusätzlich mit E-Learning und Merkblättern spezifisch auf das Thema Datenschutz geschult, damit die Firma nicht Gefahr läuft, in einen Rechtsstreit verwickelt zu werden. Denn bei der Umfrage wurde festgestellt, dass hier ein Wissensdefizit besteht, besonders in Bezug auf die neue Datenschutzverordnung.

Die Massnahmen der Kampagne sollen über 2 Jahre verteilt werden. Danach soll nochmals mittels einer Umfrage ermittelt werden, wie nachhaltig die Veränderung von den Mitarbeitenden aufgenommen und umgesetzt wurde.

Erstellen des Projektplanes mithilfe des Change-Management-Prozesses

Um es lesbarer und kürzer zu halten, fokussieren wir uns hier nur auf eine Massnahme. Wir schauen uns den Change-Management-Prozess in Bezug auf die Schulung von Phishing an.

Als Vorlage dient das TreeSolution Change-Management Modell des sicheren Verhaltens.

Das Modell zeigt auf, wie die beschlossenen Massnahmen umgesetzt werden sollen, damit die Verankerung des Wissens bei den Mitarbeitenden am effektivsten ist. Je nach Ebene müssen daher die Massnahmen anders aufbereitet werden. Zuerst soll die Aufmerksamkeit auf das Thema durch Information und Sensibilisierung erhöht werden. Durch die richtige Art der Kommunikation wird einerseits die Wahrnehmung und Einstellung gegenüber der Thematik verbessert und andererseits das Wissen und Verständnis zu Phishing geschult. Die Verankerung wird durch die Festigung der Fähigkeiten erreicht.

TreeSolution Model des sicheren Verhaltens
Bild: TreeSolution Model des sicheren Verhaltens

Da Veränderung nicht von heute auf morgen stattfinden kann, läuft die Kampagne über mehrere Monate. Während dieser Zeit werden die Themen jeweils in die drei Schritte des Modells, 1) Aufmerksamkeit, 2) Akzeptanz und 3) Verankerung aufgeteilt, entsprechend aufbereitet und kommuniziert sowie geschult.

Stufe «Aufmerksamkeit»

Um die Aufmerksamkeit der Mitarbeitenden auf das Thema Phishing zu lenken, wird in einem ersten Schritt mit einer Poster-Kampagne informiert. Kurz und knapp wird beschrieben, um was es bei Phishing geht.

In einem zweiten Schritt erfolgt die Sensibilisierung. Es wird eine Informations-E-Mail an alle Mitarbeitenden versendet, mit zusätzlichen Informationen zu Phishing und wie man sich schützen kann.

Stufe «Akzeptanz»

Verstehen/ Wissen: Um die Akzeptanz zum Thema zu erhöhen, muss dieses verstanden werden und das Wissen darüber zusätzlich gestärkt werden. Dies wird mit einem obligatorischen Phishing E-Learning erreicht. Darin werden nochmals Informationen zu Phishing erläutert, um was es geht, wie man Phishing erkennt, wie man sich schützt und wo man verdächtige Mails melden kann. Am Ende des Kurses gibt es ein Quiz, wo das Erlernte geprüft wird.

Überzeugung (positive Wahrnehmung/Einstellung): Einige Wochen nach dem E-Learning, wird in einer Informations-E-Mail erläutert, welche Vorteile das Erkennen von Phishing mit sich bringt. So schützt man beispielsweise nicht nur den Arbeitgeber, sondern auch seine privaten Informationen. Zudem wird erneut die neue Phishing Meldestelle kommuniziert und wie einfach man eine Mail melden kann.

Stufe «Verankerung»

Transfer (Fähigkeiten/Fertigkeiten): Die wichtigste Eigenschaft ist das Erkennen von Phishing Nachrichten. In einer Phishing-Challenge wird geprüft, wie gut die Mitarbeitenden eine solche Mail erkennen können. Dazu wird eine Serie von Phishing E-Mails versendet und es wird überprüft, wie viele Mitarbeitenden auf den Link in der E-Mail klicken und ihre Daten eingeben oder wie viele die E-Mail als Phishing melden. Da das spielerisch aufbereitet ist und die Mails auf die Situation des Empfängers zugeschnitten sind, hat die Massnahme ein hohe Akzeptanz bei den Benutzern.

Bestätigung: Um den Dialog mit den Mitarbeitenden zum Thema zu fördern, werden auch noch Lunch-Break Webinare organisiert, wo das Thema vertieft wird, Fragen beantwortet werden und sich die Interessenten untereinander austauschen können.

Zum Schluss wird nochmals mit einem Merkblatt informiert. Dieses ist als Leitfaden aufgebaut, mit Tipps, auf was zu achten ist.

Möglichen Widerständen begegnen

Vorgängig überlegt sich das Team, welchen Widerständen sie begegnen könnten:

  1. Die Mitarbeitenden haben Mühe, Phishing Mails zu erkennen.
  2. Aus Zeitmangel wird auf eine genauere Untersuchung verdächtiger Mails verzichtet.
  3. Die Mails werden nicht weitergeleitet, da die Meldestelle nicht bekannt ist.
  4. «Mich betrifft das Thema nicht, ich erhalte keine E-Mails».

In einer Risk-Map werden die Widerstände nach Risiko und Eintrittswahrscheinlichkeit festgehalten.

Bild: Risk-Map - potentielle Widerstände in der Phishing Kampagne

Um diesen schon vorgängig zu begegnen, werden bereits Lösungsvorschläge erarbeitet.

  • Phishing erkennen: Nicht nur im Phishing E-Learning sollen Beispiele von Phishing gezeigt werden und wie man diese erkennt, sondern auch in den anderen Kanälen. Es wird beschlossen, ein zusätzliches Poster zu gestalten, wo auf einer E-Mail ersichtlich ist, anhand welcher Parameter man Phishing erkennen kann. Das Poster kann in den Büroräumlichkeiten aufgehängt werden, so dass sich die Mitarbeitenden jederzeit informieren können.
  • Zeitmangel: Damit die Mitarbeitenden nicht viel Zeit aufwenden müssen, eine Mail zu untersuchen, soll sie stattdessen auf einfache und schnelle Art gemeldet werden können. Daher wird beschlossen, im E-Mail Tool einen Melde-Button einzuführen.
  • Meldestelle unbekannt: Der Melde-Button in der E-Mail-Oberfläche wird im Merkblatt, im Informations-E-Mail und im E-Learning vorgestellt. Zudem soll eine Vorab-Information an die Vorgesetzten gehen, damit diese bereits Bescheid wissen.
  • «Mich betrifft es nicht»: Nicht alle Mitarbeitenden haben gleich viel mit E-Mails zu tun. Damit auch solche die Wichtigkeit der Thematik verstehen, die in der Regel nicht über E-Mail kommunizieren müssen, soll aufgezeigt werden, dass es einerseits auch im Privaten gut ist, solche Mails zu erkennen und man andererseits nicht nur via E-Mail, sondern auch Textnachrichten, Telefonate und Social Media Posts Phishing erhalten kann. Zudem soll aufgezeigt werden, welchen Schaden Phishing in der Firma aber auch im Privaten anrichten kann.
Bild: Phishing E-Mail erkennen

Projektplan und Kommunikation

In einem Projektplan werden alle Ziele, Meilensteine und Teilprojekte festgehalten. Ebenso enthält der Projektplan die einzelnen Zielgruppen der Massnahmen, die Zeitpläne, die Vorteile der Veränderungen sowie Details zu den Massnahmen. Der Projektplan steht auf dem Intranet allen Mitarbeitenden zur Verfügung. Während des Projekts wird laufend über den Status, Erfolge und Herausforderungen kommuniziert. Für Fragen und Anliegen wird der IT Service Desk speziell geschult.

Zeitplan Phishing Kampagne
Bild: Zeitplan Phishing Kampagne

Sicherheitsambassadoren

Um die Thematik des Phishings in den Teams und Abteilungen gut zu verankern und die Mitarbeitenden zu unterstützen, werden Sicherheitsambassadoren gesucht, welche die Sicherheitsabteilung bei der Kommunikation und Hilfestellung unterstützen. Diese können die Mitarbeitenden in ihren Bereichen bei Fragen unterstützen und selbstständig Information-Points einrichten, wo die Leute z. B. in der Pause vorbeikommen können. Zudem können Mitarbeitende bei den Ambassadoren Feedback geben und ihre Fragen und Unsicherheiten kommunizieren.

Erfolgreiche Security Awareness dank implementierter Change-Management-Strategie

Wir empfehlen, bei der Planung von Sicherheitsprojekten und Security Awareness Massnahmen nach den in dieser Blogserie aufgeführten Prinzipien des Change-Managements vorzugehen. Dadurch kann man vorab bereits viele Hürden und Herausforderungen erkennen und Lösungen dazu erarbeiten. Durch die Zusammenarbeit mit den Betroffenen wird die Akzeptanz für die Neuerungen erhöht und mögliche Befürchtungen können abgeholt werden. Eine gut erarbeitete Change-Management-Strategie unterstützt alle Beteiligten im Prozess der Veränderung, bis neue Tools, Arbeitsweisen oder Prozesse verankert sind und gelebt werden.

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.