02.02.2021

Change Management-Strategie als Erfolgsfaktor – Teil 2

Beispiel der Umsetzung einer Change Management-Strategie für eine Phishing-Kampagne

Lesen Sie hier den Teil 1 - Change Management-Strategie als Erfolgsfaktor - Wieso hilft eine Change Management-Strategie bei Security Awareness-Kampagnen und einer Sicherheitsstrategie und auf was ist dabei zu achten.

Change Management-Strategie für Security Awareness

Anhand eines fiktiven Beispiels zeigen wir Ihnen, wie Sie eine Change Management-Strategie für Security Awareness umsetzen können.

Das fiktive Unternehmen «Sicher AG» möchte ihre Sicherheit nebst technischen Massnahmen auch in Bezug auf ihre Mitarbeitenden verbessern und diese auf sicheres Verhalten schulen. Das Unternehmen hat 500 Mitarbeitende und ein kleines Sicherheitsteam, welches sich auch um Security Awareness kümmert.

Da der Stand der Informationssicherheitskultur innerhalb des Unternehmens nicht ganz klar ist, beschliesst die Geschäftsleitung, vorab eine Befragung bei den Mitarbeitenden durchzuführen. Hierfür wird der Security Awareness Radar® von TreeSolution verwendet.

Die Umfrage prüft das Informationssicherheits-ABC: Awareness, Behaviour, Culture. Starke und schwache Punkte in den Bereichen Bewusstsein, Verhalten und Kultur werden gemessen. Die Messung zeigt auf, in welchen Abteilungen das Informationssicherheitsverständnis grösser ist und in welchen mit gezielten Massnahmen nachgebessert werden muss.

  • So zeigt sich, dass auf der Unternehmensebene das Thema der Auffindbarkeit von Sicherheitsrichtlinien und Verfahrensanweisungen angegangen werden sollte.
  • Auf der Ebene der Abteilungen wurde deutlich, dass viele Vorgesetzte das Thema Sicherheit zu wenig vorleben und unterstützen.
  • Bei den Mitarbeitenden ist ersichtlich, dass vor allem die Themen Passwortsicherheit sowie Phishing geschult werden sollten.
  • Ausserdem zeigte die Umfrage, dass für die Personalabteilung zusätzliche Massnahmen in Bezug auf Datenschutz erforderlich sind.

Auf Basis dieses Wissens erarbeitet das Sicherheitsteam zusammen mit der Kommunikations- und Personalabteilung eine Security Awareness-Strategie mit passenden Kampagnen. Die Kampagnen dienen dazu, das Sicherheitsbewusstsein der Mitarbeitenden zu fördern, sie in ihrem sicheren Verhalten zu unterstützen und dadurch auch das Unternehmen sicherer zu machen. Für die Umsetzung gehen sie nach den Prinzipien des Change Managements vor.

Folgendes wird beschlossen:

Zentrale Dokumentenablage für Sicherheitsrichtlinien und -verfahrensanweisungen
Die sicherheitsrelevanten Dokumente waren bisher nicht an einem zentralen Ort in der Dokumentablage gesammelt und waren daher schlecht auffindbar. Durch eine bessere Auffindbarkeit der Dokumente kann sichergestellt werden, dass sicherheitsrelevante Aspekte in Arbeitsprozessen und neuen Projekten von Anfang an besser berücksichtigt werden.

Schulung des Managements bezüglich Sicherheitsthemen
Ein wichtiger Aspekt bei Security Awareness und der damit verbundenen Umsetzung von Informationssicherheit ist das Vorleben derselben. Daher wird der Einbezug des Managements und der Führungspersonen als wichtig erachtet. Wird Sicherheit durch die Führungspersonen gelebt, hat dies einerseits einen Vorbildcharakter und andererseits können Führungspersonen ihre Mitarbeitenden richtig beraten. Somit werden sie auch zu Security-Ambassadoren. Die Schulung findet mittels E-Learning und Workshops statt.

Schulung zu den Themen Phishing und Passwortsicherheit
Für alle Mitarbeitenden werden E-Learnings zu Phishing und Passwortsicherheit erstellt. Zusätzlich wird mit einer E-Mail-Kampagne, Postern und Merkblättern auf die Themen aufmerksam gemacht. Im Zusammenhang mit der Passwortsicherheit hat das Unternehmen eine neue Weisung über die Länge und Art und Weise von Passwörtern beschlossen. Diese wird zeitgleich kommuniziert. Auch wird eine zentrale Kontaktstelle eingerichtet, wo Phishing-E-Mails gemeldet werden sollen.

Datenschutz-Schulung für die Personalabteilung
Die Personalabteilung wird zusätzlich mit E-Learning und Merkblättern spezifisch auf das Thema Datenschutz geschult, damit das Unternehmen nicht Gefahr läuft, in einen Rechtsstreit verwickelt zu werden. Denn bei der Umfrage wurde festgestellt, dass hier ein Wissensdefizit besteht, besonders in Bezug auf die neue Datenschutzverordnung.

Die Massnahmen der Kampagne sollen über 2 Jahre verteilt werden. Danach soll nochmals mittels einer Umfrage ermittelt werden, wie nachhaltig die Veränderung von den Mitarbeitenden aufgenommen und umgesetzt wurde.

Erstellen des Projektplanes mithilfe des Change Management-Prozesses

Um es lesbarer und kürzer zu halten, fokussieren wir uns hier nur auf eine Massnahme. Wir schauen uns den Change Management-Prozess in Bezug auf die Schulung von Phishing an.

Als Vorlage dient das TreeSolution Change Management-Modell des sicheren Verhaltens.

Das Modell zeigt auf, wie die beschlossenen Massnahmen umgesetzt werden sollen, damit die Verankerung des Wissens bei den Mitarbeitenden am effektivsten ist. Je nach Ebene müssen daher die Massnahmen anders aufbereitet werden. Zuerst soll die Aufmerksamkeit auf das Thema durch Information und Sensibilisierung erhöht werden. Durch die richtige Art der Kommunikation wird einerseits die Wahrnehmung und Einstellung gegenüber der Thematik verbessert und andererseits das Wissen und Verständnis zu Phishing geschult. Die Verankerung wird durch die Festigung der Fähigkeiten erreicht.

TreeSolution Model des sicheren Verhaltens
Bild: TreeSolution Model des sicheren Verhaltens

Da Veränderung nicht von heute auf morgen stattfinden kann, läuft die Kampagne über mehrere Monate. Während dieser Zeit werden die Themen jeweils in die drei Schritte des Modells, 1) Aufmerksamkeit, 2) Akzeptanz und 3) Verankerung aufgeteilt, entsprechend aufbereitet und kommuniziert sowie geschult.

Stufe «Aufmerksamkeit»

Um die Aufmerksamkeit der Mitarbeitenden auf das Thema Phishing zu lenken, wird in einem ersten Schritt mit einer Poster-Kampagne informiert. Kurz und knapp wird beschrieben, um was es bei Phishing geht.

In einem zweiten Schritt erfolgt die Sensibilisierung. Es wird eine Informations-E-Mail an alle Mitarbeitenden versendet, mit zusätzlichen Informationen zu Phishing und wie man sich schützen kann.

Stufe «Akzeptanz»

Um die Akzeptanz zum Thema zu erhöhen, muss dieses verstanden werden und das Wissen darüber zusätzlich gestärkt werden. Dies wird mit einem obligatorischen Phishing-E-Learning erreicht. Darin werden nochmals Informationen zu Phishing erläutert, um was es geht, wie man Phishing erkennt, wie man sich schützt und wo man verdächtige E-Mails melden kann. Am Ende des E-Learnings gibt es ein Quiz, wo das Erlernte geprüft wird.

Überzeugung (positive Wahrnehmung/Einstellung): Einige Wochen nach dem E-Learning, wird in einer Informations-E-Mail erläutert, welche Vorteile das Erkennen von Phishing mit sich bringt. So schützt man beispielsweise nicht nur den Arbeitgeber, sondern auch seine privaten Informationen. Zudem wird erneut die neue Meldestelle für Phishing kommuniziert und wie einfach man eine E-Mail melden kann.

Stufe «Verankerung»

Transfer (Fähigkeiten/Fertigkeiten): Die wichtigste Eigenschaft ist das Erkennen von Phishing-E-Mails. In einer Phishing-Challenge wird geprüft, wie gut die Mitarbeitenden eine solche E-Mail erkennen können. Dazu wird eine Serie von Phishing-E-Mails versendet und es wird überprüft, wie viele Mitarbeitende auf den Link in der E-Mail klicken und ihre Daten eingeben oder wie viele die E-Mail als Phishing melden. Da dies spielerisch aufbereitet ist und die E-Mails auf die Situation des Empfängers zugeschnitten sind, hat die Massnahme eine hohe Akzeptanz bei den Benutzern.

Bestätigung: Um den Dialog mit den Mitarbeitenden zum Thema zu fördern, werden zusätzlich Lunch Break-Webinare organisiert, bei denen das Thema vertieft wird, Fragen beantwortet werden und sich die Interessenten untereinander austauschen können.

Zum Schluss wird nochmals mit einem Merkblatt informiert. Dieses ist als Leitfaden aufgebaut, mit Tipps, auf was zu achten ist.

Möglichen Widerständen begegnen

Vorgängig überlegt sich das Team, welchen Widerständen sie begegnen könnten:

  1. Die Mitarbeitenden haben Mühe, Phishing-E-Mails zu erkennen.
  2. Aus Zeitmangel wird auf eine genauere Untersuchung verdächtiger E-Mails verzichtet.
  3. Die E-Mails werden nicht weitergeleitet, da die Meldestelle nicht bekannt ist.
  4. «Mich betrifft das Thema nicht, ich erhalte keine E-Mails».

In einer Risk-Map werden die Widerstände nach Risiko und Eintrittswahrscheinlichkeit festgehalten.

Bild: Risk-Map - potenzielle Widerstände in der Phishing-Kampagne

Um diesen schon vorgängig zu begegnen, werden bereits Lösungsvorschläge erarbeitet.

  • Phishing erkennen: Nicht nur im Phishing-E-Learning sollen Beispiele von Phishing gezeigt werden und wie man diese erkennt, sondern auch in den anderen Kanälen. Es wird beschlossen, ein zusätzliches Poster zu gestalten, wo auf einer E-Mail ersichtlich ist, anhand welcher Parameter man Phishing erkennen kann. Das Poster kann in den Büroräumlichkeiten aufgehängt werden, sodass sich die Mitarbeitenden jederzeit informieren können.
  • Zeitmangel: Damit die Mitarbeitenden nicht viel Zeit aufwenden müssen, eine E-Mail zu untersuchen, soll sie stattdessen auf einfache und schnelle Art gemeldet werden können. Daher wird beschlossen, im E-Mail-Tool einen Melde-Button einzuführen.
  • Meldestelle unbekannt: Der Melde-Button in der E-Mail-Oberfläche wird im Merkblatt, im Informations-E-Mail und im E-Learning vorgestellt. Zudem soll eine Vorab-Information an die Vorgesetzten gehen, damit diese bereits Bescheid wissen.
  • «Mich betrifft es nicht»: Nicht alle Mitarbeitenden haben gleich viel mit E-Mails zu tun. Damit auch solche die Wichtigkeit der Thematik verstehen, die in der Regel nicht über E-Mail kommunizieren müssen, soll aufgezeigt werden, dass es einerseits auch im Privaten gut ist, solche E-Mails zu erkennen und man andererseits nicht nur via E-Mail, sondern auch Textnachrichten, Telefonate und Social Media-Beiträgen Phishing erhalten kann. Zudem soll aufgezeigt werden, welchen Schaden Phishing im Unternehmen aber auch im Privaten anrichten kann.
Bild: Phishing-E-Mail erkennen


Projektplan und Kommunikation

In einem Projektplan werden alle Ziele, Meilensteine und Teilprojekte festgehalten. Ebenso enthält der Projektplan die einzelnen Zielgruppen der Massnahmen, die Zeitpläne, die Vorteile der Veränderungen sowie Details zu den Massnahmen. Der Projektplan steht auf dem Intranet allen Mitarbeitenden zur Verfügung. Während des Projekts wird laufend über den Status, Erfolge und Herausforderungen kommuniziert. Für Fragen und Anliegen wird der IT Service Desk speziell geschult.

Zeitplan Phishing Kampagne
Bild: Zeitplan Phishing-Kampagne


Security-Ambassadoren

Um die Thematik des Phishings in den Teams und Abteilungen gut zu verankern und die Mitarbeitenden zu unterstützen, werden Security-Ambassadoren gesucht, welche die Sicherheitsabteilung bei der Kommunikation und Hilfestellung unterstützen. Diese können die Mitarbeitenden in ihren Bereichen bei Fragen unterstützen und selbstständig Information-Points einrichten, wo die Leute z. B. in der Pause vorbeikommen können. Zudem können Mitarbeitende bei den Ambassadoren Feedback geben und ihre Fragen und Unsicherheiten kommunizieren.

Erfolgreiche Security Awareness dank implementierter Change Management-Strategie

Wir empfehlen, bei der Planung von Sicherheitsprojekten und Security Awareness-Massnahmen nach den in dieser Blogserie aufgeführten Prinzipien des Change Managements vorzugehen. Dadurch kann man vorab bereits viele Hürden und Herausforderungen erkennen und Lösungen dazu erarbeiten. Durch die Zusammenarbeit mit den Betroffenen wird die Akzeptanz für die Neuerungen erhöht und mögliche Befürchtungen können abgeholt werden. Eine gut erarbeitete Change Management-Strategie unterstützt alle Beteiligten im Prozess der Veränderung, bis neue Tools, Arbeitsweisen oder Prozesse verankert sind und gelebt werden.

ICH MÖCHTE DAS KOSTENLOSE MERKBLATT HERUNTERLADEN

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.
label
Blog Artikel
label
Change Management

Newsletter

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.

RSS Feed

Abonnieren Sie unseren RSS Feed

Kategorien

Awareness Kampagne
Awareness Messung
Awareness Strategie und Konzept
E-Learnings/Animationsfilme
Informationssicherheit
Security Awareness DE
TreeSolution News
Trends aus Praxis und Forschung
Veranstaltungen

Suchen

Durchsuchen Sie unsere Internetseite:

Beliebte Beiträge

Gemeinsam erfolgreich zum Ziel! 7 Tipps für CISOs und Sicherheitsbeauftragte für eine erfolgreiche Security Awareness im Unternehmen
«Falsches Spiel» Informationssicherheit als Hörbuch.
Informationssicherheit und Umweltschutz? Geht das zusammen?
Mehr Erfolg durch gamifiziertes Lernen
TreeSolution: Der Experte, wenn es um die Schulung von Mitarbeitenden in IT-Sicherheit geht
Phishing – die Gefahr lauert im Netz

Verwandte Artikel

11.10.2020
category
Awareness Strategie und Konzept
label
Blog Artikel
label
Change Management

Change Management-Strategie als Erfolgsfaktor - Teil 1

Eine Change-Management-Strategie hilft bei der Planung und Umsetzung von Security Awareness Kampagnen und Projekten, sowie bei der Erstellung einer Security Awareness Strategie. Wir erklären, um was es dabei geht und was Sie dabei nicht vergessen sollten.

...

Ganzer Artikel

06.11.2019
category
Awareness Strategie und Konzept
label
Blog Artikel
label
Informationssicherheits Management

Wie man eine Cybersicherheitskultur managen kann

Neben einer funktionierenden IT Sicherheit müssen auch die Mitarbeitenden richtig geschult werden. Dieser Prozess beginnt mit dem richtigen Managen der Sicherheitskultur. Wissen Sie, wie dieser Prozess aussieht und haben Sie ihn bereits implementiert? Erfahren Sie, wie man eine Sicherheitskultur managen kann.

...

Ganzer Artikel

04.09.2019
category
Awareness Strategie und Konzept
label
Blog Artikel
label
Awareness Strategie

Was ist eine Cyber-Sicherheitskultur und wie können Sie davon profitieren?

Neben technischen Cyber Security Lösungen spielt das richtige Verhalten der Mitarbeitenden eine tragende Rolle. Dieses Verhalten wird durch eine aktive Sicherheitskultur gepflegt. Lesen Sie hier, was eine Sicherheitskultur ist, wie sie implementiert wird und weshalb es sinnvoll ist, eine Cyber-Sicherheitskultur aufzubauen.

...

Ganzer Artikel

Alle Artikel