30.03.2023

Expert Talk - Dienstleistung von TreeSolution: IT Sicherheit in Unternehmen und das Verhalten der Mitarbeitenden

Das Ratgeberstudio – Experten geben Auskunft

Besondere Gäste im Interview

Mit Birgit Schneider

Was braucht es, um die IT-Sicherheit im Unternehmen zu erhöhen? Wieso ist der Faktor Mensch so wichtig? Und wie finden Sie heraus, wo Ihr Unternehmen noch Potenzial hat und welches die richtigen Massnahmen zur Verbesserung sind?

Das und mehr erfahren Sie hier im Ratgeberstudio. Heute zu Gast ist Dr. Thomas Schlienger, Security Awareness Pionier und Gründer der Firma TreeSolution Consulting GmbH.

Birgit Schneider: Sie sind bekannt als Experte für Sicherheit in Unternehmen; insbesondere die Sicherheit der IT. Was ist besonders an Ihrer Arbeit?

Thomas Schlienger: Ich habe bereits vor über 20 Jahren erkannt, dass der Faktor Mensch für die IT-Sicherheit irgendwann kritisch wird. Genau gleich wie in der Verkehrssicherheit oder in der Sicherheit von Kernkraftanlagen, spielt auch in der IT das menschliche Verhalten ein entscheidender Faktor.

Doch das Verhalten von Menschen zu verändern, ist eine Herausforderung. Wir arbeiten mit unseren Kunden darauf hin, dass der sichere Umgang mit Informationen und IT-Systemen ein Teil der Unternehmenskultur wird. Erst dann wird Sicherheit gelebt und die Risiken werden nachhaltig sinken.

Die Schnittstelle zwischen Menschen und Technik finde ich unglaublich faszinierend. Hier den Sicherheitsbeauftragten bewährte Lösungen anzubieten und sie dabei zu unterstützen, ihre Ziele zu erreichen, macht mich glücklich.

Welche typischen Fehler machen Kunden bei der Absicherung der IT im Unternehmen?

Heute ist glücklicherweise anerkannt, dass der Mensch eine wichtige Rolle in der Sicherheit spielt. Denn fast jeden Tag kann man in der Presse über einen neuen Vorfall lesen. Wir stellen aber fest, dass es sich die meisten Unternehmen zu einfach machen. Wie in der IT-Technik möchte man am liebsten ein Sicherheits-Update für den Menschen einspielen können. Man denkt, dass man mit einer einzigen Massnahme alle Probleme beheben kann. Das funktioniert so aber nicht.

Dafür gibt es zwei Hauptgründe:

  • Die Risiken und Angriffsformen wandeln sich. Somit verändern sich die Anforderungen des Unternehmens an die Sicherheit ständig.
  • Viele unterschätzen die Vergesslichkeit: Was nicht regelmässig wiederholt wird, geht schnell wieder vergessen. Das kennen wir ja alle. Und dann setzt die alltägliche Routine wieder ein und man geht wieder zurück zu unbewussten Verhaltensmustern.

Was gilt es für einen Kunden alles zu beachten, damit er die optimale Entscheidung bei der Auswahl und Beauftragung von Sensibilisierungs- und Schulungs-Massnahmen treffen kann?

Als Erstes muss der Kunde herausfinden, wo überhaupt der Schuh drückt, damit er die richtigen Prioritäten bei den Massnahmen setzen kann. Braucht es z. B. einfach häufiger Schulungen oder muss zuerst das Management ins Boot geholt werden? Oder müssen gewisse Zielgruppen, wie die Finanzabteilung oder der Aussendienst, auf bestimmte Themen geschult werden? Und wie können wir aufzeigen, wie erfolgreich diese Massnahmen waren? Die wenigsten Anbieter sind in der Lage, hier Unterstützung zu bieten und wenn, dann reduziert sich das auf einfache KPIs wie Anzahl Klicks im Phishing-Test oder Teilnahmequoten an Schulungen. Diese geben keine echten Informationen über das tatsächliche Verhalten. Mit unserem Security Awareness Radar® hingegen bekommen unsere Kunden genau diese Informationen und noch viel mehr.

Viele überschätzen, was man in kurzer Zeit erreichen kann und unterschätzen, was man langfristig tatsächlich erreicht. Ich empfehle daher, immer mittel- bis langfristig über 2-4 Jahre zu planen und die Aktivitäten geschickt über diesen Zeitraum zu verteilen. Denn nur durch Kontinuität kann man auch wirklich etwas verändern.

Wir sollten uns auch bewusst sein, dass es verschiedene Lerntypen gibt. Nicht alle lernen gleich und auf die gleiche Art und Weise. Deshalb ist es wichtig, dass die Mitarbeitenden über möglichst viele unterschiedliche Kanäle wie z. B. E-Learnings, Filme oder Druckmedien angesprochen werden.

Herr Schlienger, Sie sind ein bekannter Experte auf Ihrem Gebiet. Hand aufs Herz: Was wird denn in Ihrer Branche gern von anderen Anbietern verschwiegen? Plaudern Sie doch mal ein bisschen aus dem Nähkästchen.

Viele Anbieter versprechen, dass mit ein paar einfachen Sensibilisierungs- oder Schulungs-Massnahmen wie z. B. Animationsfilmen, unregelmässig durchgeführten E-Learning-Kursen oder jährlichen Security Days alle Probleme gelöst werden. Doch das stimmt einfach nicht. Sicheres Verhalten zur Routine werden zu lassen – das bedingt viel, viel mehr.

Doch den meisten Anbietern fehlt genau dieses Verständnis der komplexen Zusammenhänge menschlichen Verhaltens. Sie können ihre Kunden hierzu nicht richtig beraten oder die richtigen Lösungen anbieten.

Was auch gerne verschwiegen wird, ist, dass wenn das Management und die Teamleiter nicht hinter der Sicherheit stehen und als Vorbild wirken, dann verpuffen alle Massnahmen wirkungslos. In einem solchen Fall wäre es sinnvoller, zuerst mit Management-Workshops zu beginnen, als mit einer flächendeckenden Schulung der Mitarbeitenden.

Herr Schlienger, es gibt eine Menge verschiedener IT-Schulungen am Markt und genauso viele Wettbewerber und Anbieter. Worin genau unterscheidet sich Ihr Angebot von den anderen?

Wir haben vermutlich die längste Erfahrung im Markt. Ich beschäftige mich schon seit dem Jahr 2000 mit dem Thema. Zuerst während meiner Doktorarbeit und ab 2005 auch mit meinem Unternehmen TreeSolution Consulting GmbH. Wir haben uns rein auf das Thema Security Awareness und Informationssicherheitskultur spezialisiert. Bei allem, was wir tun, ist es mir wichtig, dass es zwar wissenschaftlich fundiert, aber auch praktikabel umsetzbar ist. Wir wollen die wertvolle Zeit der Mitarbeitenden nicht verschwenden.

Unser Fokus liegt daher ganz klar auf nachhaltigen Verhaltensveränderungen. Denn wir wollen keine Placebo-Awareness machen, um einen Compliance-Officer oder Auditor zufriedenzustellen. Daher betrachten wir immer das gesamte System, in dem der Mensch arbeitet. Unser Ansatz zur Messung der Sicherheitskultur mit dem Security Awareness Radar® ist weltweit einzigartig und unsere Kunden bestätigen uns auch immer wieder, dass eine solche Messung extrem hilfreich ist.

Aus unserer langjährigen Erfahrung haben wir daher ein besonderes Paket geschnürt: den Security Awareness Club. Damit können unsere Kunden die Sicherheitskultur messen, Massnahmen planen und priorisieren und dann auch gleich mit den zur Verfügung stehenden Materialien Sensibilisierungs- und Schulungs-Massnahmen umsetzen. Ein Rundum-sorglos-Paket sozusagen.

Herr Schlienger, Sie hören von Ihren Kunden bestimmt immer wieder Argumente, die auch gegen Sie sprechen. Was sind das für welche und wie gehen Sie damit um?

Obwohl es uns schon seit 2005 gibt, kennt man uns nicht unbedingt, da wir sehr stark spezialisiert sind. Da braucht es manchmal ein bisschen länger, dass Vertrauen in uns aufzubauen, gerade wenn es um längerfristige Engagements oder sehr grosse Projekte geht.

Als Kleinunternehmen bekommen wir auch immer wieder die Frage gestellt, ob wir überhaupt in der Lage sind, die Dienstleistung zeitnah und qualitativ hochstehend zu erbringen.  

Doch sind genau diese beiden Punkte eigentlich Argumente für uns und nicht gegen uns. Da wir seit vielen Jahren nichts anderes machen als Security Awareness, sind wir absolute Spezialisten auf dem Gebiet. Mehr Qualität bekommt man nirgendwo. Und als Kleinunternehmen können wir auch flexibel auf die Kundenbedürfnisse eingehen.

Herr Schlienger, können Sie uns die drei wichtigsten Aspekte zur optimalen Schulung der Mitarbeitenden in Sachen IT-Sicherheit zusammenfassen?

Gerne.

  1. Einmalig oder selten durchgeführte Massnahmen sind verschwendete Zeit, da sie gleich wieder vergessen werden. Es ist deshalb wichtig, ständig am Ball zu bleiben und regelmässige Aktivitäten durchzuführen.
  2. Die verfügbare Zeit für Schulungen ist immer knapp. Deshalb sollten Massnahmen auf harten Fakten basieren, wie sie z. B. unser Security Awareness Radar® bietet. Weiter sollten die Schulungen laufend optimiert werden.
  3. Jeder Mensch lernt unterschiedlich. Der eine bevorzugt detaillierte Erklärungen, ein anderer hätte gerne nur kurze Stichworte, während der Dritte es lustig und emotional mag. Eine erfolgreiche Schulungskampagne muss daher alle Lerntypen ansprechen.

Vielen Dank! Wie können Sie kontaktiert werden, wenn noch Fragen offen sind?

Auf unserer Webseite www.treesolution.com finden Sie oben rechts das Kontakt-Menü mit verschiedenen Kontaktmöglichkeiten. Es kann das Kontaktformular ausgefüllt werden, eine E-Mail geschrieben werden oder ein Termin für ein Beratungsgespräch vereinbart werden.

Soll es schnell gehen? Vereinbaren Sie gleich hier einen Termin für ein kostenloses Beratungsgespräch.

Ein weiterer Tipp: es ist wichtig, eine starke menschliche Firewall zu haben. Wie Sie eine solche mit wenig Aufwand aufbauen können, erklärt Ihnen Thomas Schlienger in diesem Webinar: https://www.treesolution.com/webinar