Wie kann das Verhalten der Mitarbeitenden verändert werden?

‍Um das Sicherheitsbewusstsein der Mitarbeitenden langfristig zu schulen und zu verbessern, sollten 5 Schritte beachtet werden, um eine Sicherheitskultur aufzubauen und zu pflegen. Im Laufe dieser Blog-Serie stellen wir Ihnen diese 5 Schritte vor, inklusive ausgewählter Taktiken, die zum Erfolg führen werden. Teil vier behandelt das Thema, wie man das Verhalten der Mitarbeitenden langfristig und nachhaltig verändern kann.

Vielleicht haben Sie sich auch schon mal die Frage gestellt, wie Sie am besten vorgehen müssen, um Security Awareness-Massnahmen richtig umzusetzen? Wie kann das Verhalten von Mitarbeitenden effektiv und nachhaltig verändert werden? Welche Bausteine braucht eine Sicherheitskampagne, um dieses Ziel zu erreichen?

Um das Verhalten eines Menschen zu ändern, müssen ein paar Dinge beachtet werden. McKinsey hat hierfür das «Influence Model» entwickelt. Dieses Model hilft aufzuzeigen, welche Bereiche idealerweise abgedeckt werden sollten, damit eine Verhaltensveränderung erfolgen kann. Mit Hilfe des «Influence Model» und den Taxonomiestufen nach Bloom können Massnahmen entwickelt werden. Es gibt verschiedene Möglichkeiten, um zu ermitteln, welche Massnahmen durchgeführt werden sollten. Beispiele sind quantitative und/oder qualitative Mitarbeiterbefragungen, ISO-Findings oder die B=MAT und COM-B Modelle.

Sind die Massnahmen festgelegt, stellt sich die Frage, welche Kanäle für die Kommunikation genutzt werden sollen. Auch hier gibt es verschiedene Möglichkeiten, die hier vorgestellt werden. Um den Erfolg einer Kampagne messen zu können, ist es zudem wichtig, messbare Massnahmen zu wählen und diese nach der Kampagne auszuwerten.

In diesem Beitrag zeigen wir Ihnen, auf was Sie beim Aufbau einer Security Awareness-Kampagne achten sollten, damit diese das Verhalten Ihrer Mitarbeitenden nachhaltig und erfolgreich verändert und Ihr Unternehmen dadurch sicherer macht.

Der Faktor «Mensch» in der IT-Sicherheit und seine Herausforderungen

Um den heutigen Sicherheitsbedrohungen zu begegnen, bedarf es nicht nur einer guten IT-Lösung, auch die Mitarbeitenden tragen zur Sicherheit eines Unternehmens bei. Die Rolle des Menschen in der Abwehr gegen Cybersecurity-Attacken wird immer wichtiger. Dies haben auch die Wissenschaft sowie die Wirtschaft erkannt. Nun stellt sich jedoch die Frage, wie können Sie Ihre Mitarbeitenden sicherer und verantwortungsbewusster machen, sodass sie aktiv und automatisch einen sicheren Umgang mit IT-Mitteln, Datenschutz und physischen Komponenten in einem Unternehmen pflegen? Hier kommen Security Training und Awareness, also die Schulung des Sicherheitsbewusstseins eines jeden Mitarbeitenden ins Spiel. Egal welche Rolle Sie in Ihrem Unternehmen einnehmen, sei es ein «normaler» Mitarbeitender oder jemand mit Führungsfunktion, alle tragen dazu bei, mit Ihrem Verhalten ein Unternehmen zu schützen. Und Security Awareness-Massnahmen helfen dabei, dies umzusetzen.

Die ENISA (Europäische Agentur für Netzwerk- und Informationssicherheit), Dr. Thomas Schlienger war einer der Autoren, untersuchte in ihrem «Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity» Report vier Methoden, den menschlichen Aspekt in der Cybersicherheit zu ermitteln. Keine der untersuchten Methoden, zwei basierten auf der Grundlage sozialwissenschaftlicher Modelle, eine auf qualitativen Studien und die vierte auf der Grundlage aktueller Praxis in Organisationen, waren ausreichend, um das Verhalten in Cybersicherheitsthemen zu verstehen, vorherzusagen oder zu verändern (ENISA 2018). Das bedeutet, dass man verschiedene Methoden miteinander kombinieren sollte, um Verhalten zu ändern.

Aber welche Methoden müssen angewendet werden? Gibt es eine Lösung, die für alle passt? Oder muss jeder Fall individuell betrachtet werden? Wie können Sie nun das Verhalten Ihrer Mitarbeitenden wirksam und nachhaltig verändern?

Wie verändert sich das Verhalten der Mitarbeitenden

McKinsey entwickelte das «Influence Model», bestehend aus vier Blöcken, welches hilft, die Einstellung und das Verhalten von Mitarbeitenden zu beeinflussen. Dieses Modell kann als Grundlage hinzugezogen werden, wenn es darum geht, Massnahmen zu entwickel.

Die vier Pfeiler des «Influence Models» sind (McKinsey 2016):

Vorbildfunktion

Ein wichtiger Aspekt ist das Vorleben vom gewünschten Verhalten. Vorbilder werden bewusst und unbewusst wahrgenommen. Daher ist es wichtig, Vorbilder im Unternehmen zu finden, welche das gewünschte Verhalten vorleben und vorantreiben. Besonders auch Führungspersonen sollten ein sicherheitsbewusstes Verhalten vorleben und dadurch ihre Mitarbeitenden ermuntern, ihrem Beispiel zu folgen. Denn warum soll ich ein bestimmtes Verhalten annehmen, z. B. meinen Mitarbeiterausweis sichtbar zu tragen, wenn mein Vorgesetzter/meine Vorgesetzte dies nicht tut?

Bei der Vorbildfunktion zeigt sich auch die Macht der Gruppe. Je mehr Personen sich sicher verhalten, desto eher werden neue Personen ermutigt, sich genauso zu verhalten.

Förderung des Verständnisses und der Überzeugung

Verstehen die Mitarbeitenden das «Warum» einer Veränderung und sind sie damit einverstanden, trägt dies zur Verhaltensänderung bei. Damit das Verständnis und die Akzeptanz für eine Veränderung entstehen kann, muss das Ziel und das Warum der Veränderung klar kommuniziert werden. Eine Möglichkeit sieht McKinsey darin, die Transformation innerhalb einer Veränderungsgeschichte zu kommunizieren. Es wird erklärt, wo die Unternehmen durch die Veränderung hinmöchten, was sich ändern soll und weshalb die Veränderung wichtig ist.

Entwicklung von Talent und Fähigkeiten

Fördern Sie die Entwicklung neuer Fähigkeiten und Talente und ermutigen Sie Ihre Mitarbeitenden mit Selbstverantwortung und Kompetenz, neue Fähigkeiten anzuwenden. Dies erhöht die Chance, dass ein verändertes Verhalten auch umgesetzt wird. Haben die Mitarbeitenden das Gefühl, dass die neuen Fähigkeiten nichts bringen und ihre Situation nicht verändern, werden sie ihr Verhalten wahrscheinlich nicht ändern und bleiben passiv.

Bestärkung der Veränderungen durch formale Mechanismen

Schaffen Sie positive Anreize für die Mitarbeitenden, die ihr Verhalten ändern sollen. Dabei ist jedoch zu beachten, dass die Anreize nicht durch Angst gefördert werden sollten. So sollen Mitarbeitende, die eine Phishing-E-Mail gemeldet haben, auch eine Rückmeldung erhalten, ob es sich tatsächlich um Phishing gehandelt hat. Es sollte keine Konsequenzen haben, wenn er auf eine Phishing-E-Mail hereinfällt.

‍

Das Verhalten mit Awareness-Massnahmen ändern

Bei der Entwicklung von Security Awareness-Massnahmen ist es ratsam, einerseits die oben erwähnten Veränderungsmechanismen im Kopf zu behalten und andererseits die Massnahmen und Trainings nach einem gleichen Prinzip aufzubauen. Eine gute Möglichkeit hierbei bietet die Taxonomie nach Bloom. Bloom entwickelte 6 Taxonomiestufen, um die Lernziele einzuteilen und zu kontrollieren. Dadurch kann ein Training erfolgreich aufgebaut und durchgeführt werden.

1. Wissen: Faktenwissen, Kennen
   Die Mitarbeitenden geben das Gelernte wieder.
   Beispiel: Ich weiss, um was es sich bei Phishing handelt
   ‍
2. Verständnis: Verstehen, mit eigenen Worten begründen
   Die Mitarbeitenden können das Gelernte in einem anderen Kontext wiedergeben.
   Beispiel: Ich kann die Merkmale einer Phishing-E-Mail aufzählen
   ‍
3. Anwendung: Umsetzung eindimensionaler Lerninhalte, Beispiele aus der Praxis
   Die Mitarbeitenden können das Gelernte anwenden.
   Beispiel: Ich kann eine Phishing-E-Mail identifizieren
   ‍
4. Analyse: Zerlegen in Einzelteile, Fallstudien
   Die Mitarbeitenden sind in der Lage, verschiedene Komponenten miteinander zu kombinieren und in ihre Bestandteile zu zerlegen und Zusammenhänge erkennen.
   Beispiel: Ich verstehe, wie Angreifer bei einer mehrstufigen Spear-Phishing-Attacke vorgehen.
   ‍
5. Synthese: Vernetzen und optimieren, fachübergreifend darstellen, Projektaufgaben
   Die Mitarbeitenden können verschiedene, unbekannte Komponenten zusammenfügen und dabei Neues erstellen.
   Beispiel: Ich bin in der Lage, neuartige Phishing-Attacken zu erkennen.
   ‍
6. Beurteilung: Entspricht Stufe 4 mit zusätzlicher Bewertung durch die Mitarbeitenden
   Die Mitarbeitenden können einen Sachverhalt auf dessen Zweckmässigkeit beurteilen. Sie bilden sich ein Urteil, um die Aufgabe richtig zu lösen.
   Beispiel: Ich kann Verbesserungsvorschläge machen, wie das Unternehmen sich besser vor Phishing schützen kann.

‍

Möchten Sie mehr über dieses Thema erfahren? Laden Sie das Whitepaper «Wie kann das Verhalten der Mitarbeitenden verändert werden?» herunter.

Erfahren Sie mehr darüber, welche Massnahmen getroffen werden müssen, um langfristige Veränderung herbeizuführen. Wie Ihnen dabei das COM-B-Modell und das B=MAT Modell aus der Wissenschaft weiter helfen kann und wie Massnahmen am besten vermittelt werden.

Abonnieren Sie jetzt unseren Newsletter und verpassen Sie keine Neuigkeiten und Blogs mehr zum Thema Informationssicherheit und Security Awareness. Das Anmeldeformular erscheint nach dem Literaturverweis.

‍

‍

Literatur:

• ENISA (2018): «Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity». Authors: A. Joinson, A Sasse und T. Schlienger. https://www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity
• McKinsey (2016): «The four building blocks of change». https://www.mckinsey.com/business-functions/organization/our-insights/the-four-building-blocks--of-change
• Bloom, B. S.; Engelhart, M. D.; Furst, E. J.; Hill, W. H.; Krathwohl, D. R. (1956). Taxonomy of educational objectives: The classification of educational goals. Handbook I: Cognitive domain. New York: David McKay Company.
• TreeSolution (2019): Whitepaper - So erreichen Sie eine echte und nachhaltige Verhaltensveränderung.
• Michie, S., Van Stralen, M. M., & West, R. (2011): The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation science, 6(1), 42.
• Fogg, B. J. (2009, April): A behavior model for persuasive design. In Proceedings of the 4th international Conference on Persuasive Technology (p. 40). ACM.

‍