18.08.2020

Wie kann man das Verhalten der Mitarbeitenden ändern? (Teil 2)

<< Fortsetzung von Teil 1 dieses Blogs

Um das Sicherheitsbewusstsein der Mitarbeitenden langfristig zu schulen und zu verbessern, sollten 5 Schritte beachtet werden, um eine Sicherheitskultur aufzubauen und zu pflegen. Im Laufe dieser Blog-Serie stellen wir Ihnen diese 5 Schritte vor, inklusive ausgewählter Taktiken, die zum Erfolg führen werden. Teil vier behandelt das Thema, wie man das Verhalten der Mitarbeitenden langfristig und nachhaltig ändern kann.

Welche Massnahmen müssen getroffen werden

Um langfristige Veränderungen herbeizuführen, müssen Sie die Sicherheit in der Kultur Ihres Unternehmens verankern. Dazu müssen Sie natürlich technische Lösungen finden, um Sicherheit möglich zu machen. Damit sie allerdings tatsächlich umgesetzt wird, sind Ihre Mitarbeitenden der entscheidende Ansatzpunkt.

Das Verhalten von Menschen zu verändern, ist eine Herausforderung. Umso mehr, wenn es nicht ausreichend verstanden wird. Deswegen baut unser Ansatz für nachhaltige Verhaltensänderungen auf dem Verständnis dieses Themenkomplexes durch wissenschaftliche Modelle auf.

Sie können nachhaltige Verhaltensveränderungen in Ihrem Unternehmen herbeiführen, wenn Sie dieses Verständnis nutzen und darauf aufbauend die Massnahmen auswählen, die am effektivsten Sicherheitslücken schliessen.

Die effektive Veränderung von Verhaltensweisen in Unternehmen muss auf einem klaren Verständnis der bisherigen Fehler oder Lücken beruhen. Ohne diese klare Grundlage werden die vielfältigen Ursachen für Sicherheitslücken schwammig als „menschliches Versagen“ zusammengefasst und können nicht behoben werden. Zwei wissenschaftliche Modelle zur Analyse von Sicherheitsmassnahmen in Unternehmen bieten eine Basis, die Gründe für Fehlverhalten zu verstehen und angemessene Massnahmen zur Behebung auszuwählen.

Hier ein Beispiel für das bessere Verständnis der beiden Modelle:
Stellen Sie sich vor, Sie sichern eine Burg – hohe Mauern, ein Burggraben und das Neuste vom Neuen in Sachen Zugangskontrollen. Es ist theoretisch unmöglich, auch nur einen Schlitz im Mauerwerk zu finden, denn technisch ist Ihr Sicherheitskonzept perfekt. Gleichzeitig stehen drei Türen ständig weit offen:

  1. Weil Paket-Lieferungen Teil des funktionierenden Betriebs Ihrer Burg sind,
  2. zum Lüften eines stickigen und dunklen Flurs
  3. und weil jemand sich an eine Proklamation zu erinnern glaubt, die „geschlossene-Tür-Massnahme“ gelte wegen der Windrichtung nur im Ost-Flügel.

Da haben es natürlich auch Angreifer nicht schwer, trotz allem einzudringen und ihrer Burg zu schaden.

Das COM-B-Modell

Das COM-B-Modell (nach Michie et al, 2011) fasst die notwendigen Voraussetzungen für sicherheitsbewusstes Verhalten in drei Teilen zusammen:

Fähigkeit (Capability)
Können die Mitarbeitenden eine Sicherheitsmassnahme durchführen? Als Hindernisse kommen fehlende Befugnisse genauso infrage wie fehlendes Wissen.

Um unser Beispiel aufzugreifen: Niemand weiss, wie die Paket-Durchreiche geöffnet werden könnte, oder die Mitarbeitenden haben keinen Schlüssel zu dieser Durchreiche und müssen daher die Tür nutzen.

Gelegenheit (Opportunity)
Haben Mitarbeitende die Gelegenheit, die Sicherheitsmassnahme zu praktizieren? Hier können physikalische oder soziale Faktoren störend im Weg stehen.

Wenn sie dadurch die einzige Luftzufuhr abschneiden, haben Mitarbeitende in der Burg keine Wahl, als die Tür geöffnet zu lassen. Oder sie wollen Ihren Kollegen von der Poststelle das Leben durch geschlossene Türen nicht unnötig schwer machen – darüber gab es in der Vergangenheit schon Streit.

Motivation
Sehen Mitarbeitende überhaupt, wozu sie eine bestimmte Handlung durchführen sollten?

Die Motivation für Handlungen kann positiv sein (Bewusstsein für den Zweck, Wissen um die Bedeutung der Handlung, Aussicht auf Belohnung) oder negativ (Bestrafung, Befürchten von negativen Konsequenzen der Unterlassung). In der Burg muss bekannt sein, dass die Türen nicht gegen Wind geschlossen bleiben, sondern um Angreifer fernzuhalten. Die Furcht vor dieser Bedrohung kann motivieren, die Tür geschlossen zu halten.

Alle drei Teile beeinflussen das Verhalten (Behaviour).

COM-B-Modell nach Michie et al, 2011

Das B=MAT Modell

Ein verwandtes Modell nach Fogg (2009) setzt die Überlegungen zu Fähigkeit, Motivation und Gelegenheit in die Perspektive der Aktivierung um: Mitarbeitende führen eine Massnahme mit höherer Wahrscheinlichkeit durch, wenn sie für sie einfach ist (entsprechend ihrer Fähigkeit) und sie dazu motiviert sind (positiv oder negativ, siehe Motivation). Um sie tatsächlich zu aktivieren, können Unternehmen ihren Mitarbeitenden nicht nur die Gelegenheit schaffen, eine Massnahme durchzuführen, sondern Auslöser schaffen, die das Verhalten anstossen.

B=MAT Modell nach Fogg, 2009


Weitere Möglichkeiten zur Massnahmen-Eruierung:

Mithilfe unseres Security Awareness Radars, sprich einer Onlinebefragung der Mitarbeitenden, kann ermittelt werden, welche Bereiche bei welchen Zielgruppen (bspw. Abteilungen) wie verändert werden müssen. Der Bericht des Security Awareness Radars schliesst mit einer Liste an Massnahmen, welche auch für eine ISO 27001-Zertifizierung verwendet werden können. Weiter können Compliance-Vorgaben, Audit Findings oder Risikobewertungen Hinweise auf Massnahmen liefern.

Weiter zu beachten

Die definierten Massnahmen sollten danach nach Dringlichkeit und Machbarkeit sortiert werden. Also "einfach" vs. "schwierig umzusetzen" und "günstig" vs. "teuer".

Bei der Definition der Massnahmen ist es wichtig, dass keine einseitigen Massnahmen definiert werden. Am besten werden Massnahmen gewählt, welche quantitativ und qualitativ eruier- und umsetzbar sind. Damit die Massnahmen analysierbar und messbar sind, sollten sie den SMART-Kriterien entsprechen:

  • Spezifisch (Specific): Wird ein spezifisches Gebiet für Massnahmen ausgewählt?
  • Messbar (Measurable): Ist die Massnahme messbar?
  • Ausführbar (Actionalbe): Liefert das Resultat konkrete Verbesserungsmassnahmen?
  • Relevant (Relevant): Ist die Massnahme relevant (und realistisch) für Ihr Unternehmen und werden die Resultate verstanden?
  • Terminiert (time-related): Wurde ein Zeitrahmen für die Zielumsetzung und -erreichung festgelegt?

Zu beachten ist, dass eine Veränderung nicht von heute auf morgen geschieht. Dazu braucht es Zeit und regelmässige Massnahmen, damit sich ein gewünschtes Verhalten einbürgern und festigen kann.

Je nach Zielgruppe, Funktionen oder Risikohintergrund des Unternehmens werden andere Lernziele bestimmt. So werden Mitarbeitende in der HR-Abteilung anders geschult als das Management oder Mitarbeitende im Verkauf. Zudem können individuelle Metriken auf Personenebene wie Tests und Quiz eingebaut werden oder Organisationsmetriken, wo ein ganzer Bereich zum Beispiel mit einer Phishing-Simulation geschult wird.

Welche Kanäle können für eine Awareness-Kampagne verwendet werden

Um das Verhalten zu ändern, bieten Security Awareness-Kampagnen eine optimale Grundlage. Dank der heutigen Technologien haben wir viel mehr Mittel und Möglichkeiten, Informationen auf verschiedene Art und Weise an die Mitarbeitenden zu bringen. Dies ist auch hilfreich, da nicht alle Menschen gleich lernen und daher bei einer Kampagne die verschiedenen Lerntypen angesprochen werden sollten. Daher ist es wichtig, auch über verschiedene Kanäle zu kommunizieren.

Beispiel eines Lern-Cartoons, welcher beispielsweise für E-Mail, Intranet oder Poster verwendet werden kann.

Mögliche Kanäle sind:

  • E-Mails und Newsletter
  • Intranet News
  • Poster
  • Videoclips
  • Simulationen
  • Broschüren
  • Informationsblätter
  • Informationsveranstaltungen wie ein Security-Frühstück oder Security-Lunch
  • E-Learnings
  • Klassenzimmer Trainings
  • Checklisten und Fact Sheets
  • Intranet Wissensdatenbanken
  • FAQs

Wählen Sie für Ihre Kampagnen jeweils ein einfaches Design und vermitteln Sie die Informationen kurz und knackig. So können sie besser aufgenommen und verarbeitet werden. Bringen Sie Beispiele aus Ihrem Unternehmen. Dies hilft für ein besseres Verständnis der Thematik. Zeigen Sie auch die Vorteile neu erlernten Verhaltens auf.

Erfolgreich Verhalten verändern

Um Verhalten erfolgreich zu ändern, müssen verschiedene Aspekte beachtet werden und bei Schulungen und Awareness-Massnahmen unterschiedliche Kanäle verwendet werden.

Als Grundlage müssen zuerst die möglichen Massnahmen ermittelt werden.

Diese können in einem ersten Schritt mit unserem Security Awareness Radar, aufgrund von Audit Findings oder Compliance-Vorgaben ermittelt werden.

Das «Influence Model» bietet eine Grundlage, Massnahmen zu finden, welche das Verhalten und die Einstellung von Mitarbeitenden beeinflussen können. Mit dem B-COM-Modell und dem B=MAT Modell kann zudem das Fehlverhalten analysiert werden und basierend darauf passende Sicherheitsmassnahmen ausgewählt werden.

Anhand der Taxonomiestufen nach Bloom werden Lernziele für Massnahmen und Trainings gefunden. Die Massnahmen sollten nach Möglichkeit den SMART-Kriterien entsprechen, damit sie analysier- und messbar sind.

Um erfolgreich das Verhalten von Mitarbeitenden zu verändern, müssen somit viele Punkte beachtet werden. Je besser dies gemacht wird, desto nachhaltiger sind die Massnahmen und das Unternehmen und dessen Mitarbeitenden sicher.

Nicht jeder Sicherheitsverantwortliche hat das entsprechende Wissen oder die Kapazitäten hierfür. Gerne unterstützen wir Unternehmen dabei, das Verhalten Ihrer Mitarbeitenden erfolgreich und nachhaltig zu verändern.

Literatur: