Deutsch
kontakTenglish
GRATIS
Whitepaper
Wie man das Sicherheitsverhalten ändert
XDOWNLOAD

Wieso viele Security Awareness Kampagnen daran scheitern, das Verhalten der Nutzer zu verändern

Immer wieder stellen wir fest, dass viele Awareness-Kampagnen das Ziel, bei ihren Mitarbeitenden eine Verhaltensveränderung herbeizuführen, nicht erreichen.

Dies hängt unter anderem mit den zahlreichen Herausforderungen zusammen, die die Beeinflussung des menschlichen Verhaltens mit sich bringen. Hierbei gilt es, Hürden auf psychologischer und soziologischer Ebene zu überwinden. Das hat u.a. auch damit zu tun, dass Menschen Risiken unterschiedlich wahrnehmen. Aus diesem Grund müssen Awareness Kampagnen nicht nur Risiken und das gewünschte Verhalten kommunizieren, sondern auch gewährleisten, dass die Mitarbeitenden die Inhalte verstehen und befähigt sowie motiviert sind, diese auch umzusetzen.

Die Herausforderung, das Verhalten der Mitarbeitenden zu verändern, lässt sich nicht nur durch Regeln in Richtlinien oder einmalige, kurze Kampagnen lösen. Sondern es bedarf einer Kombination von beidem. Die Basis der Sicherheit muss unter anderem mit Regeln und Richtlinien gefestigt werden. Darauf aufbauend werden langfristige Kampagnen geplant, welche die Mitarbeitenden unterstützen, ihr Verhalten nachhaltig und langfristig zu verändern und so dazu beitragen, das Unternehmen sicherer zu machen.

Dazu muss der Nutzer erkennen, dass die Informationen in einer Kampagne und in Regelwerken relevant sind für seine Arbeit. Er muss diese verstehen und gleichzeitig motiviert sein, diese auch umzusetzen. Hierfür gibt es einfache Regeln und Ansätze, die zu berücksichtigen sind, wenn man eine Awareness Kampagne plant.

Problemstellung

Die Problematik, dass viele Awareness Kampagnen scheitern das Verhalten, zu ändern, ist nicht neu. Bereits 1999 (1) wurde dies festgestellt und ist seither ungelöst. Das Problem hierbei ist, dass einerseits die Grundkonzepte der Security Awareness nicht berücksichtigt werden und andererseits für eine komplexe Problemstellung nach zu einfachen Lösungen gesucht wird. Die Industrie und die Kunden sind oft nicht gewillt, genügend Ressourcen, sei dies Budget, Zeit oder Expertise, aufzubieten, damit Awareness Kampagnen so aufgebaut werden können, dass sie auch zum Ziel führen. Stattdessen wird versucht, nur punktuell Massnahmen umzusetzen. Leider ist dies nicht zielführend und führt nicht zum nachhaltigen Erfolg der Kampagne.

Die vier Hauptgründe, weshalb Kampagnen nicht zum Erfolg führen, sind folgende:

  • Das menschliche Verhalten wird nicht oder zu wenig berücksichtigt. So sind Kampagnen oft zu kompliziert und unverständlich aufgebaut und nicht zielgruppenorientiert. Dadurch wird die erhoffte Veränderung nicht akzeptiert und umgesetzt.
  • Das Ziel der Kampagne stimmt nicht mit den Richtlinien, Regelwerken und Sicherheitssystemen überein, da diese zu kompliziert, falsch gewählt oder schlecht konzipierte sind, um umgesetzt und gelebt werden zu können. Angela Sasse empfiehlt in ihrem Paper „Scaring and Bullying People into Security Won’t Work» (2), die Sicherheit den Anforderungen der Nutzer anzupassen, anstatt die Nutzer an zu hohe Sicherheitsanforderungen.
  • Die Dauer vieler Kampagnen ist zu kurz, wodurch keine Veränderung stattfinden kann. Eine Verhaltensveränderung kann jedoch nur mithilfe von stetem Training über Jahre hinweg erfolgen.
  • Eine falsch gewählte Kommunikation führt nicht zum Ziel. So haben die Forscher um Maria Bada et al in ihrem Paper „Cyber Security Awareness Campaigns: Why do they fail to change behaviour?” (3) im Vergleich mehrerer Kampagnen festgestellt, dass einschüchterndes und angstmachendes Material zu Stress führt und dadurch nicht zielführend ist. Wir teilen diese Meinung. Denn Stress kann dazu führen, dass gar keine Tipps und Weisungen umgesetzt werden und die Mitarbeitenden dadurch nichts lernen.

Um das Verhalten der Mitarbeitenden langfristig zu verändern und einer Kampagne zum Erfolg zu verhelfen, muss die Basis vorhanden sein. So benötigt man Sicherheits-Richtlinien, Schulungsangebote, Tools und Prozesse sowie geregelte Verantwortlichkeiten auf organisatorischer wie auch auf Gruppenebene. Ist die Basis vorhanden, kann darauf aufbauend das menschliche Verhalten geändert werden. Ein Hilfsinstrument, um zu prüfen ob und wie die Sicherheits-Basis in einem Unternehmen aufgebaut ist, wo Anpassungen gemacht werden müssen und was auf der individuellen Ebene gemacht werden muss, um Verhalten zu ändern, kann mit unserem Security Awareness Radar® eruiert werden. Darauf aufbauend werden langfristige und effektive Kampagnen erarbeitet, um das menschliche Verhalten zu ändern.

Komponenten einer Sicherheits-Awareness Kampagne

Verschiedene Bausteine müssen beachtet werden, um eine erfolgreiche Sicherheits-Awareness Kampagne aufzubauen und durchzuführen.

Eine sorgfältige Planung ist notwendig, um erfolgreich zu sein. Sicherheitskampagnen sollten von Fachpersonal erarbeitet werden. Ist keine Sicherheitsabteilung vorhanden, die für so was in der Lage ist, kann eine Kampagne mit spezialisierten Anbietern wie wir es sind, durchgeführt werden. Legen Sie zu Beginn fest, welches Ziel mit der Kampagne erreicht werden soll und planen Sie die Massnahmen und Inhalte entsprechend dem Ziel. Planen Sie Ressourcen ein: Budget, Zeitaufwand und Dauer sowie die Expertise sind wichtige Grundlagen, auf denen eine Kampagne aufgebaut wird.

Die richtige Kommunikation ist das A und O. Diese ist zielgruppenorientiert, einfach und verständlich. Die gewünschten und kommunizierten Verhaltensregeln sollten konsistent sein, indem sie auf die internen Richtlinien abgestimmt sind.

Richtlinien und Regelwerke werden in die Kampagne eingebunden. Die Ziele, Massnahmen und Inhalte der Kampagne sind auf die Richtlinien und Regelwerke abgestimmt. So muss sich das erwünschte Verhalten in der Kampagne widerspiegeln. Es bringt nichts, auf Risiken oder Verhaltensregeln einzugehen, welche nicht relevant resp. sinnvoll sind. Das bedeutet auch, dass je nach Abteilung, Dienstgrad oder geografischer Lage andere Risikokomponenten bearbeitet werden müssen und somit andere Verhaltensveränderungen gefragt sind. Wählen Sie die Themen daher zielgruppenspezifisch. So betreffen den Leiter der Finanzabteilung nicht die gleichen Themen wie die Mitarbeitenden der Personalabteilung.

Der Faktor Mensch resp. das menschliche Verhalten muss für eine erfolgreiche Kampagne zwingend mitberücksichtigt werden. So gibt es beispielsweise in der Risikowahrnehmung kulturelle Unterschiede. Diese Unterschiede können regional aber auch zwischen Abteilungen auftreten. Zudem gibt es verschiedene Einflussfaktoren, die es zu beachten gilt. Diese können auf persönlicher oder kultureller Ebene sein.

Einflussfaktoren für eine Verhaltensveränderung

Um Veränderung zu erzeugen, müssen die aktuellen Einflussfaktoren identifiziert sein. Diese finden sich auf persönlicher wie auch auf kultureller Ebene.

Einflussfaktoren auf persönlicher Ebene:

Motivation und Fähigkeiten des Einzelnen gehören zu den mächtigsten Einflussfaktoren. Daher sollte die gewünschte Veränderung anwendbar sein. Es besteht jedoch die Gefahr von Sicherheitsübersättigung («security fatigue»). Dies kann besonders dann eintreten, wenn Sicherheit als Hindernis angesehen wird. Aus diesem Grund ist es wichtig, im «Sicherheits-Funktionalitäts-und-Benutzerfreundlichkeits-Dreieck» mittig zu sein und nicht zu sehr Richtung Sicherheit abzudriften und schwer umsetzbare Sicherheitsvorschriften zu erstellen.

Bild: «Sicherheits-Funktionalitäts-und-Benutzerfreundlichkeits-Dreieck»

Einflussfaktoren auf kultureller Ebene:

Ein wichtiger Einflussfaktor, der sich positiv auf den Erfolg einer Awareness Kampagne auswirken kann, ist der kulturelle Aspekt. So sollte dieser beim Entwerfen von Schulungs- und Awareness Botschaften mit einbezogen werden.

In der Studie „Cyber Security Awareness Campaigns: Why do they fail to change behaviour?” (3) untersuchten die AutorInnen Cyber Security Awareness Kampagnen aus Grossbritannien sowie aus Afrika. Bei den Studien aus Grossbritannien wird das Individuum angesprochen: „in short, the weakest links in the cyber security chain are you and me (3, Seite 126)“. Diese Sichtweise, des herausstreichen des Individuums, ist besonders in der westlichen Hemisphäre der Fall. In Afrika, aber auch im asiatischen Raum, hingegen, liegt der Fokus auf der Gesellschaft. Daher wurde letztere in diesen Studien angesprochen: “friends must protect friends (3, Seite 126)“.

Diese kulturellen Unterschiede und wie man die Adressaten der Kampagne anspricht, sollte besonders bei internationalen Kampagnen berücksichtigt werden, um deren Erfolg zu gewährleisten.

Je nach kulturellem Kontext ist auch die Risikowahrnehmung unterschiedlich und sollte daher beachtet werden.

Unsere Empfehlung und Lösungsansätze

Um das menschliche Verhalten zu beeinflussen, können unterschiedliche Techniken gewählt werden. Einige sind wichtig und hilfreich, andere sollten besser nicht verwendet werden. Wir zeigen Ihnen hier, auf was Sie achten sollten.

1. Berücksichtigen Sie das menschliche Verhalten

Wählen Sie hierfür eine einfache und verständliche Sprache, damit sie von allen Mitarbeitenden, unabhängig von Bildungsstand, Kulturkreis oder Abteilung, verstanden werden kann. Beispielsweise sollten IT Fachausdrücke vermieden werden, sofern die Adressaten nicht einen IT Hintergrund haben. Daher sind die Wortwahl, Satzlänge und Satzstruktur zu beachten.

So spielt auch die Art der Kommunikation eine Rolle. Etwas auf humoristische Art und Weise zu kommunizieren kommt gut bei den Mitarbeitenden an. So kann beispielsweise mithilfe eines Cartoons eine Information einfach, kurz und unterhaltsam vermittelt werden. Angstmachende Kommunikation sollte dagegen vermieden werden, da diese oft kontraproduktiv ist, weil sie die Nutzer eher abschreckt als motiviert. Dadurch führen solche Kampagnen in der Regel nicht zum Erfolg. Greifen Sie bei der Darstellung der Risiken auf interne Beispiele von Risiken zurück. Dies hilft den Mitarbeitenden, sich besser damit identifizieren zu können.

Ein wichtiger Bestandteil für die richtige Adressierung einer Kampagne ist die Berücksichtigung unterschiedlicher Kulturen. Bei internationalen Kampagnen hat man zwei Möglichkeiten: Die Kampagne auf die einzelnen Kulturkreise anpassen, was sehr aufwendig ist, oder versuchen innerhalb der Kommunikation alle Bedürfnisse zu berücksichtigen. Das heisst, dass man das Individuum und die Gemeinschaft anspricht und beide Bedürfnisse gleichzeitig abholt. Wir versuchen dies bei unseren Kampagnen innerhalb einer Kommunikation zu adressieren, sodass sie kompatibel ist mit den unterschiedlichen Kulturkreisen.

2. Machen Sie Sicherheit (er)lebbar

Das Ziel einer Kampagne muss machbar sein und im täglichen Ablauf integriert werden können, damit sich Verhalten ändern kann (4). Untermalen und bestätigen Sie Aussagen in der Kampagne mit wissenschaftlichen Forschungsergebnissen. Dies verleiht den Informationen mehr Glaubwürdigkeit und hilft, akzeptiert zu werden. In unserem Whitepaper „So erreichen Sie eine echte und nachhaltige Verhaltensveränderung“ stellen wir zwei wissenschaftliche Modelle vor, mit denen Sicherheitsmassnahmen in Unternehmen analysiert und mögliche Gründe für ein Fehlverhalten verstanden werden können.

Das Whitepaper kann kostenlos auf Wunsch bei uns bezogen werden. Schreiben Sie hierfür einfach eine E-Mail an info@treesolution.com.

Holen Sie sich Unterstützung von Spezialisten. Diese können helfen, wenn es darum geht, eine vereinfachte Wortwahl ohne Fachausdrücke zu finden, einer Kampagne Struktur zu verleihen und vorgängig die richtigen Themen und Adressaten ausfindig zu machen.

3. Planen Sie viel Zeit ein

Veränderung anzunehmen, umzusetzen und zu verinnerlichen braucht Zeit. Hierfür hilft eine stetige Wiederholung der Kampagnen und Themen. Nicht umsonst sagt man „Steter Tropfen höhlt den Stein“. Man kann dafür entweder eine lange, mehrjährige Kampagne oder viele kürzere Kampagnen im Zeitraum mehrere Jahre durchführen (4).

Die Publikation über unterschiedliche Kanäle hilft dabei, die verschiedenen Lerntypen zu adressieren und zu erreichen.

Ein nützliches Tool für die Planung, Umsetzung sowie Nachkontrolle einer Sicherheits-Kampagne ist unser Security Awareness Radar®. Mit diesem können einerseits Sicherheitsanforderungen detektiert und verbessert werden, andererseits der Stand des organisatorischen und des menschlichen Verhaltens eruiert und anschliessend passende Massnahmen geplant und erarbeitet werden. Dies hilft dabei, das menschliche Verhalten zu ändern und das Unternehmenssystem entsprechend darauf auszurichten (4). Dadurch steht Ihre Kampagne auf einem soliden Fundament und kann ihre Möglichkeiten zur Verhaltensveränderung optimal entfalten.

Den Prozess hin zu einem sicheren Verhalten, wird in unserem ‘Modell des sicheren Verhaltens’ bildlich dargestellt.

Bild: Model des sicheren Verhaltens

Dieser Veränderungsprozess hat McKinsey in seinem «Influence Model» ebenfalls beschrieben. In unserer News «Was braucht es für ein erfolgreiches Change Management» haben wir dieses Modell bereits vorgestellt.

Zusammengefasst können folgende Punkte genannt werden, die für eine erfolgreiche Sicherheits-Awareness Kampagne zu beachten sind:

  • Gute Planung und Erarbeitung der Kampagnen, idealerweise mit professioneller Unterstützung
  • Ressourcen: Budget, Zeit und Expertise einplanen
  • Lange Dauer der Kampagnen über Monate und Jahre hinweg, um das Verhalten zu festigen
  • Der Inhalt der Kampagne sollte zielgerichtet, machbar und auf die Richtlinien und Regelwerke abgestimmt sein
  • Menschliches Verhalten berücksichtigen
    - Einfache und verständliche Sprache
    - Kultur mit einbeziehen
    - Angstmachende Kommunikation ist nicht zielführend

Damit eine Awareness Kampagne nachhaltig erfolgreich ist, müssen die Mitarbeitenden akzeptieren, dass das Thema relevant ist. Sie müssen es verstehen und wissen, wie sie es umsetzen können. Und sie müssen willens sein, das Gelernte zu leben. Mithilfe einer Kampagne wird das Gelernte zur Gewohnheit. Und dadurch kann Security Awareness zu einem nachhaltigen Erfolgsfaktor eines Unternehmens werden.

Verweise und Quellen:

(1) Whitten, A., Tygar, J.D. (1999): Why Jonny can’t encrypt: a usability evaluation of PGP 5.0. SSYM'99 Proceedings of the 8th conference on USENIX Security Symposium - Volume 8, 14-14. USENIX Association Berkeley.

(2) Angela Sasse (2015): Scaring and Bullying People into Security Won’t Work. IEEE Security & Privacy, Mai/Juni 2015. Security & Privacy Economics.

(3) Maria Bada et al. (2015): Cyber Security Awareness Campaigns: Why do they fail to change behaviour? Januar 2015.

(4) ENISA Report (2018): Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. Seite 20/21.

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.