27.06.2019

Erfolgreiche Security Awareness-Kampagnen planen

Informationssicherheit: Geschäftsmann zeigt auf einen Punkt in einer Grafik; Fokus auf Daten und Statistiken zur Security Awareness.
Wieso viele Security Awareness-Kampagnen es nicht schaffen, das Verhalten der Nutzer zu ändern

Immer wieder stellen wir fest, dass viele Awareness-Kampagnen das Ziel, bei ihren Mitarbeitenden eine Verhaltensveränderung herbeizuführen, nicht erreichen.

Dies hängt unter anderem mit den zahlreichen Herausforderungen zusammen, die die Beeinflussung des menschlichen Verhaltens mit sich bringen. Hierbei gilt es, Hürden auf psychologischer und soziologischer Ebene zu überwinden. Das hat u. a. auch damit zu tun, dass Menschen Risiken unterschiedlich wahrnehmen. Aus diesem Grund müssen Awareness-Kampagnen nicht nur Risiken und das gewünschte Verhalten kommunizieren, sondern auch gewährleisten, dass die Mitarbeitenden die Inhalte verstehen und sie befähigt sowie motiviert sind, diese auch umzusetzen.

Das Ziel, das Verhalten der Mitarbeitenden zu verändern, lässt sich nicht nur durch Regeln in Form von Richtlinien oder einmaligen, kurzen Kampagnen lösen. Es bedarf einer Kombination von beidem. Die Grundlage der Sicherheit muss unter anderem mit Regeln und Richtlinien gefestigt werden. Darauf aufbauend werden langfristige Kampagnen geplant, welche die Mitarbeitenden unterstützen, ihr Verhalten nachhaltig und langfristig zu verändern und so dazu beitragen, das Unternehmen sicherer zu machen.

Dazu muss der Nutzer jedoch erkennen, dass die Informationen von einer Kampagne und in Regelwerken relevant sind für seine Arbeit. Er muss diese verstehen und gleichzeitig motiviert sein, diese auch umzusetzen. Hierfür gibt es einfache Regeln und Ansätze, die zu berücksichtigen sind, wenn man eine Awareness-Kampagne plant.

Problemstellung

Es ist nicht neu, dass viele Awareness-Kampagnen daran scheitern, das Verhalten zu verändern. Bereits im Jahr 1999 (1) wurde dies festgestellt und ist seither ungelöst. Das Problem hierbei ist, dass einerseits die Grundkonzepte der Security Awareness nicht berücksichtigt werden und andererseits für eine komplexe Problemstellung nach zu einfachen Lösungen gesucht wird. Die Industrie und die Kunden sind oft nicht gewillt, genügend Ressourcen, sei dies Budget, Zeit oder Expertise, aufzubieten, damit Awareness-Kampagnen so aufgebaut werden können, dass sie auch zum Ziel führen. Stattdessen wird versucht, nur punktuell Massnahmen umzusetzen. Leider ist dies nicht zielführend und führt nicht zum nachhaltigen Erfolg der Kampagne.

Die vier Hauptgründe, weshalb Kampagnen nicht zum Erfolg führen, sind folgende:

  • Das menschliche Verhalten wird nicht oder zu wenig berücksichtigt. So sind Kampagnen oft zu kompliziert und unverständlich aufgebaut und nicht zielgruppenorientiert. Dadurch wird die erhoffte Veränderung nicht akzeptiert und umgesetzt.
  • Das Ziel der Kampagne stimmt nicht mit den Richtlinien, Regelwerken und Sicherheitssystemen überein. Diese sind zu kompliziert, falsch gewählt oder schlecht konzipiert und können deswegen nicht umgesetzt und gelebt werden. Angela Sasse empfiehlt in ihrem Paper «Scaring and Bullying People into Security Won’t Work» (2), die Sicherheit den Anforderungen der Nutzer anzupassen, anstatt dass sich die Nutzer an zu hohe Sicherheitsanforderungen anpassen müssen.
  • Die Dauer vieler Kampagnen ist zu kurz, wodurch keine Veränderung stattfinden kann. Eine Verhaltensveränderung kann jedoch nur mithilfe von stetem Training über Jahre hinweg erfolgen.
  • Eine falsch gewählte Kommunikation führt nicht zum Ziel. So haben die Forscher um Maria Bada et al in ihrem Paper «Cyber Security Awareness Campaigns: Why do they fail to change behaviour?» (3) im Vergleich mehrerer Kampagnen festgestellt, dass einschüchterndes und angstmachendes Material zu Stress führt und dadurch nicht zielführend ist. Wir teilen diese Meinung. Denn Stress kann dazu führen, dass gar keine Tipps und Weisungen umgesetzt werden und die Mitarbeitenden dadurch nichts lernen.

Um das Verhalten der Mitarbeitenden langfristig zu verändern und einer Kampagne zum Erfolg zu verhelfen, muss eine Grundlage vorhanden sein. So benötigt man Sicherheitsrichtlinien, Schulungsangebote, Tools und Prozesse sowie geregelte Verantwortlichkeiten auf organisatorischer wie auch auf Gruppenebene. Ist die Grundlage vorhanden, kann darauf aufbauend das menschliche Verhalten geändert werden. Ein Hilfsinstrument, um zu prüfen ob und wie die Sicherheitsgrundlage in einem Unternehmen aufgebaut ist, wo Anpassungen gemacht werden müssen und was auf der individuellen Ebene gemacht werden muss, um Verhalten zu ändern, kann mit unserem Security Awareness Radar® ermittelt werden. Darauf aufbauend werden langfristige und effektive Kampagnen erarbeitet, um das menschliche Verhalten zu ändern.

Komponenten einer Security Awareness-Kampagne

Verschiedene Bausteine müssen beachtet werden, um eine erfolgreiche Security Awareness-Kampagne aufzubauen und durchzuführen.

Eine sorgfältige Planung ist notwendig, um erfolgreich zu sein. Sicherheitskampagnen sollten von Fachpersonal erarbeitet werden. Ist keine Sicherheitsabteilung vorhanden, die für so was in der Lage ist, kann eine Kampagne mit spezialisierten Anbietern wie wir es sind, durchgeführt werden. Legen Sie zu Beginn fest, welches Ziel mit der Kampagne erreicht werden soll, und planen Sie die Massnahmen und Inhalte entsprechend dem Ziel. Planen Sie Ressourcen ein: Budget, Zeitaufwand und Dauer sowie die Expertise sind wichtige Grundlagen, auf denen eine Kampagne aufgebaut wird.

Die richtige Kommunikation ist das A und O. Diese ist zielgruppenorientiert, einfach und verständlich. Die gewünschten und kommunizierten Verhaltensregeln sollten konsistent sein, indem sie auf die internen Richtlinien abgestimmt sind.

Richtlinien und Regelwerke werden in die Kampagne eingebunden. Die Ziele, Massnahmen und Inhalte der Kampagne sind auf die Richtlinien und Regelwerke abgestimmt. So muss sich das erwünschte Verhalten in der Kampagne widerspiegeln. Es bringt nichts, auf Risiken oder Verhaltensregeln einzugehen, welche nicht relevant resp. sinnvoll sind. Das bedeutet auch, dass je nach Abteilung, Dienstgrad oder geografischer Lage andere Risikokomponenten bearbeitet werden müssen und somit andere Verhaltensveränderungen gefragt sind. Wählen Sie die Themen daher zielgruppenspezifisch. So ist der Leiter der Finanzabteilung nicht von den gleichen Themen betroffen wie die Mitarbeitenden der Personalabteilung.

Der Faktor Mensch resp. das menschliche Verhalten muss für eine erfolgreiche Kampagne zwingend berücksichtigt werden. So gibt es beispielsweise in der Risikowahrnehmung kulturelle Unterschiede. Diese Unterschiede können regional aber auch zwischen Abteilungen auftreten. Zudem gibt es verschiedene Einflussfaktoren, die es zu beachten gilt. Diese können auf persönlicher oder kultureller Ebene sein.

Einflussfaktoren für eine Verhaltensveränderung

Um eine Veränderung zu erzeugen, müssen die aktuellen Einflussfaktoren ermittelt werden. Diese finden sich auf persönlicher wie auch auf kultureller Ebene.

Einflussfaktoren auf persönlicher Ebene:

Motivation und Fähigkeiten des Einzelnen gehören zu den mächtigsten Einflussfaktoren. Daher sollte die gewünschte Veränderung anwendbar sein. Es besteht jedoch die Gefahr von Sicherheitsübersättigung («security fatigue»). Dies kann besonders dann eintreten, wenn Sicherheit als Hindernis angesehen wird. Aus diesem Grund ist es wichtig, im «Sicherheits-Funktionalitäts-und-Benutzerfreundlichkeits-Dreieck» mittig zu sein und nicht zu sehr Richtung Sicherheit abzudriften und schwer umsetzbare Sicherheitsvorschriften zu erstellen.

Sicherheit-Funktionalität-Nutzerfreundlichkeit-Dreieck im Vergleich mit zwei verschiedenen Schwerpunktverlagerungen.
Bild: «Sicherheits-Funktionalitäts-und-Benutzerfreundlichkeits-Dreieck»

Einflussfaktoren auf kultureller Ebene:

Ein wichtiger Einflussfaktor, der sich positiv auf den Erfolg einer Awareness Kampagne auswirken kann, ist der kulturelle Aspekt. So sollte dieser beim Entwerfen von Schulungs- und Awareness Botschaften mit einbezogen werden.

In der Studie «Cyber Security Awareness Campaigns: Why do they fail to change behaviour?» (3) untersuchten die AutorInnen verschiedene Cyber Security Awareness-Kampagnen aus Grossbritannien sowie aus Afrika. Bei den Studien aus Grossbritannien wird der Mensch als Individuum angesprochen: «in short, the weakest links in the cyber security chain are you and me (3, Seite 126)». Diese Sichtweise, des herausstreichen des Individuums, ist besonders in der westlichen Hemisphäre der Fall. In Afrika, aber auch im asiatischen Raum, hingegen, liegt der Fokus auf der Gesellschaft. Daher wurde Letztere in diesen Studien angesprochen: «Friends must protect friends (3, Seite 126)».

Diese kulturellen Unterschiede und wie man die Zielgruppen der Kampagne anspricht, sollte besonders bei internationalen Kampagnen berücksichtigt werden, um deren Erfolg zu gewährleisten.

Je nach kulturellem Kontext ist auch die Risikowahrnehmung unterschiedlich und sollte entsprechend beachtet werden.

Unsere Empfehlung und Lösungsansätze

Um das menschliche Verhalten zu beeinflussen, können unterschiedliche Techniken gewählt werden. Einige sind wichtig und hilfreich, andere sollten besser nicht verwendet werden. Wir zeigen Ihnen, auf was Sie achten sollten.

1. Berücksichtigen Sie das menschliche Verhalten

Wählen Sie hierfür eine einfache und verständliche Sprache, damit sie von allen Mitarbeitenden, unabhängig von Bildungsstand, Kulturkreis oder Abteilung, verstanden wird. Beispielsweise sollten IT-Fachausdrücke vermieden werden, sofern die Zielgruppe keinen IT Hintergrund hat. Daher sind die Wortwahl, Satzlänge und Satzstruktur zu beachten.

Auch die Art der Kommunikation spielt eine Rolle. Etwas auf humoristische Art und Weise zu kommunizieren kommt gut bei den Mitarbeitenden an. So kann beispielsweise mithilfe eines Cartoons eine Information einfach, kurz und unterhaltsam vermittelt werden. Angstmachende Kommunikation sollte dagegen vermieden werden, da diese oft kontraproduktiv ist. Diese schreckt die Nutzer eher ab, als dass sie diese motiviert. Dadurch führen solche Kampagnen in der Regel nicht zum Erfolg. Greifen Sie bei der Darstellung der Risiken auf interne Beispiele von Risiken zurück. Dies hilft den Mitarbeitenden, sich besser damit identifizieren zu können.

Ein wichtiger Bestandteil für die richtige Adressierung einer Kampagne ist die Berücksichtigung unterschiedlicher Kulturen. Bei internationalen Kampagnen gibt es zwei Möglichkeiten: Die Kampagne auf die einzelnen Kulturkreise anpassen, was sehr aufwendig ist, oder versuchen innerhalb der Kommunikation alle Bedürfnisse zu berücksichtigen. Das heisst, dass man das Individuum und die Gemeinschaft anspricht und beide Bedürfnisse gleichzeitig abholt. Wir versuchen, dies bei unseren Kampagnen innerhalb einer Kommunikation zu adressieren, sodass sie kompatibel ist mit den unterschiedlichen Kulturkreisen.

2. Machen Sie Sicherheit (er)lebbar

Das Ziel einer Kampagne muss machbar sein und im täglichen Ablauf einbezogen werden können, damit sich das Verhalten ändern kann (4). Untermalen und bestätigen Sie Aussagen in der Kampagne mit wissenschaftlichen Forschungsergebnissen. Dies verleiht den Informationen mehr Glaubwürdigkeit und hilft, akzeptiert zu werden. In unserem Whitepaper «So erreichen Sie eine echte und nachhaltige Verhaltensveränderung» stellen wir zwei wissenschaftliche Modelle vor, mit denen Sicherheitsmassnahmen in Unternehmen analysiert und mögliche Gründe für ein Fehlverhalten verstanden werden können.

Holen Sie sich Unterstützung von Spezialisten. Diese helfen, wenn es darum geht, eine vereinfachte Wortwahl ohne Fachausdrücke zu finden, einer Kampagne Struktur zu verleihen und vorgängig die richtigen Themen und Zielgruppen ausfindig zu machen.

3. Planen Sie viel Zeit ein

Veränderung anzunehmen, umzusetzen und zu verinnerlichen braucht Zeit. Hierfür hilft eine stetige Wiederholung der Kampagnen und Themen. Nicht umsonst sagt man «Steter Tropfen höhlt den Stein». Man kann dafür entweder eine lange, mehrjährige Kampagne oder viele kürzere Kampagnen im Zeitraum mehrere Jahre durchführen (4).

Die Veröffentlichung über unterschiedliche Kanäle hilft dabei, die verschiedenen Lerntypen zu erreichen.

Ein nützliches Tool für die Planung, Umsetzung sowie Nachkontrolle einer Sicherheits-Kampagne ist unser Security Awareness Radar®. Mit diesem können einerseits Sicherheitsanforderungen detektiert und verbessert werden, andererseits der Stand des organisatorischen und des menschlichen Verhaltens ermittelt und anschliessend passende Massnahmen geplant und erarbeitet werden. Dies hilft dabei, das menschliche Verhalten zu ändern und das Unternehmenssystem entsprechend darauf auszurichten (4). Dadurch steht Ihre Kampagne auf einem soliden Fundament und kann ihre Möglichkeiten zur Verhaltensveränderung optimal entfalten.

Den Prozess hin zu einem sicheren Verhalten, wird in unserem ‘Modell des sicheren Verhaltens’ bildlich dargestellt.

Security Awareness: Model des sicheren Verhaltens. Auf der X-Achse: Zeit. Auf der Y-Achse: Engagement.
Bild: Model des sicheren Verhaltens

Dieser Veränderungsprozess hat McKinsey in seinem «Influence Model» ebenfalls beschrieben. In unserer News «Was braucht es für ein erfolgreiches Change Management» haben wir dieses Modell bereits vorgestellt.

Zusammengefasst können folgende Punkte genannt werden, die für eine erfolgreiche Security Awareness- Kampagne zu beachten sind:

  • Gute Planung und Erarbeitung der Kampagnen, idealerweise mit professioneller Unterstützung
  • Ressourcen: Budget, Zeit und Expertise einplanen
  • Lange Dauer der Kampagnen über Monate und Jahre hinweg, um das Verhalten zu festigen
  • Der Inhalt der Kampagne sollte zielgerichtet, machbar und auf die Richtlinien und Regelwerke abgestimmt sein
  • Menschliches Verhalten berücksichtigen:
    - Einfache und verständliche Sprache
    - Kultur mit einbeziehen
    - Angstmachende Kommunikation vermeiden

Damit eine Awareness-Kampagne nachhaltig erfolgreich ist, müssen die Mitarbeitenden akzeptieren, dass das Thema relevant ist. Sie müssen es verstehen und wissen, wie sie es umsetzen können. Und sie müssen willens sein, das Gelernte zu leben. Mithilfe einer Kampagne wird das Gelernte zur Gewohnheit. Und dadurch kann Security Awareness zu einem nachhaltigen Erfolgsfaktor eines Unternehmens werden.

Verweise und Quellen:

(1) Whitten, A., Tygar, J.D. (1999): Why Jonny can’t encrypt: a usability evaluation of PGP 5.0. SSYM'99 Proceedings of the 8th conference on USENIX Security Symposium - Volume 8, 14-14. USENIX Association Berkeley.

(2) Angela Sasse (2015): Scaring and Bullying People into Security Won’t Work. IEEE Security & Privacy, Mai/Juni 2015. Security & Privacy Economics.

(3) Maria Bada et al. (2015): Cyber Security Awareness Campaigns: Why do they fail to change behaviour? Januar 2015.

(4) ENISA Report (2018): Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity. Seite 20/21.

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.