Sind Sie dabei, in Ihrem Unternehmen eine Security Awareness-Kampagne zu planen und umzusetzen? Sie erhalten hier 10 Tipps von uns, an die Sie bei der Umsetzung denken sollten, damit Ihre Kampagne zum Erfolg wird.
Bei der Umsetzung einer erfolgreichen Cybersicherheits-Kampagne fokussieren wir uns auf drei Pfeiler, dem TreeSolution Security-ABC:
1. Awareness & Kommunikation (Awareness)
2. Training (Behaviour)
3. Implementieren einer Sicherheitskultur (Culture)
Unsere Tipps sind entsprechend nach diesen drei Pfeilern gegliedert.
Bei der Planung sollten die wichtigsten Stakeholder mit einbezogen werden. Das heisst, dass Sie Vertreter aus den betroffenen Abteilungen, Regionen und Mitarbeitersegmente einladen und sie beim Erarbeiten der Massnahmen und der Art und Weise wie kommuniziert werden soll, einbinden.
Die Vertreter wissen besser Bescheid, welche Herausforderungen in ihrem Bereich zu überwinden sind. Sie können Ihnen über Bedenken und Kritiken der Mitarbeitenden Auskunft geben und Ihnen Vorschläge machen, wie diesen am besten begegnet werden sollte.
Die Stakeholder sollen auch dabei helfen, die Endnutzer zu analysieren. Wissen alle Mitarbeitenden gleich über IT-Kenntnisse Bescheid und wie man einen PC verwendet oder gibt es solche, welche noch über die Grundlagen geschult werden müssen? Welche aktuellen Sicherheitsmassnahmen werden von den Mitarbeitenden geschätzt und welche als hinderlich angesehen? Werden diese umgesetzt, wenn nicht, weshalb nicht?
Wie bereits in Tipp 1 gesagt wurde, sollten bei der Planung einer Sicherheitskampagne alle Stakeholder eingebunden werden. Das heisst auch, dass alle Abteilungen, Mitarbeitersegmente und das Management für die Erarbeitung und Umsetzung zusammenarbeiten sollten, um die Erfolgschancen der Kampagne zu erhöhen.
Für das Management heisst das, dass es hinter der Kampagne steht und das gewünschte sichere Verhalten vorleben und unterstützten muss. Führungskräfte sollen ihre Mitarbeitenden motivieren, das sichere Verhalten anzuwenden und die Massnahmen der Kampagne umzusetzen. So sollen beispielsweise Mitarbeitende keine Bedenken haben, einen Phishing-Vorfall ihrem Vorgesetzten zu melden.
Auch «normale» Mitarbeitende können als Vorbilder fungieren und ihre Arbeitskolleginnen und -Kollegen ermutigen, sich sicher zu verhalten. Wird vorgelebt, dass eine sichere Verhaltensweise nicht einschränkend oder bei der Arbeit behindernd ist, wird sie viel schneller und eher von den anderen Mitarbeitenden übernommen.
Security-Ambassadoren sollten für die Kampagne aus möglichst allen betroffenen Abteilungen vertreten sein. Diese helfen bei der Erarbeitung der Massnahmen mit und sorgen ggf. dafür, dass für ihre Abteilung spezifische Massnahmen eingeplant werden können. Zudem stehen sie den Mitarbeitenden aus ihrer Abteilung mit Rat und Tat zur Seite, wenn es um die Umsetzung geht, und auch sie sind Vorbilder beim Leben der neuen Regeln und Verhaltensweisen.
Möchte man den Menschen als Mittel der IT-Sicherheit integrieren, muss man ein paar Einflussfaktoren bei der Kampagnen und der Schulung beachten. Um das Sicherheitsbewusstsein der Mitarbeitenden zu fördern und zu stärken, sollte auf diese eingegangen werden.
Denken Sie ebenfalls daran, dass die Motivation und die Fähigkeit zu einer Verhaltensveränderung eine Rolle spielen, ob diese angenommen wird oder nicht. Hat beispielsweise ein älterer Mitarbeitender wenige PC-Kenntnisse, können Sie nicht von ihm erwarten, dass er über die Risiken von Malware Bescheid weiss und worauf er achten muss, um Malware zu verhindern. Einem solchen Mitarbeitenden muss zuerst erklärt werden, was Malware überhaupt ist und welchen Schaden es anrichten kann.
Lesen Sie mehr dazu, wie man das Verhalten der Mitarbeitenden verändern kann in unseren Blogbeiträgen, Teil 1 und Teil 2.
Nicht alle Menschen lernen auf die gleiche Art und Weise effektiv und effizient. Daher ist es bei Informationssicherheitskampagnen wichtig, dass man die unterschiedlichen Lerntypen berücksichtigt und mit dem entsprechenden Kampagnen- und Schulungsmaterial abdeckt.
Es gibt vier Lerntypen:
Idealerweise decken Sie alle vier Lerntypen ab. Dies kann sich jedoch als schwieriger erweisen als gedacht.
Nicht alle Zielgruppen müssen gleich angesprochen werden und benötigen die gleichen Informationen.
Wenn es darum geht, dem Top Management den Stand der Informationssicherheit oder der Sicherheitskampagne zu erläutern, müssen ein paar Punkte beachtet werden.
Soll sich das Verhalten der Mitarbeitenden verändern, braucht es eine andere Kommunikation, als wenn sich das Verhalten des Managements verändern sollte. Achten Sie bei der Kommunikation für die Mitarbeitenden auf folgende Punkte:
Um sich im Bereich Cybersicherheit zu wappnen, braucht es einerseits technische Lösungen wie beispielsweise Firewalls und Passwortschutz. Andererseits braucht es aber auch Richtlinien und Regelwerke, wo der sichere Umgang mit Soft- und Hardware, Sicherheitssystemen sowie ein sicheres Verhalten mit Daten und Informationen abgebildet ist. Training und Awareness unterstützen diese Komponenten. Daher ist es wichtig, dass die Ziele und Massnahmen sowie Inhalte einer Kampagne auf Richtlinien, Vorgaben und technischen Lösungen abgestimmt sind.
Das erwünschte Verhalten aus den Richtlinien muss in der Kampagne integriert sein. Regeln und Verhaltensweisen zu schulen, welche nicht notwendig sind, verbrauchen nur unnötig Energie und die Chancen stehen gut, dass diese nicht umgesetzt werden. Je nach Abteilung, Dienstgrad oder Region können Risiken oder Verhaltensregeln auch anders aussehen und sollten daher in der Kampagne berücksichtigt werden.
Je nach Abteilung und deren Zuständigkeiten sind andere Massnahmen in Bezug auf ein sicheres Verhalten und Schulungen erforderlich. Um zu ermitteln, welche Massnahmen bei welcher Abteilung erforderlich sind und wie das Sicherheitsbewusstsein ist, kann der Security Awareness Radar® verwendet werden. Mit dem Tool befragen Sie alle Mitarbeitenden, inklusive dem Management. Die Ergebnisse lassen sich auf Abteilungsebene oder Mitarbeitersegment aufzeigen und erlauben es so, gezielte Schwachstellen zu ermitteln und entsprechende Massnahmen zu entwickeln.
Nicht jede Abteilung braucht die gleiche Schulung. Abteilungen, deren Mitarbeitende nie am PC arbeiten, müssen (theoretisch) nicht auf Phishing oder Malware geschult werden. Dafür müssen beispielsweise die Mitarbeitenden in der Personalabteilung besonders mit datenschutzrelevanten Themen konfrontiert werden.
Bestimmen Sie risikoreiche Bereiche und Mitarbeitersegmente und schulen Sie hier gezielt auf ein bestimmtes Thema. Dadurch erhöhen Sie das Sicherheitsbewusstsein dieser Mitarbeitenden und das Risiko für einen erfolgreichen Angriff wird kleiner.
Entscheiden Sie sich für Massnahmen, welche quantitativ oder qualitativ messbar sind. Dies vereinfacht es Ihnen, später zu prüfen, ob die Massnahmen der Sicherheitskampagne gewirkt haben und sich das Verhalten der Mitarbeitenden in die gewünschte Richtung gewandelt hat.
Die Sicherheitsstrategie sollte sich mit den Zielen der Geschäftsstrategie decken. Zudem sollte sie in Zusammenarbeit mit den anderen Abteilungen erarbeitet werden, damit unterschiedliche Bedürfnisse miteinbezogen werden können.
Ein Abgleich mit den Geschäftszielen hilft auch, wenn es darum geht, Kampagnen oder Schulungsmassnahmen bei der Geschäftsleitung genehmigen zu lassen und finanzielle Unterstützung zu erhalten. Wenn Sie aufzeigen können, wo und wie die Sicherheitsstrategie die Geschäftsstrategie unterstützt, erhöhen Sie die Wahrscheinlichkeit, dass die Geschäftsleitung hinter der Sicherheitsstrategie und zugehörigen Massnahmen steht und diese aktiv unterstützt. Und für eine gelebte Sicherheitskultur ist dies unerlässlich.
Eine Kampagne sollte nicht als alleinstehende Massnahme betrachtet werden, sondern Teil eines grossen Ganzen, sprich einer Sicherheitsstrategie sein. Um zu wissen, ob die Sicherheitsstrategie erfolgreich ist, die Massnahmen von Kampagnen passen und umgesetzt werden und sich dadurch eine Sicherheitskultur in Ihrem Unternehmen etabliert, muss die Strategie regelmässig überprüft werden. Daher ist es wichtig, dass Sie bereits im Vorfeld Massnahmen entwickeln, welche überprüfbar sind.
Um die Sicherheitskultur als Gesamtes zu überprüfen, kann beispielsweise der Security Awareness Radar® von TreeSolution verwendet werden. (Hier lesen Sie, was der Security Awareness Radar ® ist und wie er funktioniert)
Nehmen Sie sich Zeit, eine Kampagne zu planen, vorzubereiten und durchzuführen. Das Sicherheitsbewusstsein kann nicht von heute auf morgen in der Unternehmenskultur integriert und gelebt werden. Daher ist Informationssicherheit und Security Awareness ein laufender Prozess, welcher Jahre dauert. Die beste «Human Firewall» wird nur mit stetigem Schulen und Lernen erreicht.
Wir können Ihnen keine erfolgreiche Umsetzung Ihrer Sicherheitskampagne garantieren. Aber wenn Sie diese 10 Punkte beachten, erhöhen Sie die Chance, dass Ihre Kampagne ein Erfolg wird und Ihre Mitarbeitenden nachhaltig ein sicheres Verhalten in ihrem Arbeitsalltag integrieren können. Ihre Mitarbeitenden schützen so nicht nur Ihr Unternehmen und Ihre Daten, sondern auch ihre privaten Informationen.
TreeSolution ist gerne für Sie da, wenn Sie Unterstützung bei der Erarbeitung und Durchführung einer Security Awareness-Kampagne benötigen. Kontaktieren Sie uns mit Ihrem Anliegen über das Kontaktformular, per E-Mail oder telefonisch.