Deutsch
kontakTenglish
GRATIS
Whitepaper
Wie man das Sicherheitsverhalten ändert
XDOWNLOAD

21.06.2021

10 Tipps, zur Umsetzung einer Security Awareness Kampagne

Auf das sollten Sie achten, damit Ihre Kampagne ein Erfolg wird

Sind Sie dabei, in Ihrem Unternehmen eine Security Awareness Kampagne zu planen und umzusetzen? Wir geben Ihnen hier 10 Tipps, an die Sie bei der Umsetzung denken sollten, damit die Kampagne ein Erfolg wird.

Bei der Umsetzung einer erfolgreichen Cybersicherheits-Kampagne fokussieren wir uns auf drei Pfeiler. Dem TreeSolution Security ABC:

a. Awareness & Kommunikation (Awareness)

b. Training (Behaviour)

c. Implementieren einer Sicherheitskultur (Culture)

Daher haben wir unsere Tipps nach diesen drei Pfeilern gegliedert.

Awareness & Kommunikation (Awareness)

Tipp 1: Einbinden der wichtigsten Stakeholder und analysieren der Endnutzer

Bei der Planung sollten die wichtigsten Stakeholder mit einbezogen werden. Das heisst, dass Sie Vertreter aus den betroffenen Abteilungen, Regionen und Mitarbeitersegmente einladen und sie beim Erarbeiten der Massnahmen und der Art und Weise wie kommuniziert werden soll, einbinden.

Die Vertreter wissen besser Bescheid, welche Herausforderungen in ihrem Bereich zu überwinden sind. Sie können Ihnen über Bedenken und Kritiken der Mitarbeitenden Auskunft geben und Ihnen Vorschläge machen, wie diesen am besten begegnet werden sollte.

Die Stakeholder sollen auch dabei helfen, die Endnutzer zu analysieren. Wissen alle Mitarbeitenden gleich über IT-Kenntnisse Bescheid und wie man einen Computer verwendet oder gibt es solche, welche auch über die Grundlagen geschult werden müssen? Welche aktuellen Sicherheitsmassnahmen werden von den Mitarbeitenden geschätzt und welche als hinderlich angesehen? Werden diese umgesetzt oder weshalb nicht?

Tipp 2: Zusammenarbeit aller Abteilungen und Mitarbeitersegmente inkl. Management

Wie bereits in Tipp 1 gesagt wurde, sollten bei der Planung einer Sicherheitskampagne alle Stakeholder eingebunden werden. Das heisst auch, dass alle Abteilungen, Mitarbeitersegmente und das Management für die Erarbeitung und Umsetzung zusammenarbeiten sollten, um die Erfolgschancen der Kampagne zu erhöhen.

Für das Management heiss das auch, dass es hinter der Kampagne stehen muss und das gewünschte sichere Verhalten vorleben und unterstützten muss. Führungskräfte sollen ihre Mitarbeitenden motivieren, das sichere Verhalten anzuwenden und die Massnahmen der Kampagne umzusetzen. So sollen beispielsweise Mitarbeitende nicht Bedenken haben, einen Phishing Vorfall ihrem Vorgesetzten zu melden.

Auch «normale» Mitarbeitende können als Vorbilder fungieren und ihre Arbeitskolleginnen und Kollegen ermutigen, sich sicher zu verhalten. Wird vorgelebt, dass eine sichere Verhaltensweise nicht einschränkend oder bei der Arbeit behindernd ist, wird sie viel schneller und eher von den anderen Mitarbeitenden übernommen.

Ambassadoren für die Kampagne sollten aus möglichst allen betroffenen Abteilungen vertreten sein. Diese helfen bei der Erarbeitung der Massnahmen mit und sorgen ggf. dafür, dass für ihre Abteilung spezifische Massnahmen eingeplant werden können. Zudem stehen sie den Mitarbeitenden aus ihrer Abteilung mit Rat und Tat zur Seite, wenn es um die Umsetzung geht, und sie sind Vorbilder beim Leben der neuen Regeln und Verhaltensweisen.

Tipp 3: Den Faktor Mensch nicht vergessen

Möchte man den Menschen als Mittel der IT-Sicherheit integrieren, muss man ein paar Einflussfaktoren bei Kampagnen und der Schulung beachten. Um das Sicherheitsbewusstsein der Mitarbeitenden zu fördern und zu stärken, sollte auf diese eingegangen werden.

  • Nutzen Sie bei Kampagnen eine einfache und verständliche Sprache mit so wenig Fachausdrücken wie möglich.
  • Vermeiden Sie eine angstmachende Kommunikation («das ist falsch», «das darf man nicht», «ist verboten», etc.) und verwenden Sie stattdessen humoristische Elemente. So können die Risiken beispielsweise mit einem Cartoon vermittelt werden.
  • Zeigen Sie Risiken und Erfolge anhand interner Beispiele. Das hilft den Mitarbeitenden, sich besser mit dem Unternehmen und dem gewünschten Verhalten zu identifizieren und es umzusetzen.
  • Das Verhalten eines Menschen ist je nach Kultur unterschiedlich. Dies kann regional sein (z.B. bei internationalen Firmen) aber auch je nach Abteilung (Finanz- vs. Verkaufsabteilung). Ist die Schulung nur spezifisch für eine Abteilung oder eine Region, sollte genau auf deren kulturellem Verhalten basierend die Kampagne aufgebaut werden. Bei einer Firmenübergreifenden Kampagne versuchen Sie am besten, möglichst alle in der Kommunikation abzudecken. Das heisst, dass Sie z.B. die individuelle Ebene («ich») als auch die gemeinschaftliche Ebene («wir») ansprechen.
  • Oft wird Sicherheit als Verhinderer angesehen. Daher ist es wichtig, Massnahmen zu definieren, welche anwendbar sind. Zeigen Sie, wie auf einfache Art und Weise das gewünschte Verhalten umgesetzt werden kann. Zeigen Sie ebenfalls die Vorteile des sicheren Verhaltens auf.

Denken Sie ebenfalls daran, dass die Motivation und die Fähigkeit zu einer Verhaltensveränderung eine Rolle spielen, ob diese angenommen wird oder nicht. Hat beispielsweise ein älterer Mitarbeiter wenig Computerkenntnisse, können Sie nicht erwarten, dass er über die Risiken von Malware Bescheid weiss und weiss, auf was er achten muss, um Malware zu verhindern. Einem solchen Mitarbeitenden muss zuerst erklärt werden, was Malware überhaupt ist und welchen Schaden es anrichten kann.

Lesen Sie mehr dazu, wie man das Verhalten der Mitarbeitenden ändern kann, in unserem Blog Beitrag, Teil 1 und Teil 2.

Tipp 4: Denken Sie an die Lerntypen

Nicht alle Menschen lernen effektiv und effizient auf die gleiche Art und Weise. Daher ist es bei Informationssicherheitskampagnen wichtig, dass man die unterschiedlichen Lerntypen berücksichtigt und mit dem Kampagnen- und Schulungsmaterial abdeckt.

Es gibt vier Lerntypen:

  • Visueller Lerntyp
  • Auditiver Lerntyp
  • Kognitiver Lerntyp
  • Haptischer Lerntyp

Idealerweise decken Sie alle vier Lerntypen ab. Dies kann sich jedoch als schwieriger erweisen als gedacht.

Tipp 5: Kommunikation mit dem Top Management vs. den Mitarbeitenden

Nicht alle Zielgruppen müssen gleich angesprochen werden und benötigen die gleichen Informationen.

Wenn es darum geht, dem Top Management den Stand der Informationssicherheit oder der Sicherheitskampagne zu erläutern, müssen ein paar Punkte beachtet werden.

  • Verwenden Sie eine klare und einfach Sprache ohne Fachbegriffe
  • Erläutern Sie die Verbindung zu den Geschäftszielen. Z.B. wie unterstützt die Informationssicherheit oder die Sicherheitskampagne die Zielerreichung.
  • Nennen Sie die grössten und wahrscheinlichsten Risiken in Ihrer Branche
  • Verbinden Sie die Risiken mit den strategischen Zielen klar miteinander und zeigen Sie Möglichkeiten, wie die Risiken minimiert werden können.
  • Zeigen Sie die nächsten Schritte auf.

Soll sich das Verhalten der Mitarbeitenden ändern, braucht es eine andere Kommunikation, als wenn sich das Verhalten des Managements ändern sollte. Achten Sie bei der Kommunikation für die Mitarbeitenden auf folgende Punkte:

  • Vermeiden Sie eine angstmachende und einschüchternde Kommunikationsweise.
  • Wählen Sie eine einfache und verständliche Sprache.
  • Geben Sie Beispiele aus dem Alltag zuhause und bei der Arbeit aus Ihrer Firma. Ev. sogar spezifisch für eine Abteilung.
  • Heben Sie die positiven Aspekte der Verhaltensveränderung hervor. Was bringt es dem einzelnen Mitarbeitenden genau, wenn er sein Verhalten ändert?
  • Beachten Sie kulturelle Unterschiede beim Kommunizieren, wenn Sie eine international tätige Firma sind (siehe Tipp 3).

Training (Behaviour)

Tipp 6: Es braucht technische Lösungen, Richtlinien und Trainings

Um sich im Bereich Cybersicherheit zu wappnen, braucht es einerseits technische Lösungen wie beispielsweise Firewalls und Passwortschutz. Andererseits braucht es aber auch Richtlinien und Regelwerke, wo der sichere Umgang mit Soft- und Hardware, Sicherheitssystemen sowie ein sicheres Verhalten mit Daten und Informationen abgebildet ist. Training und Awareness unterstützen diese Komponenten. Daher ist es wichtig, dass die Ziele und Massnahmen sowie Inhalte einer Kampagne auf Richtlinien, Vorgaben und technische Lösungen abgestimmt sind.

Das erwünschte Verhalten aus den Richtlinien muss in der Kampagne integriert sein. Regeln und Verhaltensweisen zu schulen, welche nicht notwendig sind, verbrauchen nur unnötig Energie und die Chancen stehen gut, dass diese nicht umgesetzt werden. Je nach Abteilung, Dienstgrad oder Region können Risiken oder Verhaltensregeln auch anders aussehen und sollten daher in der Kampagne berücksichtigt werden.

Tipp 7: Unterschiedliche Abteilungen – unterschiedliche Bedürfnisse

Je nach Abteilung und deren Zuständigkeiten, sind andere Massnahmen in Bezug auf ein sicheres Verhalten und Schulungen erforderlich. Um zu eruieren, welche Massnahmen bei welcher Abteilung erforderlich sind und wie das Sicherheitsbewusstsein ist, kann der Security Awareness Radar ® verwendet werden. Mit dem Tool befragen Sie alle Mitarbeitenden, inklusive dem Management. Die Ergebnisse lassen sich auf Abteilungsebene oder Mitarbeitersegmente aufzeigen und erlauben es so, gezielte Schwachstellen zu eruieren und entsprechende Massnahmen zu entwickeln.

Nicht jede Abteilung braucht die gleiche Schulung. Abteilungen, deren Mitarbeitende nie am Computer arbeiten, müssen (theoretisch) nicht auf Phishing oder Malware geschult werden. Dafür müssen beispielsweise die Mitarbeitenden in der Personalabteilung besonders mit datenschutzrelevanten Themen konfrontiert werden.

Definieren Sie risikoreiche Bereiche und Mitarbeiter-Segmente und schulen Sie hier gezielt auf ein bestimmtes Thema. Dadurch erhöhen Sie das Sicherheitsbewusstsein dieser Mitarbeitenden und das Risiko für einen erfolgreichen Angriff wird kleiner.

Tipp 8: Messbare Massnahmen definieren und auswählen

Definieren Sie Massnahmen, welche quantitativ oder qualitativ messbar sind. Dies vereinfacht es Ihnen, später zu prüfen, ob die Massnahmen der Sicherheitskampagne gewirkt haben und sich das Verhalten der Mitarbeitenden in die gewünschte Richtung gewandelt hat.

Implementieren einer Sicherheitskultur (Culture)

Tipp 9: Abgleich der Sicherheitsstrategie mit der Geschäftsstrategie

Die Sicherheitsstrategie sollte sich mit den Zielen der Geschäftsstrategie decken. Zudem sollte sie in Zusammenarbeit mit den anderen Abteilungen erarbeitet werden, damit unterschiedliche Bedürfnisse miteinbezogen werden können.

Ein Abgleich mit den Geschäftszielen hilft auch, wenn es darum geht, Kampagnen oder Schulungsmassnahmen bei der Geschäftsleitung genehmigen zu lassen und finanzielle Unterstützung zu erhalten. Wenn Sie aufzeigen können, wo und wie die Sicherheitsstrategie die Geschäftsstrategie unterstützt, erhöhen Sie die Wahrscheinlichkeit, dass die Geschäftsleitung hinter der Sicherheitstrategie und zugehörigen Massnahmen steht und diese aktiv unterstützt. Und für eine gelebte Sicherheitskultur ist dies unerlässlich.

Tipp 10: Überprüfen Sie Ihre Sicherheitskultur regelmässig und passe Sie sie wo nötig an

Eine Kampagne sollte nicht als alleinstehende Massnahme betrachtet werden, sondern Teil eines grossen Ganzen, sprich einer Sicherheitsstrategie sein. Um zu wissen, ob die Sicherheitsstrategie erfolgreich ist, die Massnahmen von Kampagnen passen und umgesetzt werden und sich dadurch eine Sicherheitskultur in Ihrem Unternehmen etabliert, muss die Strategie regelmässig überprüft werden. Daher ist es wichtig, dass Sie bereits im Vorfeld Massnahmen entwickeln, welche überprüfbar sind.

Um die Sicherheitskultur als gesamtes zu überprüfen, kann beispielsweise der Security Awareness Radar ® von TreeSolution verwendet werden. (Hier lesen Sie, was der Security Awareness Radar ® ist und wie er funktioniert)

Zeit, Zeit, Zeit

Nehmen Sie sich Zeit, eine Kampagne zu planen, vorzubereiten und durchzuführen. Das Sicherheitsbewusstsein kann nicht von heute auf morgen in der Firmenkultur integriert und gelebt werden. Daher ist Informationssicherheit und Security Awareness ein laufender Prozess, welcher Jahre dauert. Die beste «Human Firewall» wird nur mit stetigem Schulen und Lernen erreicht.

Eine erfolgreiche Umsetzung

Wir können Ihnen keine erfolgreiche Umsetzung Ihrer Sicherheitskampagne garantieren. Aber wenn Sie diese 10 Punkte beachten, erhöhen Sie die Chance, dass Ihre Kampagne ein Erfolg wird und Ihre Mitarbeitenden nachhaltig ein sicheres Verhalten in ihrem (Arbeits-) Alltag integrieren können. Ihre Mitarbeitenden schützen so nicht nur Ihr Unternehmen und Ihre Daten, sondern auch ihre privaten Informationen.

TreeSolution ist gerne für Sie da, wenn Sie Unterstützung bei der Erarbeitung und Durchführung einer Security Awareness Kampagne benötigen. Kontaktieren Sie uns mit Ihrem Anliegen über das Kontaktformular, per E-Mail oder Telefonisch.

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.