21.06.2021

10 Tipps zur erfolgreichen Umsetzung einer Security Awareness-Kampagne

Auf das sollten Sie achten, damit Ihre Security Awareness-Kampagne zum Erfolg wird?

Sind Sie dabei, in Ihrem Unternehmen eine Security Awareness-Kampagne zu planen und umzusetzen? Sie erhalten hier 10 Tipps von uns, an die Sie bei der Umsetzung denken sollten, damit Ihre Kampagne zum Erfolg wird.

Bei der Umsetzung einer erfolgreichen Cybersicherheits-Kampagne fokussieren wir uns auf drei Pfeiler, dem TreeSolution Security-ABC:

1. Awareness & Kommunikation (Awareness)
2. Training (Behaviour)
3. Implementieren einer Sicherheitskultur (Culture)

Unsere Tipps sind entsprechend nach diesen drei Pfeilern gegliedert.

Awareness & Kommunikation (Awareness)

Tipp 1: Einbinden der wichtigsten Stakeholder und analysieren der Endnutzer

Bei der Planung sollten die wichtigsten Stakeholder mit einbezogen werden. Das heisst, dass Sie Vertreter aus den betroffenen Abteilungen, Regionen und Mitarbeitersegmente einladen und sie beim Erarbeiten der Massnahmen und der Art und Weise wie kommuniziert werden soll, einbinden.

Die Vertreter wissen besser Bescheid, welche Herausforderungen in ihrem Bereich zu überwinden sind. Sie können Ihnen über Bedenken und Kritiken der Mitarbeitenden Auskunft geben und Ihnen Vorschläge machen, wie diesen am besten begegnet werden sollte.

Die Stakeholder sollen auch dabei helfen, die Endnutzer zu analysieren. Wissen alle Mitarbeitenden gleich über IT-Kenntnisse Bescheid und wie man einen PC verwendet oder gibt es solche, welche noch über die Grundlagen geschult werden müssen? Welche aktuellen Sicherheitsmassnahmen werden von den Mitarbeitenden geschätzt und welche als hinderlich angesehen? Werden diese umgesetzt, wenn nicht, weshalb nicht?

Tipp 2: Zusammenarbeit aller Abteilungen und Mitarbeitersegmente inkl. Management

Wie bereits in Tipp 1 gesagt wurde, sollten bei der Planung einer Sicherheitskampagne alle Stakeholder eingebunden werden. Das heisst auch, dass alle Abteilungen, Mitarbeitersegmente und das Management für die Erarbeitung und Umsetzung zusammenarbeiten sollten, um die Erfolgschancen der Kampagne zu erhöhen.

Für das Management heisst das, dass es hinter der Kampagne steht und das gewünschte sichere Verhalten vorleben und unterstützten muss. Führungskräfte sollen ihre Mitarbeitenden motivieren, das sichere Verhalten anzuwenden und die Massnahmen der Kampagne umzusetzen. So sollen beispielsweise Mitarbeitende keine Bedenken haben, einen Phishing-Vorfall ihrem Vorgesetzten zu melden.

Auch «normale» Mitarbeitende können als Vorbilder fungieren und ihre Arbeitskolleginnen und -Kollegen ermutigen, sich sicher zu verhalten. Wird vorgelebt, dass eine sichere Verhaltensweise nicht einschränkend oder bei der Arbeit behindernd ist, wird sie viel schneller und eher von den anderen Mitarbeitenden übernommen.

Security-Ambassadoren sollten für die Kampagne aus möglichst allen betroffenen Abteilungen vertreten sein. Diese helfen bei der Erarbeitung der Massnahmen mit und sorgen ggf. dafür, dass für ihre Abteilung spezifische Massnahmen eingeplant werden können. Zudem stehen sie den Mitarbeitenden aus ihrer Abteilung mit Rat und Tat zur Seite, wenn es um die Umsetzung geht, und auch sie sind Vorbilder beim Leben der neuen Regeln und Verhaltensweisen.

Tipp 3: Den Faktor Mensch nicht vergessen

Möchte man den Menschen als Mittel der IT-Sicherheit integrieren, muss man ein paar Einflussfaktoren bei der Kampagnen und der Schulung beachten. Um das Sicherheitsbewusstsein der Mitarbeitenden zu fördern und zu stärken, sollte auf diese eingegangen werden.

  • Nutzen Sie bei Kampagnen eine einfache und verständliche Sprache mit möglichst wenig Fachausdrücken.
  • Vermeiden Sie eine angstmachende Kommunikation («das ist falsch», «das darf man nicht», «ist verboten», etc.) und verwenden Sie stattdessen humoristische Elemente. So können die Risiken beispielsweise mit einem Cartoon vermittelt werden.
  • Zeigen Sie Risiken und Erfolge anhand interner Beispiele. Das hilft den Mitarbeitenden, sich besser mit dem Unternehmen und dem gewünschten Verhalten zu identifizieren und es umzusetzen.
  • Das Verhalten eines Menschen ist je nach Kultur unterschiedlich. Dies kann regional sein (z. B. bei internationalen Unternehmen) aber auch je nach Abteilung (Finanz- vs. Verkaufsabteilung). Ist die Schulung nur spezifisch für eine Abteilung oder eine Region, sollte genau auf deren kulturellem Verhalten basierend die Kampagne aufgebaut werden. Bei einer firmenübergreifenden Kampagne versuchen Sie am besten, möglichst alle in der Kommunikation abzudecken. Das heisst, dass Sie z. B. die individuelle Ebene («ich») als auch die gemeinschaftliche Ebene («wir») ansprechen.
  • Oft wird Sicherheit als Verhinderer angesehen. Daher ist es wichtig, Massnahmen festzulegen, welche anwendbar sind. Zeigen Sie, wie auf einfache Art und Weise das gewünschte Verhalten umgesetzt werden kann. Zeigen Sie ebenfalls die Vorteile des sicheren Verhaltens auf.

Denken Sie ebenfalls daran, dass die Motivation und die Fähigkeit zu einer Verhaltensveränderung eine Rolle spielen, ob diese angenommen wird oder nicht. Hat beispielsweise ein älterer Mitarbeitender wenige PC-Kenntnisse, können Sie nicht von ihm erwarten, dass er über die Risiken von Malware Bescheid weiss und worauf er achten muss, um Malware zu verhindern. Einem solchen Mitarbeitenden muss zuerst erklärt werden, was Malware überhaupt ist und welchen Schaden es anrichten kann.

Lesen Sie mehr dazu, wie man das Verhalten der Mitarbeitenden verändern kann in unseren Blogbeiträgen, Teil 1 und Teil 2.

Tipp 4: Denken Sie an die Lerntypen

Nicht alle Menschen lernen auf die gleiche Art und Weise effektiv und effizient. Daher ist es bei Informationssicherheitskampagnen wichtig, dass man die unterschiedlichen Lerntypen berücksichtigt und mit dem entsprechenden Kampagnen- und Schulungsmaterial abdeckt.

Es gibt vier Lerntypen:

  • Visueller Lerntyp
  • Auditiver Lerntyp
  • Kognitiver Lerntyp
  • Haptischer Lerntyp

Idealerweise decken Sie alle vier Lerntypen ab. Dies kann sich jedoch als schwieriger erweisen als gedacht.

Tipp 5: Kommunikation mit dem Top Management vs. den Mitarbeitenden

Nicht alle Zielgruppen müssen gleich angesprochen werden und benötigen die gleichen Informationen.

Wenn es darum geht, dem Top Management den Stand der Informationssicherheit oder der Sicherheitskampagne zu erläutern, müssen ein paar Punkte beachtet werden.

  • Verwenden Sie eine klare und einfache Sprache ohne Fachbegriffe
  • Erläutern Sie die Verbindung zu den Geschäftszielen. Z. B. wie unterstützt die Informationssicherheit oder die Sicherheitskampagne die Zielerreichung.
  • Nennen Sie die grössten und wahrscheinlichsten Risiken in Ihrer Branche
  • Verbinden Sie die Risiken mit den strategischen Zielen klar miteinander und zeigen Sie Möglichkeiten auf, wie die Risiken minimiert werden können.
  • Zeigen Sie die nächsten Schritte auf.

Soll sich das Verhalten der Mitarbeitenden verändern, braucht es eine andere Kommunikation, als wenn sich das Verhalten des Managements verändern sollte. Achten Sie bei der Kommunikation für die Mitarbeitenden auf folgende Punkte:

  • Vermeiden Sie eine angstmachende und einschüchternde Kommunikationsweise.
  • Wählen Sie eine einfache und verständliche Sprache.
  • Geben Sie Beispiele aus dem Alltag zu Hause und bei der Arbeit aus Ihrem Unternehmen. Ev. sogar spezifisch für eine Abteilung.
  • Heben Sie die positiven Aspekte der Verhaltensveränderung hervor. Was bringt es dem einzelnen Mitarbeitenden genau, wenn er sein Verhalten ändert?
  • Beachten Sie kulturelle Unterschiede beim Kommunizieren, wenn Sie ein international tätiges Unternehmen sind (siehe Tipp 3).

Training (Behaviour)

Tipp 6: Es braucht technische Lösungen, Richtlinien und Trainings

Um sich im Bereich Cybersicherheit zu wappnen, braucht es einerseits technische Lösungen wie beispielsweise Firewalls und Passwortschutz. Andererseits braucht es aber auch Richtlinien und Regelwerke, wo der sichere Umgang mit Soft- und Hardware, Sicherheitssystemen sowie ein sicheres Verhalten mit Daten und Informationen abgebildet ist. Training und Awareness unterstützen diese Komponenten. Daher ist es wichtig, dass die Ziele und Massnahmen sowie Inhalte einer Kampagne auf Richtlinien, Vorgaben und technischen Lösungen abgestimmt sind.

Das erwünschte Verhalten aus den Richtlinien muss in der Kampagne integriert sein. Regeln und Verhaltensweisen zu schulen, welche nicht notwendig sind, verbrauchen nur unnötig Energie und die Chancen stehen gut, dass diese nicht umgesetzt werden. Je nach Abteilung, Dienstgrad oder Region können Risiken oder Verhaltensregeln auch anders aussehen und sollten daher in der Kampagne berücksichtigt werden.

Tipp 7: Unterschiedliche Abteilungen – unterschiedliche Bedürfnisse

Je nach Abteilung und deren Zuständigkeiten sind andere Massnahmen in Bezug auf ein sicheres Verhalten und Schulungen erforderlich. Um zu ermitteln, welche Massnahmen bei welcher Abteilung erforderlich sind und wie das Sicherheitsbewusstsein ist, kann der Security Awareness Radar® verwendet werden. Mit dem Tool befragen Sie alle Mitarbeitenden, inklusive dem Management. Die Ergebnisse lassen sich auf Abteilungsebene oder Mitarbeitersegment aufzeigen und erlauben es so, gezielte Schwachstellen zu ermitteln und entsprechende Massnahmen zu entwickeln.

Nicht jede Abteilung braucht die gleiche Schulung. Abteilungen, deren Mitarbeitende nie am PC arbeiten, müssen (theoretisch) nicht auf Phishing oder Malware geschult werden. Dafür müssen beispielsweise die Mitarbeitenden in der Personalabteilung besonders mit datenschutzrelevanten Themen konfrontiert werden.

Bestimmen Sie risikoreiche Bereiche und Mitarbeitersegmente und schulen Sie hier gezielt auf ein bestimmtes Thema. Dadurch erhöhen Sie das Sicherheitsbewusstsein dieser Mitarbeitenden und das Risiko für einen erfolgreichen Angriff wird kleiner.

Tipp 8: Messbare Massnahmen festlegen und auswählen

Entscheiden Sie sich für Massnahmen, welche quantitativ oder qualitativ messbar sind. Dies vereinfacht es Ihnen, später zu prüfen, ob die Massnahmen der Sicherheitskampagne gewirkt haben und sich das Verhalten der Mitarbeitenden in die gewünschte Richtung gewandelt hat.

Implementieren einer Sicherheitskultur (Culture)

Tipp 9: Abgleich der Sicherheitsstrategie mit der Geschäftsstrategie

Die Sicherheitsstrategie sollte sich mit den Zielen der Geschäftsstrategie decken. Zudem sollte sie in Zusammenarbeit mit den anderen Abteilungen erarbeitet werden, damit unterschiedliche Bedürfnisse miteinbezogen werden können.

Ein Abgleich mit den Geschäftszielen hilft auch, wenn es darum geht, Kampagnen oder Schulungsmassnahmen bei der Geschäftsleitung genehmigen zu lassen und finanzielle Unterstützung zu erhalten. Wenn Sie aufzeigen können, wo und wie die Sicherheitsstrategie die Geschäftsstrategie unterstützt, erhöhen Sie die Wahrscheinlichkeit, dass die Geschäftsleitung hinter der Sicherheitsstrategie und zugehörigen Massnahmen steht und diese aktiv unterstützt. Und für eine gelebte Sicherheitskultur ist dies unerlässlich.

Tipp 10: Überprüfen Sie Ihre Sicherheitskultur regelmässig und passen Sie sie wo nötig an

Eine Kampagne sollte nicht als alleinstehende Massnahme betrachtet werden, sondern Teil eines grossen Ganzen, sprich einer Sicherheitsstrategie sein. Um zu wissen, ob die Sicherheitsstrategie erfolgreich ist, die Massnahmen von Kampagnen passen und umgesetzt werden und sich dadurch eine Sicherheitskultur in Ihrem Unternehmen etabliert, muss die Strategie regelmässig überprüft werden. Daher ist es wichtig, dass Sie bereits im Vorfeld Massnahmen entwickeln, welche überprüfbar sind.

Um die Sicherheitskultur als Gesamtes zu überprüfen, kann beispielsweise der Security Awareness Radar® von TreeSolution verwendet werden. (Hier lesen Sie, was der Security Awareness Radar ® ist und wie er funktioniert)

Zeit, Zeit, Zeit

Nehmen Sie sich Zeit, eine Kampagne zu planen, vorzubereiten und durchzuführen. Das Sicherheitsbewusstsein kann nicht von heute auf morgen in der Unternehmenskultur integriert und gelebt werden. Daher ist Informationssicherheit und Security Awareness ein laufender Prozess, welcher Jahre dauert. Die beste «Human Firewall» wird nur mit stetigem Schulen und Lernen erreicht.

Eine erfolgreiche Umsetzung

Wir können Ihnen keine erfolgreiche Umsetzung Ihrer Sicherheitskampagne garantieren. Aber wenn Sie diese 10 Punkte beachten, erhöhen Sie die Chance, dass Ihre Kampagne ein Erfolg wird und Ihre Mitarbeitenden nachhaltig ein sicheres Verhalten in ihrem Arbeitsalltag integrieren können. Ihre Mitarbeitenden schützen so nicht nur Ihr Unternehmen und Ihre Daten, sondern auch ihre privaten Informationen.

TreeSolution ist gerne für Sie da, wenn Sie Unterstützung bei der Erarbeitung und Durchführung einer Security Awareness-Kampagne benötigen. Kontaktieren Sie uns mit Ihrem Anliegen über das Kontaktformular, per E-Mail oder telefonisch.