Besondere Gäste im Interview
Mit Birgit Schneider
Was braucht es, um die IT-Sicherheit im Unternehmen zu erhöhen? Wieso ist der Faktor Mensch so wichtig? Und wie finden Sie heraus, wo Ihr Unternehmen noch Potenzial hat und welches die richtigen Massnahmen zur Verbesserung sind?
Das und mehr erfahren Sie hier im Ratgeberstudio. Heute zu Gast ist Dr. Thomas Schlienger, Security Awareness Pionier und Gründer der Firma TreeSolution Security Awareness AG.
Thomas Schlienger: Ich habe bereits vor über 20 Jahren erkannt, dass der Faktor Mensch für die IT-Sicherheit irgendwann kritisch wird. Genau gleich wie in der Verkehrssicherheit oder in der Sicherheit von Kernkraftanlagen, spielt auch in der IT das menschliche Verhalten ein entscheidender Faktor.
Doch das Verhalten von Menschen zu verändern, ist eine Herausforderung. Wir arbeiten mit unseren Kunden darauf hin, dass der sichere Umgang mit Informationen und IT-Systemen ein Teil der Unternehmenskultur wird. Erst dann wird Sicherheit gelebt und die Risiken werden nachhaltig sinken.
Die Schnittstelle zwischen Menschen und Technik finde ich unglaublich faszinierend. Hier den Sicherheitsbeauftragten bewährte Lösungen anzubieten und sie dabei zu unterstützen, ihre Ziele zu erreichen, macht mich glücklich.
Heute ist glücklicherweise anerkannt, dass der Mensch eine wichtige Rolle in der Sicherheit spielt. Denn fast jeden Tag kann man in der Presse über einen neuen Vorfall lesen. Wir stellen aber fest, dass es sich die meisten Unternehmen zu einfach machen. Wie in der IT-Technik möchte man am liebsten ein Sicherheits-Update für den Menschen einspielen können. Man denkt, dass man mit einer einzigen Massnahme alle Probleme beheben kann. Das funktioniert so aber nicht.
Dafür gibt es zwei Hauptgründe:
Als Erstes muss der Kunde herausfinden, wo überhaupt der Schuh drückt, damit er die richtigen Prioritäten bei den Massnahmen setzen kann. Braucht es z. B. einfach häufiger Schulungen oder muss zuerst das Management ins Boot geholt werden? Oder müssen gewisse Zielgruppen, wie die Finanzabteilung oder der Aussendienst, auf bestimmte Themen geschult werden? Und wie können wir aufzeigen, wie erfolgreich diese Massnahmen waren? Die wenigsten Anbieter sind in der Lage, hier Unterstützung zu bieten und wenn, dann reduziert sich das auf einfache KPIs wie Anzahl Klicks im Phishing-Test oder Teilnahmequoten an Schulungen. Diese geben keine echten Informationen über das tatsächliche Verhalten. Mit unserem Security Awareness Radar® hingegen bekommen unsere Kunden genau diese Informationen und noch viel mehr.
Viele überschätzen, was man in kurzer Zeit erreichen kann und unterschätzen, was man langfristig tatsächlich erreicht. Ich empfehle daher, immer mittel- bis langfristig über 2-4 Jahre zu planen und die Aktivitäten geschickt über diesen Zeitraum zu verteilen. Denn nur durch Kontinuität kann man auch wirklich etwas verändern.
Wir sollten uns auch bewusst sein, dass es verschiedene Lerntypen gibt. Nicht alle lernen gleich und auf die gleiche Art und Weise. Deshalb ist es wichtig, dass die Mitarbeitenden über möglichst viele unterschiedliche Kanäle wie z. B. E-Learnings, Filme oder Druckmedien angesprochen werden.
Viele Anbieter versprechen, dass mit ein paar einfachen Sensibilisierungs- oder Schulungs-Massnahmen wie z. B. Animationsfilmen, unregelmässig durchgeführten E-Learning-Kursen oder jährlichen Security Days alle Probleme gelöst werden. Doch das stimmt einfach nicht. Sicheres Verhalten zur Routine werden zu lassen – das bedingt viel, viel mehr.
Doch den meisten Anbietern fehlt genau dieses Verständnis der komplexen Zusammenhänge menschlichen Verhaltens. Sie können ihre Kunden hierzu nicht richtig beraten oder die richtigen Lösungen anbieten.
Was auch gerne verschwiegen wird, ist, dass wenn das Management und die Teamleiter nicht hinter der Sicherheit stehen und als Vorbild wirken, dann verpuffen alle Massnahmen wirkungslos. In einem solchen Fall wäre es sinnvoller, zuerst mit Management-Workshops zu beginnen, als mit einer flächendeckenden Schulung der Mitarbeitenden.
Wir haben vermutlich die längste Erfahrung im Markt. Ich beschäftige mich schon seit dem Jahr 2000 mit dem Thema. Zuerst während meiner Doktorarbeit und ab 2005 auch mit meinem Unternehmen TreeSolution Security Awareness AG. Wir haben uns rein auf das Thema Security Awareness und Informationssicherheitskultur spezialisiert. Bei allem, was wir tun, ist es mir wichtig, dass es zwar wissenschaftlich fundiert, aber auch praktikabel umsetzbar ist. Wir wollen die wertvolle Zeit der Mitarbeitenden nicht verschwenden.
Unser Fokus liegt daher ganz klar auf nachhaltigen Verhaltensveränderungen. Denn wir wollen keine Placebo-Awareness machen, um einen Compliance-Officer oder Auditor zufriedenzustellen. Daher betrachten wir immer das gesamte System, in dem der Mensch arbeitet. Unser Ansatz zur Messung der Sicherheitskultur mit dem Security Awareness Radar® ist weltweit einzigartig und unsere Kunden bestätigen uns auch immer wieder, dass eine solche Messung extrem hilfreich ist.
Aus unserer langjährigen Erfahrung haben wir daher ein besonderes Paket geschnürt: den Security Awareness Akademie. Damit können unsere Kunden die Sicherheitskultur messen, Massnahmen planen und priorisieren und dann auch gleich mit den zur Verfügung stehenden Materialien Sensibilisierungs- und Schulungs-Massnahmen umsetzen. Ein Rundum-sorglos-Paket sozusagen.
Obwohl es uns schon seit 2005 gibt, kennt man uns nicht unbedingt, da wir sehr stark spezialisiert sind. Da braucht es manchmal ein bisschen länger, dass Vertrauen in uns aufzubauen, gerade wenn es um längerfristige Engagements oder sehr grosse Projekte geht.
Als Kleinunternehmen bekommen wir auch immer wieder die Frage gestellt, ob wir überhaupt in der Lage sind, die Dienstleistung zeitnah und qualitativ hochstehend zu erbringen.
Doch sind genau diese beiden Punkte eigentlich Argumente für uns und nicht gegen uns. Da wir seit vielen Jahren nichts anderes machen als Security Awareness, sind wir absolute Spezialisten auf dem Gebiet. Mehr Qualität bekommt man nirgendwo. Und als Kleinunternehmen können wir auch flexibel auf die Kundenbedürfnisse eingehen.
Gerne.
Vielen Dank! Wie können Sie kontaktiert werden, wenn noch Fragen offen sind?
Auf unserer Webseite www.treesolution.com finden Sie oben rechts das Kontakt-Menü mit verschiedenen Kontaktmöglichkeiten. Es kann das Kontaktformular ausgefüllt werden, eine E-Mail geschrieben werden oder ein Termin für ein Beratungsgespräch vereinbart werden.
Soll es schnell gehen? Vereinbaren Sie gleich hier einen Termin für ein kostenloses Beratungsgespräch.
Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement: