Sind Sie dabei, in Ihrem Unternehmen eine Security Awareness-Kampagne zu planen und umzusetzen? Sie erhalten hier 10 Tipps von uns, an die Sie bei der Umsetzung denken sollten, damit Ihre Kampagne zum Erfolg wird.
Bei der Umsetzung einer erfolgreichen Cybersicherheits-Kampagne fokussieren wir uns auf die drei Pfeiler vom TreeSolution Security ABC:
1. Sensibilisierung & Kommunikation (Awareness)
2. Training (Behaviour)
3. Implementieren einer Sicherheitskultur (Culture)
Unsere Tipps sind entsprechend nach diesen drei Pfeilern gegliedert.
Bei der Planung sollten die wichtigsten Stakeholder einbezogen werden. Das heisst, dass Sie Vertreter aus den betroffenen Abteilungen, Regionen und Mitarbeitersegmenten einladen und sie beim Erarbeiten der Massnahmen und der Art und Weise, wie kommuniziert werden soll, einbinden.
Die Stakeholder wissen besser Bescheid, welche Herausforderungen in ihrem Bereich zu überwinden sind. Sie können Ihnen über Bedenken und Kritiken der Mitarbeitenden Auskunft geben und Ihnen Vorschläge machen, wie diesen am besten begegnet werden sollte.
Die Stakeholder sollen auch dabei helfen, den aktuellen Wissensstand und die Bedürfnisse der Endbenutzer zu ermitteln. Z. B. Haben alle Mitarbeitenden die gleichen IT-Kenntnisse? Gibt es Mitarbeitende, die zusätzlich oder auf eine andere Art und Weise als geplant geschult werden müssen? Welche aktuellen Sicherheitsmassnahmen werden von den Mitarbeitenden geschätzt und welche als hinderlich angesehen? Werden diese umgesetzt oder falls nicht, wieso?
Wie bereits in Tipp 1 gesagt wurde, sollten bei der Planung einer Sicherheitskampagne alle Stakeholder eingebunden werden. Das heisst auch, dass alle Abteilungen, Mitarbeitersegmente und das Management für die Erarbeitung und Umsetzung zusammenarbeiten sollten, um die Erfolgschancen der Kampagne zu erhöhen.
Für das Management heisst das, dass es hinter der Kampagne steht und das gewünschte sichere Verhalten vorleben und unterstützten muss. Führungskräfte sollen ihre Mitarbeitenden motivieren, das sichere Verhalten anzuwenden. So sollen z. B. Mitarbeitende keine Bedenken haben, einen Phishing-Vorfall ihrem Vorgesetzten zu melden.
Auch «normale» Mitarbeitende können als Ambassadoren fungieren und ihre Arbeitskolleginnen und -kollegen ermutigen, sich sicher zu verhalten. Wird vorgelebt, dass eine sichere Verhaltensweise nicht einschränkend oder bei der Arbeit behindernd ist, wird sie viel schneller und eher von den anderen Mitarbeitenden übernommen.
Bei der Entwicklung einer Kampagne sollten möglichst Ambassadoren aller betroffenen Abteilungen beteiligt sein. Die Ambassadoren helfen bei der Erarbeitung der Massnahmen einer Kampagne mit und sorgen ggf. dafür, dass für ihre Abteilung spezifische Massnahmen eingeplant werden können. Zudem stehen sie den Mitarbeitenden aus ihrer Abteilung mit Rat und Tat zur Seite. Die Ambassadoren sind Vorbilder beim Vorleben der neuen Regeln und Verhaltensweisen.
Möchte man den Menschen als Mittel der IT-Sicherheit integrieren, muss man wichtige Faktoren bei der Kampagnen und der Schulung beachten. Um das Sicherheitsbewusstsein der Mitarbeitenden zu fördern und zu stärken, sollte auf deren Bedürfnisse eingegangen werden.
Denken Sie ebenfalls daran, dass die Motivation und die Fähigkeit zu einer Verhaltensveränderung eine Rolle spielen, ob diese von den Mitarbeitenden angenommen wird oder nicht. Hat z. B. ein älterer Mitarbeitender wenige PC-Kenntnisse, können Sie nicht von ihm erwarten, dass er die Risiken von Malware kennt und weiss worauf er achten muss, um Malware zu verhindern. Einem solchen Mitarbeitenden muss zuerst erklärt werden, was Malware überhaupt ist und welchen Schaden es anrichten kann.
Lesen Sie mehr dazu, wie man das Verhalten der Mitarbeitenden verändern kann in unserem Blogbeitrag.
Nicht alle Menschen lernen auf die gleiche Art und Weise effektiv und effizient. Daher ist es bei Informationssicherheitskampagnen wichtig, dass man die unterschiedlichen Lerntypen berücksichtigt und mit dem entsprechenden Kampagnen- und Schulungsmaterial abdeckt.
Es gibt vier Lerntypen:
Idealerweise decken Sie alle vier Lerntypen ab. Dies kann sich jedoch als schwieriger erweisen als gedacht.
Nicht alle Zielgruppen müssen gleich angesprochen werden und benötigen die gleichen Informationen.
Wenn es darum geht, dem Top-Management den Stand der Informationssicherheit oder der Sicherheitskampagne zu erläutern, müssen ein paar Punkte beachtet werden.
Soll sich das Verhalten der Mitarbeitenden verändern, braucht es eine andere Kommunikation, als wenn sich das Verhalten des Top-Managements verändern sollte. Achten Sie bei der Kommunikation für die Mitarbeitenden auf folgende Punkte:
Um sich im Bereich Cybersicherheit zu wappnen, braucht es einerseits technische Lösungen wie z. B. Firewalls und Passwortschutz. Andererseits braucht es aber auch Richtlinien und Regelwerke über den sicheren Umgang mit Soft- und Hardware, Sicherheitssystemen sowie über das sichere Verhalten mit Daten und Informationen. Training und Awareness unterstützen diese Komponenten. Daher ist es wichtig, dass die Ziele und Massnahmen sowie Inhalte einer Kampagne auf Richtlinien, Vorgaben und technischen Lösungen abgestimmt sind.
Das erwünschte Verhalten aus den Richtlinien muss in der Kampagne integriert sein. Regeln und Verhaltensweisen zu schulen, welche nicht notwendig sind, verbrauchen nur unnötig Energie und die Chancen stehen gut, dass diese nicht umgesetzt werden. Je nach Abteilung, Führungsstufe oder Region können Risiken oder Verhaltensregeln auch anders aussehen und sollten daher in der Kampagne berücksichtigt werden.
Je nach Abteilung und deren Zuständigkeiten sind andere Massnahmen in Bezug auf ein sicheres Verhalten und Schulungen erforderlich. Um zu ermitteln, welche Massnahmen bei welcher Abteilung erforderlich sind und wie das Sicherheitsbewusstsein ist, kann der TreeSolution Security Awareness Radar® verwendet werden. Mit diesem Tool befragen Sie alle Mitarbeitenden inklusive dem Top-Management. Die Ergebnisse lassen sich auf Abteilungsebene aufzeigen und erlauben es so, gezielte Schwachstellen zu ermitteln und entsprechende Massnahmen zu entwickeln.
Nicht alle Mitarbeitenden brauchen die gleiche Schulung. Mitarbeitende, die nie am PC arbeiten, müssen (theoretisch) nicht auf Phishing oder Malware geschult werden. Dafür müssen z. B. die Mitarbeitenden in der Personalabteilung, die besonders mit datenschutzrelevanten Themen zu tun haben, zum Thema Datenschutz geschult werden.
Wenn Sie herausfinden, in welchen Bereichen bzw. bei welchen Mitarbeitenden welche Wissenslücken bestehen, können Sie genau in diesen Bereichen gezielt Schulungen durchführen. Dadurch erhöhen Sie das Sicherheitsbewusstsein dieser Mitarbeitenden und das Risiko für einen erfolgreichen Angriff wird kleiner.
Entscheiden Sie sich für Massnahmen, welche quantitativ oder qualitativ messbar sind. Dies vereinfacht es Ihnen, später zu prüfen, ob die Massnahmen der Sicherheitskampagne gewirkt haben und sich das Verhalten der Mitarbeitenden in die gewünschte Richtung gewandelt hat.
Die Sicherheitsstrategie sollte sich mit den Zielen der Geschäftsstrategie decken. Zudem sollte sie in Zusammenarbeit mit den anderen Abteilungen erarbeitet werden, damit unterschiedliche Bedürfnisse mit einbezogen werden können.
Ein Abgleich mit den Geschäftszielen hilft auch, wenn es darum geht, Kampagnen oder Schulungsmassnahmen bei der Geschäftsleitung genehmigen zu lassen und finanzielle Unterstützung zu erhalten. Wenn Sie aufzeigen können, wo und wie die Sicherheitsstrategie die Geschäftsstrategie unterstützt, erhöhen Sie die Wahrscheinlichkeit, dass die Geschäftsleitung hinter der Sicherheitsstrategie und zugehörigen Massnahmen steht und diese aktiv unterstützt. Und für eine gelebte Sicherheitskultur ist dies unerlässlich.
Eine Kampagne sollte nicht als alleinstehende Massnahme betrachtet werden, sondern Teil eines grossen Ganzen, sprich einer Sicherheitsstrategie, sein. Um zu wissen, ob eine Kampagne und ihre Massnahmen zum gewünschten Erfolg geführt haben, d. h. ob eine sicherheitsbewusste Unternehmenskultur entstanden ist, ist es wichtig, die Unternehmenskultur regelmässig zu messen und die Strategie entsprechend anzupassen. Daher ist es wichtig, dass Sie bereits im Vorfeld Massnahmen entwickeln, welche überprüfbar sind.
Um die Sicherheitskultur als Gesamtes zu überprüfen, kann beispielsweise der Security Awareness Radar® von TreeSolution verwendet werden. (Hier lesen Sie, was der Security Awareness Radar ® ist und wie er funktioniert)
Nehmen Sie sich Zeit, eine Kampagne zu planen, vorzubereiten und durchzuführen. Das Sicherheitsbewusstsein kann nicht von heute auf morgen in der Unternehmenskultur integriert und gelebt werden. Daher ist Informationssicherheit und Security Awareness ein laufender Prozess, welcher Jahre dauert. Die beste «Human Firewall» wird nur mit stetigem Schulen und Lernen erreicht.
Wir können Ihnen keine erfolgreiche Umsetzung Ihrer Sicherheitskampagne garantieren. Aber wenn Sie diese 10 Punkte beachten, erhöhen Sie die Chance, dass Ihre Kampagne ein Erfolg wird und Ihre Mitarbeitenden nachhaltig ein sicheres Verhalten in ihrem Arbeitsalltag integrieren können. Ihre Mitarbeitenden schützen so Ihr Unternehmen und Ihre Daten.
TreeSolution ist gerne für Sie da, wenn Sie Unterstützung bei der Erarbeitung und Durchführung einer Security Awareness-Kampagne benötigen. Kontaktieren Sie uns mit Ihrem Anliegen über das Kontaktformular, per E-Mail oder telefonisch.