10 Tipps zur erfolgreichen Umsetzung einer Security Awareness-Kampagne

#
Informationssicherheit
#
Awareness Kampagnen
Auf das sollten Sie achten, damit Ihre Security Awareness-Kampagne zum Erfolg wird

Sind Sie dabei, in Ihrem Unternehmen eine Security Awareness-Kampagne zu planen und umzusetzen? Sie erhalten hier 10 Tipps von uns, an die Sie bei der Umsetzung denken sollten, damit Ihre Kampagne zum Erfolg wird.

Bei der Umsetzung einer erfolgreichen Cybersicherheits-Kampagne fokussieren wir uns auf die drei Pfeiler vom TreeSolution Security ABC:

1. Sensibilisierung & Kommunikation (Awareness)
2. Training (Behaviour)
3. Implementieren einer Sicherheitskultur (Culture)

Unsere Tipps sind entsprechend nach diesen drei Pfeilern gegliedert.

Sensibilisierung & Kommunikation (Awareness)

Tipp 1: Einbinden der wichtigsten Stakeholder und Bedürfnisse der Endbenutzer

Bei der Planung sollten die wichtigsten Stakeholder einbezogen werden. Das heisst, dass Sie Vertreter aus den betroffenen Abteilungen, Regionen und Mitarbeitersegmenten einladen und sie beim Erarbeiten der Massnahmen und der Art und Weise, wie kommuniziert werden soll, einbinden.

Die Stakeholder wissen besser Bescheid, welche Herausforderungen in ihrem Bereich zu überwinden sind. Sie können Ihnen über Bedenken und Kritiken der Mitarbeitenden Auskunft geben und Ihnen Vorschläge machen, wie diesen am besten begegnet werden sollte.

Die Stakeholder sollen auch dabei helfen, den aktuellen Wissensstand und die Bedürfnisse der Endbenutzer zu ermitteln. Z. B. Haben alle Mitarbeitenden die gleichen IT-Kenntnisse? Gibt es Mitarbeitende, die zusätzlich oder auf eine andere Art und Weise als geplant geschult werden müssen? Welche aktuellen Sicherheitsmassnahmen werden von den Mitarbeitenden geschätzt und welche als hinderlich angesehen? Werden diese umgesetzt oder falls nicht, wieso?

Tipp 2: Zusammenarbeit aller Abteilungen und Mitarbeitersegmente inkl. Management

Wie bereits in Tipp 1 gesagt wurde, sollten bei der Planung einer Sicherheitskampagne alle Stakeholder eingebunden werden. Das heisst auch, dass alle Abteilungen, Mitarbeitersegmente und das Management für die Erarbeitung und Umsetzung zusammenarbeiten sollten, um die Erfolgschancen der Kampagne zu erhöhen.

Für das Management heisst das, dass es hinter der Kampagne steht und das gewünschte sichere Verhalten vorleben und unterstützten muss. Führungskräfte sollen ihre Mitarbeitenden motivieren, das sichere Verhalten anzuwenden. So sollen z. B. Mitarbeitende keine Bedenken haben, einen Phishing-Vorfall ihrem Vorgesetzten zu melden.

Auch «normale» Mitarbeitende können als Ambassadoren fungieren und ihre Arbeitskolleginnen und -kollegen ermutigen, sich sicher zu verhalten. Wird vorgelebt, dass eine sichere Verhaltensweise nicht einschränkend oder bei der Arbeit behindernd ist, wird sie viel schneller und eher von den anderen Mitarbeitenden übernommen.

Bei der Entwicklung einer Kampagne sollten möglichst Ambassadoren aller betroffenen Abteilungen beteiligt sein. Die Ambassadoren helfen bei der Erarbeitung der Massnahmen einer Kampagne mit und sorgen ggf. dafür, dass für ihre Abteilung spezifische Massnahmen eingeplant werden können. Zudem stehen sie den Mitarbeitenden aus ihrer Abteilung mit Rat und Tat zur Seite. Die Ambassadoren sind Vorbilder beim Vorleben der neuen Regeln und Verhaltensweisen.

Tipp 3: Den Faktor «Mensch» nicht vergessen

Möchte man den Menschen als Mittel der IT-Sicherheit integrieren, muss man wichtige Faktoren bei der Kampagnen und der Schulung beachten. Um das Sicherheitsbewusstsein der Mitarbeitenden zu fördern und zu stärken, sollte auf deren Bedürfnisse eingegangen werden.

  • Nutzen Sie eine einfache und verständliche Sprache mit möglichst wenig Fachausdrücken.
  • Vermeiden Sie eine angstmachende Kommunikation («das ist falsch», «das darf man nicht», «ist verboten» etc.) und verwenden Sie stattdessen vertrauensfördernde  und ev. sogar humoristische Elemente. So können die Risiken z. B. mit einem Cartoon vermittelt werden.
  • Zeigen Sie Risiken und Erfolge anhand interner Beispiele. Das hilft den Mitarbeitenden, sich besser mit dem Unternehmen und dem gewünschten Verhalten zu identifizieren und es umzusetzen.
  • Das Verhalten eines Menschen ist je nach Kultur unterschiedlich. Dies kann regional sein (z. B. bei internationalen Unternehmen) aber auch je nach Abteilung (Finanz- vs. Verkaufsabteilung). Ist die Schulung nur spezifisch für eine Abteilung oder eine Region, sollte genau auf deren kulturellem Verhalten basierend die Kampagne aufgebaut werden. Bei einer unternehmensübergreifenden Kampagne versuchen Sie am besten, möglichst alle in der Kommunikation abzudecken. Das heisst, dass Sie z. B. die individuelle Ebene («ich») sowie die gemeinschaftliche Ebene («wir») ansprechen.
  • Sicherheit wird oft als Hindernis gesehen. Daher ist es wichtig, Massnahmen festzulegen, welche anwendbar sind. Zeigen Sie, wie auf einfache Art und Weise das gewünschte Verhalten umgesetzt werden kann. Zeigen Sie ebenfalls die Vorteile des sicheren Verhaltens auf.

Denken Sie ebenfalls daran, dass die Motivation und die Fähigkeit zu einer Verhaltensveränderung eine Rolle spielen, ob diese von den Mitarbeitenden angenommen wird oder nicht. Hat z. B. ein älterer Mitarbeitender wenige PC-Kenntnisse, können Sie nicht von ihm erwarten, dass er die Risiken von Malware kennt und weiss worauf er achten muss, um Malware zu verhindern. Einem solchen Mitarbeitenden muss zuerst erklärt werden, was Malware überhaupt ist und welchen Schaden es anrichten kann.

Lesen Sie mehr dazu, wie man das Verhalten der Mitarbeitenden verändern kann in unserem Blogbeitrag.

Tipp 4: Denken Sie an die Lerntypen

Nicht alle Menschen lernen auf die gleiche Art und Weise effektiv und effizient. Daher ist es bei Informationssicherheitskampagnen wichtig, dass man die unterschiedlichen Lerntypen berücksichtigt und mit dem entsprechenden Kampagnen- und Schulungsmaterial abdeckt.

Es gibt vier Lerntypen:

  • Visueller Lerntyp
  • Auditiver Lerntyp
  • Kognitiver Lerntyp
  • Haptischer Lerntyp

Idealerweise decken Sie alle vier Lerntypen ab. Dies kann sich jedoch als schwieriger erweisen als gedacht.

Tipp 5: Kommunikation mit dem Top-Management vs. den Mitarbeitenden

Nicht alle Zielgruppen müssen gleich angesprochen werden und benötigen die gleichen Informationen.

Wenn es darum geht, dem Top-Management den Stand der Informationssicherheit oder der Sicherheitskampagne zu erläutern, müssen ein paar Punkte beachtet werden.

  • Verwenden Sie eine klare und einfache Sprache ohne Fachbegriffe.
  • Erläutern Sie die Verbindung zu den Geschäftszielen. Z. B. wie unterstützt die Informationssicherheit oder die Sicherheitskampagne die Zielerreichung.
  • Nennen Sie die grössten und wahrscheinlichsten Risiken in Ihrer Branche.
  • Verbinden Sie die Risiken mit den strategischen Zielen klar miteinander und zeigen Sie Möglichkeiten auf, wie die Risiken minimiert werden können.
  • Zeigen Sie die nächsten Schritte auf.

Soll sich das Verhalten der Mitarbeitenden verändern, braucht es eine andere Kommunikation, als wenn sich das Verhalten des Top-Managements verändern sollte. Achten Sie bei der Kommunikation für die Mitarbeitenden auf folgende Punkte:

  • Vermeiden Sie eine angstmachende und einschüchternde Kommunikationsweise.
  • Wählen Sie eine einfache und verständliche Sprache.
  • Geben Sie Beispiele aus dem Alltag zu Hause und bei der Arbeit aus Ihrem Unternehmen. Ev. sogar spezifisch für eine Abteilung.
  • Heben Sie die positiven Aspekte der Verhaltensveränderung hervor. Was bringt es dem einzelnen Mitarbeitenden genau, wenn er/sie sein/ihr Verhalten ändert?
  • Beachten Sie kulturelle Unterschiede beim Kommunizieren, wenn Sie ein international tätiges Unternehmen sind (siehe Tipp 3).

Training (Behaviour)

Tipp 6: Es braucht technische Lösungen, Richtlinien und Trainings

Um sich im Bereich Cybersicherheit zu wappnen, braucht es einerseits technische Lösungen wie z. B. Firewalls und Passwortschutz. Andererseits braucht es aber auch Richtlinien und Regelwerke über den sicheren Umgang mit Soft- und Hardware, Sicherheitssystemen sowie über das sichere Verhalten mit Daten und Informationen.  Training und Awareness unterstützen diese Komponenten. Daher ist es wichtig, dass die Ziele und Massnahmen sowie Inhalte einer Kampagne auf Richtlinien, Vorgaben und technischen Lösungen abgestimmt sind.

Das erwünschte Verhalten aus den Richtlinien muss in der Kampagne integriert sein. Regeln und Verhaltensweisen zu schulen, welche nicht notwendig sind, verbrauchen nur unnötig Energie und die Chancen stehen gut, dass diese nicht umgesetzt werden. Je nach Abteilung, Führungsstufe oder Region können Risiken oder Verhaltensregeln auch anders aussehen und sollten daher in der Kampagne berücksichtigt werden.

Tipp 7: Unterschiedliche Abteilungen – unterschiedliche Bedürfnisse

Je nach Abteilung und deren Zuständigkeiten sind andere Massnahmen in Bezug auf ein sicheres Verhalten und Schulungen erforderlich. Um zu ermitteln, welche Massnahmen bei welcher Abteilung erforderlich sind und wie das Sicherheitsbewusstsein ist, kann der TreeSolution Security Awareness Radar® verwendet werden. Mit diesem Tool befragen Sie alle Mitarbeitenden inklusive dem Top-Management. Die Ergebnisse lassen sich auf Abteilungsebene aufzeigen und erlauben es so, gezielte Schwachstellen zu ermitteln und entsprechende Massnahmen zu entwickeln.

Nicht alle Mitarbeitenden brauchen die gleiche Schulung. Mitarbeitende, die nie am PC arbeiten, müssen (theoretisch) nicht auf Phishing oder Malware geschult werden. Dafür müssen z. B. die Mitarbeitenden in der Personalabteilung, die besonders mit datenschutzrelevanten Themen zu tun haben, zum Thema Datenschutz geschult werden.

Wenn Sie herausfinden, in welchen Bereichen bzw. bei welchen Mitarbeitenden welche Wissenslücken bestehen, können Sie genau in diesen Bereichen gezielt Schulungen durchführen. Dadurch erhöhen Sie das Sicherheitsbewusstsein dieser Mitarbeitenden und das Risiko für einen erfolgreichen Angriff wird kleiner.

Tipp 8: Messbare Massnahmen festlegen und auswählen

Entscheiden Sie sich für Massnahmen, welche quantitativ oder qualitativ messbar sind. Dies vereinfacht es Ihnen, später zu prüfen, ob die Massnahmen der Sicherheitskampagne gewirkt haben und sich das Verhalten der Mitarbeitenden in die gewünschte Richtung gewandelt hat.

Implementieren einer Sicherheitskultur (Culture)

Tipp 9: Abgleich der Sicherheitsstrategie mit der Geschäftsstrategie

Die Sicherheitsstrategie sollte sich mit den Zielen der Geschäftsstrategie decken. Zudem sollte sie in Zusammenarbeit mit den anderen Abteilungen erarbeitet werden, damit unterschiedliche Bedürfnisse mit einbezogen werden können.

Ein Abgleich mit den Geschäftszielen hilft auch, wenn es darum geht, Kampagnen oder Schulungsmassnahmen bei der Geschäftsleitung genehmigen zu lassen und finanzielle Unterstützung zu erhalten. Wenn Sie aufzeigen können, wo und wie die Sicherheitsstrategie die Geschäftsstrategie unterstützt, erhöhen Sie die Wahrscheinlichkeit, dass die Geschäftsleitung hinter der Sicherheitsstrategie und zugehörigen Massnahmen steht und diese aktiv unterstützt. Und für eine gelebte Sicherheitskultur ist dies unerlässlich.

Tipp 10: Überprüfen Sie Ihre Sicherheitskultur regelmässig und passen Sie sie wo nötig an

Eine Kampagne sollte nicht als alleinstehende Massnahme betrachtet werden, sondern Teil eines grossen Ganzen, sprich einer Sicherheitsstrategie, sein. Um zu wissen, ob eine Kampagne und ihre Massnahmen zum gewünschten Erfolg geführt haben, d. h. ob eine sicherheitsbewusste Unternehmenskultur entstanden ist, ist es wichtig, die Unternehmenskultur regelmässig zu messen und die Strategie entsprechend anzupassen. Daher ist es wichtig, dass Sie bereits im Vorfeld Massnahmen entwickeln, welche überprüfbar sind.

Um die Sicherheitskultur als Gesamtes zu überprüfen, kann beispielsweise der Security Awareness Radar® von TreeSolution verwendet werden. (Hier lesen Sie, was der Security Awareness Radar ® ist und wie er funktioniert)

Zeit, Zeit, Zeit

Nehmen Sie sich Zeit, eine Kampagne zu planen, vorzubereiten und durchzuführen. Das Sicherheitsbewusstsein kann nicht von heute auf morgen in der Unternehmenskultur integriert und gelebt werden. Daher ist Informationssicherheit und Security Awareness ein laufender Prozess, welcher Jahre dauert. Die beste «Human Firewall» wird nur mit stetigem Schulen und Lernen erreicht.

Eine erfolgreiche Umsetzung

Wir können Ihnen keine erfolgreiche Umsetzung Ihrer Sicherheitskampagne garantieren. Aber wenn Sie diese 10 Punkte beachten, erhöhen Sie die Chance, dass Ihre Kampagne ein Erfolg wird und Ihre Mitarbeitenden nachhaltig ein sicheres Verhalten in ihrem Arbeitsalltag integrieren können. Ihre Mitarbeitenden schützen so Ihr Unternehmen und Ihre Daten.

TreeSolution ist gerne für Sie da, wenn Sie Unterstützung bei der Erarbeitung und Durchführung einer Security Awareness-Kampagne benötigen. Kontaktieren Sie uns mit Ihrem Anliegen über das Kontaktformular, per E-Mail oder telefonisch.

Newsletter

Bleiben Sie auf dem Laufenden mit unserem Newsletter und Blog-Abonnement:

Vielen Dank für Ihre Newsletter Anmeldung.
Beim Absenden des Formulars ist etwas schief gelaufen.
Suchen

Formular, E-Mail, Telefon

Sie können ein kurzes Formular ausfüllen oder uns eine E‑Mail schicken. Wir melden uns innerhalb von zwei Werktagen bei Ihnen. Sie können uns auch direkt anrufen. Klicken Sie auf «Kontakt» und Sie erhalten alle notwendigen Kontaktdaten.

Kostenlose Online-Beratung

Wenn Sie lieber einen bestimmten Termin buchen möchten, können Sie dies tun, indem Sie auf die blaue Schaltfläche unten klicken. Das Online-Buchungssystem öffnet sich in einem neuen Fenster und Sie können Ihren kostenlosen Beratungstermin vereinbaren.

Verwandte Artikel

#
Cybersicherheit
#
Informationssicherheit

5 Tipps zum Thema Cybersicherheit

#
Informationssicherheit
#
Awareness Strategie
#
Awareness Messung

Wie man eine Cybersicherheitskultur managen kann

#
Cybersicherheit
#
Informationssicherheit
#
Trends aus Praxis und Forschung

Allianz Risk Barometer Report 2024: Cybervorfälle als grösstes Risiko