Die „Schwachstelle Mensch“ wird in der IT-Sicherheit immer wieder thematisiert. Denn mangelnde Awareness, fehlende Information und menschliches Fehlverhalten können nicht einfach mit einem Update behoben werden.
Die relevanten Informationen effizient und für alle verständlich aufzubereiten ist nicht so einfach, wie man auf den ersten Blick annehmen könnte. Nicht alle Mitarbeitenden sind technisch affin, nicht immer kann das Gehörte selbständig auf die Praxis umgelegt werden, und alte Gewohnheiten sind bekanntlich hartnäckig.
4 + 1 Tipps, um Cyber-Security-Awareness zu schaffen und zu verbessern
Wir haben daher einige konkrete Tipps gesammelt, die Ihnen helfen können, Ihre interne Kommunikationsstrategie rund um das Thema Cybersicherheit ansprechender und effizienter zu gestalten. [1] [2]
1. Adressieren Sie die richtige(n) Zielgruppe(n)
Manchmal passen die (zu) technisch aufbereiteten Informationen einfach nicht zum Wissens- und Informationsstand der Adressaten: Inhalte sind zu lang und komplex – oder zu profan und langweilig. Behalten Sie Ihre Zielgruppe beim Erstellen der Informationen stets vor Augen!
Verzichten Sie außerdem auf ausgefallene Fachbegriffe und bleiben Sie bei verständlicher Alltagssprache, ähnlich einem Gespräch. Die Betroffenen müssen einfach verstehen können, wieso verschiedene Vorkehrungen wichtig sind und was genau in der Praxis von ihnen erwartet wird. Auch eine ansprechende Aufmachung oder witziges Design können helfen, Aufmerksamkeit zu wecken und in Erinnerung zu bleiben.
2. Praktisches Aufklären über Risiken und Bedrohungen
Wecken Sie die Neugierde Ihrer Kolleg*innen, sodass sie sich aus Eigeninteresse mit dem Thema beschäftigen wollen. So erzielen Sie den besten Lerneffekt! Zeigen Sie auf, warum sich das neue Wissen lohnt und welche Vorteile es persönlich bringt – beispielsweise um die eigene Familie zu informieren und zu schützen.
Klären Sie verständlich über bekannte und neuartige Risiken sowie über deren Auswirkungen auf. Stellen Sie dabei einen direkten Bezug zum (Arbeits-)Alltag her und geben Sie konkrete Tipps und Vorgaben für die gewünschte Reaktion und Vorgehensweise. Gestalten Sie die Informationen in kurzen, übersichtlichen Modulen mit der optionalen Möglichkeit, sich tiefergehend zu informieren. Ein guter Alltagsbezug kann dabei mit dem Einbinden von z.B. Videos und Podcasts hergestellt werden. [3]
3. Schaffen Sie eine offene Kommunikation und Raum für Fragen
Schaffen Sie mit dem Spruch „Es gibt keine dummen Fragen” im Hinterkopf eine offene Kommunikationsatmosphäre. Denn gerade Menschen, die nur sehr oberflächlich mit der IT in Berührung kommen, sind schnell mit Informationen überfordert, die erfahrene User bereits voraussetzen.
Die Möglichkeit, einfache, grundlegende Fragen zu allen Bereichen zu stellen, ohne dabei das Gesicht zu verlieren, ermutigt Mitarbeitende, sich an das komplexe Thema heranzutasten. Gleichzeitig geben Ihnen die Fragen und Rückmeldungen Hinweise darauf, wo es noch Erklärungs- oder auch Verbesserungspotential aus Anwendersicht gibt.
4. IT-Sicherheit ist ein andauernder Prozess
Ein IT-Sicherheitsbewusstsein zu bilden und zu schulen ist ein kontinuierlicher Vorgang, der fest im Unternehmen verankert werden muss. Inhalte können sich abwechseln und unterschiedlich aufbereitet werden. Wichtige Kernthemen sollten dabei wiederholt werden. Regelmäßige Informationen in kleine „Häppchen“ verpackt sind effektiver als weniger häufige, aber umfassende Aussendungen. Nutzen Sie auch frei verfügbare Ressourcen und teilen Sie geeignete Sicherheitstipps anderer – das macht die Aufbereitung abwechslungsreicher und zeigt, dass das Thema Cybersicherheit allgemeine Relevanz hat.
Abwechslung bringen außerdem interaktive Methoden und Tests, die Ihnen zusätzlich Rückmeldung über mögliche Stärken und Schwächen liefern. Auch diese können über Abteilungen und Szenarien variiert werden, um die Wirksamkeit zu bewerten. Eine einfache Startmöglichkeit ist z.B. die Simulation von Phishing-Mails. Auch externe Spezialisten können hinzugezogen werden, um geeignete Test, Awareness-Kampagnen und individuelle Schulungen durchzuführen. [4]
Extratipp: Achten Sie auf die Vorbildwirkung!
Die IT-Abteilung sowie die Geschäftsführung nehmen eine besondere Schlüsselrolle bei der Umsetzung aller getroffenen Sicherheitsmaßnahmen ein. Unterschätzen Sie niemals die indirekte Vermittlung von Prioritäten im Alltag, die Sie und Ihre Kolleg*innen durch das tägliche Tun den anderen Mitarbeitenden vermitteln und vorleben!
Das könnte Sie auch interessieren:
Fokus KMU: In 6 Schritten zu einem zeitgemäßen Cyber Security Management
Aktuelle Cyberangriffe durchleuchtet: So kommen Angreifer in Ihr System
Quellen:
[1] https://connect.geant.org/2022/10/14/seven-tips-to-run-effective-security-awareness-campaigns
[2] https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness/3-Tipps-fuer-mehr-IT-Sicherheits-Awareness/3-tipps-fuer-mehr-it-sicherheits-awareness_node.html
[3] https://oe1.orf.at/artikel/691941/Gestohlene-Identitaeten
[4] https://www.ikarussecurity.com/managed-it-ot-security-solutions/secutain/