Der Umgang mit Cybersicherheit muss nicht immer nur auf “Angst” basieren

Wir befinden uns aktuell auf einem sehr gefährlichen Weg, was die Schulung von Mitarbeitern in Unternehmen zum Thema Cybersicherheit angeht. Viele Ansätze aktueller Schulungsunternehmen basieren auf Angst. Ist das der richtige Ansatz?

Wenn ein Arbeitgeber vor 2021 noch nicht viel Wert auf Schulung in der Cybersicherheit gelegt hat, dann hat sich das in diesem Jahr häufig geändert. Es gibt auch einige Gründe, um über eine Schulung der Mitarbeiter nachzudenken.

Begriffe, wie Ransomware haben einen Platz im allgemeinen Sprachgebrauch gefunden, da ein Unternehmen um das andere, umfangreiche Datenlecks erlitten hat. Ein exemplarisches Beispiel dieser Art ereignete sich an der US-Ostküste, als ein Ransomware-Angriff – die Ermittler glauben, dass er von der Hackergruppe DarkSide verübt wurde – den Betrieb von Colonial Pipeline unterbrach.

Laut einem Bloomberg-Bericht war der Hauptvektor des Colonial-Hack eine kompromittierte Kombination aus Benutzername und Passwort für ein Konto, das zum Zeitpunkt des Angriffs nicht verwendet worden war, aber es Hackern dennoch ermöglichte, Zugang zum Computernetzwerk der Pipeline zu erhalten. Das Konto verwendete keine Multi-Faktor-Authentifizierung, eine grundlegende Massnahme, um die Sicherheit deutlich zu erhöhen. (Bloomberg)

Die Auswirkungen der Cyberkriminalität mögen beängstigend sein, aber es ist ein fataler Denkfehler, wenn man davon ausgeht, dass mit Angst auch die Mitarbeiter am besten für Präventionsmassnahmen zu schulen seien. Aktuelle Muster in der Schulung basieren viel zu häufig darauf, die Leute zu erschrecken, damit sie sich an die Regeln halten. Es werden Methoden wie Scham, Übererziehung der Fakten, über erklärende Ausführungen und Schulungsvideos mit erhobenem Zeigefinger eingesetzt.

Grundsätzlich wird dadurch die Schulung zu einem sehr schmerzhaften, unangenehmen Prozess anstelle der Vermittlung von wichtigen Inhalten.

Um eine sichere Umgebung im Unternehmen zu schaffen, müssen Arbeitgeber zunächst eine Klima schaffen, in der sich die Arbeitnehmer sicher fühlen. Wenn ein Mitarbeiter beispielsweise der Empfänger eines Phishing-Versuchs in Form einer E-Mail wäre, würde eine sichere Umgebung den Mitarbeiter dazu ermutigen, sich Zeit zu nehmen, um die E-Mail genauer anzuschauen und den Wahrheitsgehalt dieser zu hinterfragen. Es muss ein Betriebsklima vorhanden sein, wo ein Arbeitnehmer nichts davon abhält, dass er solche Vorfälle dem Manager/Vorgesetzten meldet. In Wahrheit gibt es aber zu viele Firmen, wo solche Meldungen nicht gemacht werden, da Mitarbeiter Angst davor haben. Wie bereits erwähnt, herrscht nicht selten eine Angstpolitik im Umgang mit solchen Vorfällen. In einer solchen Umgebung werden alle möglichen toxischen Verhaltensweisen gefördert, die das Unternehmen gefährden, unabhängig davon, ob jemand auf einen bösartigen Link klickt oder nicht.

Ein anderer Ansatz

Wie wäre es, wenn man sagen würde wie, “Sicherheit ist zu wichtig, um ernst genommen zu werden”? Anstelle von Angst begegnen wir solchen Vorfällen im Zukunft mit Humor. Humor kann Mitarbeiter aus einem ängstlichen Zustand befreien und kann daher im Kontext der Cybersicherheit nützlich sein.

Wie muss man sich das nun vorstellen? Nehmen wir als Beispiel eine Simulation einer Phishing-Attacke. Es ist nicht die Tatsache, dass Arbeitgeber ihre Mitarbeiter einer Phishing-Simulationen aussetzen, die zu ängstlichem Umgang führt. Es ist vielmehr, was Arbeitgeber mit diesen Simulationen machen, die sich langfristig negativ auf die Kultur auswirken können.

Anstelle davon, dass ein Mitarbeiter, der auf das Phishing-Mail hereinfällt, von dem Vorgesetzten gerügt, vor dem Teamkollegen vorgeführt oder gar abgemahnt wird, wird ein kurzes im Sketch-Stil aufgenommenes Video gezeigt, welches auf humorvolle Art aufzeigt, was der Mitarbeiter falsch gemacht hat.

Es geht darum dem Mitarbeiter ein positives Umfeld zu geben und in einer solchen Umgebung den Mitarbeiter aktiv zu motivieren mitzudenken und auf keinen Fall Vorfälle geheim zu halten, um keine Repressalien zu fürchten. Nur so werden die Mitarbeiter ihren Teil dazu beitragen wollen. Mit etwas Humor in der Schulung durch Informationssicherheitsexperten wird auch dieses Thema, so ernst es ist, etwas weniger trocken und mit weniger Abstand behandelt.

Wir versuchen mit einer Schulung nicht, die Mitarbeiter zu Sicherheitsexperten zu machen, wir wollen erreichen, dass dies sich bspw. mehr auf ihre Emails und ganz allgemein auf die Informationssicherheit achten.