Leitfaden: Security-Awareness-Kampagnen erfolgreich umsetzen

IT-Verantwortliche und Informationssicherheitsbeauftragte kennen das Problem: Aus Sicht der Führungsebene und auch der Mitarbeitenden ist Cyber Security die Aufgabe der IT-Abteilung.

Studien zeigen aber: In ca. 90% der Fälle sind Mitarbeitende das Einfallstor eines erfolgreichen Cyberangriffs. Ob Phishing, Social Engineering oder Deepfakes – Cyberkriminelle lassen sich ständig neue Methoden einfallen, um Mitarbeitende dazu zu bringen, auf einen schädlichen Link oder einen präparierten Dateianhang zu klicken.

Sensibilisierte und gut geschulte Mitarbeitende sind der beste Schutz gegen Hackerangriffe und Co. Pflichttrainings, die einmal im Jahr durchgeführt werden, bieten hier eine gute Grundlage, reichen aber in der Praxis oft nicht aus, um die Awareness der Mitarbeitenden kontinuierlich wachzuhalten. Darüber hinaus werden Pflichttrainings häufig als langweilig wahrgenommen, schnell durchgeklickt und damit nicht nachhaltig verarbeitet.

Die Lösung: Eine nachhaltige Security-Awareness-Kampagne, mit der Sie Mitarbeitende ins Boot holen und fast „nebenbei“ gezielt und umfassend zu aktuellen und fortlaufenden Cyberbedrohungen informieren. Dass das auch ohne großen Aufwand funktionieren kann, zeigen wir Ihnen im folgenden Leitfaden.

In fünf Schritten zur wirksamen Security Awareness-Kampagne

1. Risikoprofil und Lernziele definieren:

Um die passende Strategie für Ihre Awareness-Kampagne zu finden, sollten Sie sich im Vorfeld Gedanken machen zu den Gegebenheiten in Ihrer Organisation und zu den Besonderheiten der unterschiedlichen Zielgruppen im Unternehmen. Mitarbeitende lassen sich eher auf ein Lernangebot ein, das für ihre Arbeit relevant ist. Die Profilerstellung berücksichtigt die individuellen Herausforderungen Ihrer Mitarbeitenden und ist dazu geeignet, Lerninhalte passend zu ihren Rollen auszuwählen.

• Was sind die größten Cyberrisiken für unsere Organisation?
• Ist Ihre Organisation branchenbedingt überdurchschnittlich gefährdet? Das trifft beispielsweise auf Kritische Infrastrukturen und Branchen wie das Gesundheitswesen zu.
• Arbeitet Ihre Belegschaft häufig mobil bzw. standortübergreifend?
• Nutzen Sie Cloudservices, um Dokumente zu speichern und gemeinsam zu bearbeiten?
• Welche Mitarbeitenden sind einem individuell höheren Risiko für einen Cyberangriff ausgesetzt? Führungskräfte sind etwa aufgrund ihrer umfangreicheren Befugnisse beliebte Ziele für Cyberkriminelle.
• Welche Themen (wie beispielsweise mobiles Arbeiten, Umgang mit Mobilgeräten) betreffen nur bestimmte Mitarbeitende und sind für andere nicht so relevant?

2. Stakeholder an Bord holen

Gewinnen Sie die Unterstützung von Management und Führungskräften, um die Wichtigkeit der Kampagne zu unterstreichen. Unterstützung „von oben“ kann Ihnen entscheidend dabei helfen, den nötigen Rückhalt für Ihr Vorhaben zu bekommen. Mit einem angemessenen „Tone from the Top“ muss das Management die richtige Kultur innerhalb des Unternehmens entwickeln, um sicherzustellen, dass alle Mitarbeitenden das Thema Cybersicherheit ernst nehmen. Voraussetzung hierfür ist unter anderem, dass Management und Führungskräfte einen Überblick haben, welche Sicherheits- und Schulungsmaßnahmen die IT-Abteilung trifft und warum. Hierfür bieten sich spezielle Führungskräftetrainings zum Thema Cyber Security und Informationssicherheit an. So können Führungskräfte ihre Teams informieren und das Verständnis für die Maßnahmen fördern.

3. Inhalte auswählen und Veröffentlichung planen

Basierend auf dem Risikoprofil wählen Sie Ihre Lerninhalte aus. E-Learnings bieten gerade im Bereich Informationssicherheit eine effektive und ressourcenschonende Möglichkeit, die wichtigsten Inhalte interaktiv zu vermitteln. Für viele Unternehmen hat sich die Kombination eines Grundlagenkurses – für alle Mitarbeitenden – in Kombination mit wechselnden Spezialkursen wie beispielsweise „Phishing-Angriffe abwehren“, „Schutz vor Schadsoftware“ oder „Mobiles Arbeiten“ als effektives Schutzschild erwiesen. Wichtig bei der Auswahl eines Anbieters sind neben einer thematischen Vielfalt die didaktische Aufbereitung der Trainings. Besonders viel Wert sollte auf eine praxisnahe, motivierende Wissensvermittlung gelegt werden. Storytelling, Praxisfälle, viele Interaktionen und ein ausgewogener Medienmix sorgen für Abwechslung, steigern die Lernmotivation und fördern die nachhaltige Aufnahme der Lerninhalte ins Gedächtnis. Und sorgen so für dauerhaft sichere Verhaltensweisen in der Praxis.

Werden diese Schulungen ergänzt durch regelmäßige kurze, unterhaltsame Trainingseinheiten, wird der Lernerfolg sogar noch gesteigert. Denn: Kürzere und regelmäßigere Trainingsmodule sind effektivier und motivierender als eine große Schulung pro Jahr.  Diese so genannten Awareness-Nuggets können unterjährig zu bestimmten Anlässen ausgespielt werden. So bleiben wichtige Lerninhalte im Bewusstsein und ein gezieltes Auffrischen relevanter Themen wird ermöglicht. Ein knackiges, motivierendes Format – zum Beispiel ein kurzes Video – ermöglicht ein kurzes Eintauchen in die Inhalte, lässt sich optimal mit dem Arbeitsalltag verbinden und stellt eine ideale Ergänzung zu den Basistrainings dar.

Erstellen Sie einen Zeitplan für die Veröffentlichung der Materialien und die Durchführung der Schulungen.

4. Motivation durch Kommunikation steigern

Awareness-Maßnahmen sind besonders erfolgreich, wenn sie praxisnah und somit für Mitarbeitende greifbar sind. Hierfür ist es enorm wichtig, dass Sie Ihre Schulungsinhalte kommunikativ begleiten. Bei der Ankündigung der Trainingseinheiten können Sie beispielsweise aktuelle Anlässe wie die Urlaubszeit nutzen und mit Cybersicherheitsthemen wie dem sicheren Umgang mit mobilen Endgeräten verknüpfen. Oder Sie greifen neue Maschen von Cyberkriminellen oder echte abgefangene Phishingmails auf, um das Interesse Ihrer Mitarbeitenden zu wecken. Unterstützen Sie Ihre Botschaften, indem Sie Neugier erzeugen, z. B. durch eine ungewöhnliche Frage, erstaunliche Zahlen, Daten und Fakten oder indem Sie direkt am Arbeitsalltag der Kolleginnen und Kollegen ansetzen.

Achten Sie besonders auf die Sprache, die Sie in der Kommunikation mit Ihren Mitarbeitenden verwenden. Lassen Sie sich ggf. von Ihrer Kommunikationsabteilung unterstützen, um die richtigen Worte zu finden. Dabei sind zwei Dinge entscheidend:

1. Nicht alle verfügen über dasselbe technische Grundverständnis. Verwenden Sie daher eine Sprache, die möglichst wenig IT-spezifisches Fachwissen erfordert, so dass die ganze Belegschaft verstehen kann, worum es geht.
2. Formulieren Sie motivierend. Stellen Sie in den Vordergrund, was Ihre Kolleginnen und Kollegen nach Absolvieren des Trainings können und stellen Sie die persönliche Weiterentwicklung in den Vordergrund. Betonen Sie, wie die gesamte Belegschaft mithilfe der Inhalte zur Cybersicherheit des Unternehmens beiträgt. So besetzen Sie sicheres Verhalten positiv und stärken die Motivation jedes Einzelnen. Formulierungen wie „Pflichttraining“ und „… muss bis Frist x absolviert werden“ sind hingegen Motivationskiller.

Nutzen Sie einen niedrigschwelligen Kommunikationskanal. Wenn Ihr Unternehmen eine Kollaborationsplattform wie Microsoft Teams einsetzt, können Sie die Kommunikation dort über einen speziell eingerichteten Kanal abwickeln. So stellen Sie sicher, dass sie möglichst viele Mitarbeitende erreichen.

5. Erfolg dokumentieren und für Kontinuität sorgen

Für Ihre Security Awareness Kampagne (und generell für die Arbeit von IT-Sicherheitsverantwortlichen) gilt: Sie ist genau dann erfolgreich, wenn nichts passiert. Das bringt in der Regel aber nur wenige Lorbeeren ein. Ziel Ihrer Kampagne ist es daher nicht nur, Awareness zu steigern, sondern sie auch sichtbar zu machen. Das sichert Ihnen wiederum den weiteren Rückhalt durch das Management. Bestimmen Sie im Voraus, wie Sie den Erfolg der Kampagne messen wollen (z.B. Absolvierung der Trainings, Reduktion von Sicherheitsvorfällen, Rückmeldung der Mitarbeitenden, gemeldete Bedrohungen). Bereiten Sie die Ergebnisse übersichtlich auf.  Sammeln Sie außerdem regelmäßig Feedback von den Teilnehmenden, um die Inhalte und Formate zu verbessern.

Für eine nachhaltige Stärkung der Sicherheitskultur im Unternehmen ist die langfristige Integration von Schulungen, Awareness-Maßnahmen und begleitender Kommunikation entscheidend. Halten Sie Ihre die Kampagne aktuell und passen Sie sie an neue Bedrohungen und Entwicklungen an. Belohnen und anerkennen Sie Mitarbeitende, die sich durch besonderes Sicherheitsbewusstsein auszeichnen, indem sie zum Beispiel verdächtige E-Mails melden oder den Aspekt Cybersicherheit beim Einsatz neuer Software-Tools berücksichtigen.

Eine erfolgreiche Cyber-Security-Awareness-Kampagne erfordert eine sorgfältige Planung, kontinuierliche Schulung und regelmäßige Evaluierung. Durch die Einbindung aller relevanten Stakeholder und die Nutzung vielfältiger Schulungsformate kann das Sicherheitsbewusstsein im Unternehmen nachhaltig gesteigert werden.

Möglichkeiten der Implementierung

Je nachdem, wie Ihre Organisation aufgestellt ist, gibt es verschiedene Möglichkeiten, Awareness-Inhalte zu implementieren.

1. Hosting über das Lernmanagementsystem (LMS) eines Anbieters

Einige E-Learning-Anbieter stellen ihren Kunden Ready-to-Use-Trainingsplattformen zur Verfügung. Das bedeutet: Sie wählen die gewünschten Lerninhalte aus und der Anbieter übernimmt das Hosting, stellt die entsprechende Zugänge zur Verfügung und Ihre Mitarbeitenden können unkompliziert loslernen.

2. Bereitstellung von E-Learning-Inhalten über Ihr unternehmenseigenes LMS

Sie haben bereits ein eigenes LMS im Unternehmen, über das die Weiterbildung von Mitarbeitenden gesteuert wird? Dann sollten Sie einen Anbieter wählen, der die Lerninhalte via SCORM, xAPi oder cmi5 zur Verfügung stellt. Diese können Sie dann einfach in Ihr unternehmensinternes Lernmanagementsystem integrieren.

3. Lizensierung Ihrer eigenen Trainingsplattform plus Content

Sie haben noch kein Lernmanagementsystem, möchten aber gerne eins einführen? Setzen Sie auf ein einfaches, aber leistungsstarkes System, das im besten Fall bereits mit den von Ihnen gewünschten Inhalten bestückt ist. Wenn die Lernplattform in Ihrem Unternehmen etabliert ist, können Sie sie beliebig mit eigenen Lerninhalten bestücken. Achten Sie bei der Wahl des Anbieters auf eine fundierte Beratung, sicheres Hosting und ein unkompliziertes Onboarding Ihrer Belegschaft.