IT-Security-Trainings als Prozess statt „One and done“

IT-Security-Weiterbildung mit einmaligen Präsenz-Schulungen und Vor-Ort-Seminaren? Relikte der Vergangenheit. Die Cyber-Security-Praxis wird dominiert von zunehmender Schnelllebigkeit. Um dem Sicherheitsrisiko Mitarbeiter dennoch effektiv entgegen zu wirken, empfiehlt sich eine neue Strategie: IT-Security-Trainings als kontinuierlicher iterativer Prozess.

Vorfälle innerhalb der IT-Sicherheit in Unternehmen lassen sich immer wieder auf menschliche Fehler zurückführen. Klicks auf dubiose E-Mail-Links- und Anhänge, Nutzung beliebiger USB-Sticks, Social Engineering uvm. – Die Bedrohungslage für Mitarbeiter an Büro-Arbeitsplätzen ist vielseitig und wird immer herausfordernder.

Das, was Mitarbeiterinnen und Mitarbeiter nicht nur wissen, sondern auch beachten und anwenden müssen, um IT-Sicherheitsrisiken für ihr Unternehmen zu reduzieren, wird fortlaufend mehr.

Denn fest steht: auch die zuverlässigsten IT-Security-Lösungen schützen nicht vor dem Risikofaktor Mensch, dem „Layer-8-Problem“.

So werden IT-Security-Verantwortliche und Entscheider mehr und mehr zu Personalentwicklern: Es gilt, das Verhalten von Mitarbeitern dauerhaft mit den Anforderungen an IT-Sicherheit innerhalb der Organisation abzugleichen. Die Anfälligkeit für Cyber-Risiken innerhalb der gesamten Unternehmung zu erkennen und erforderliche Anpassungen vorzunehmen. Neue Ansätze von IT-Security-Trainings setzen hier systematisch an.

Ziel von IT-Security-Trainings: Bewusstsein vermitteln, Verhalten ändern

Der „State of the Phish“-Report unseres Partners Proofpoint weist nach, dass End-User (insbesondere in Deutschland!) über defizitäres Bewusstsein für IT-Security und unzureichendes Know-How im Umgang mit Bedrohungen verfügen.

Branchenübergreifend wird für alle Altersgruppen ein Bedarf nach Cyber-Security-Trainings festgestellt.

Die meisten Unternehmen haben die Notwendigkeit von IT-Security-Weiterbildung zwischenzeitlich erkannt. Online-Trainings werden für Mitarbeiter angeboten. Das Problem: Die Maßnahmen sind inselartig angeordnet (also ohne erkennbare Zusammenhänge) und erfolgen unregelmäßig, häufig in zu großen zeitlichen Abständen, halbjährlich oder nur einmal im Jahr.

Die Erfolgsüberprüfung bleibt in der Regel aus. Der Verdacht liegt nahe, dass dieser sogenannte „One-and-done“-Ansatz keine messbare Auswirkung auf die unternehmensweite IT-Sicherheit hat.

Können sich End-User nach einem Jahr noch an ein 40-minütiges Training erinnern? Eher nicht. Erst recht nicht, wenn es eines der leider weitverbreiteten „Weiter, weiter, weiter – Sie haben bestanden.“ -E-Learnings zum Einsatz kommt.

Gleichzeitig gilt es einen Irrglauben aufzulösen: Mitarbeiter müssen nicht nur für Cyber-Sicherheit sensibilisiert werden. Sie müssen sich ganz genau darüber im Klaren sein, was genau in einem konkreten Angriffsszenario zu tun ist, um im richtigen Zeitpunkt die richtige Entscheidung treffen zu können.

Es scheint offensichtlich, dass Einzelmaßnahmen und klassische Präsenz-Veranstaltungen hierfür nicht die richtigen Formate sind. Vielmehr sollten Cyber-Security-Skills im Rahmen individueller Trainings beigebracht und fortlaufend verbessert werden.

Security Awareness neu denken: Darauf kommt es an

Regelmäßig implementierte IT-Security-Schulungsangebote tragen nachgewiesen erheblich zur IT-Sicherheit eines Unternehmens bei. Beispielsweise die Anzahl erfolgreicher Phishing- und Malware-Angriffe lässt sich um bis zu 90% reduzieren.

Wichtig dabei ist, dass Lernangebote aktuelle Erkenntnisse der Erwachsenenbildung angemessen berücksichtigen, um dem End-User so viel wie möglich in den Lernprozess zu integrieren und die Lernwirksamkeit zu erhöhen.

Die sogenannte Continuous Training Methodology setzt sich durch, um Mitarbeiter auf die sich verändernde IT-Sicherheitsbedrohungslage möglichst effektiv vorzubereiten.

Bei dieser Methode handelt es sich um einen andauernden Trainings-Zyklus, bei dem das Wissen der Mitarbeiter fortlaufend überprüft und durch zielgerichtete individuelle Trainings weiterentwickelt wird.

So werden mögliche Schwachstellen schnellstmöglich erkannt und die Anfälligkeit jedes einzelnen Mitarbeiters – sowie die der gesamten Organisation – systematisch reduziert.

Training im Kontext für ein hohes User-Engagement

Dadurch, dass Menschen sich schneller an den jeweiligen Kontext der Lernerfahrung statt nur an den reinen Lern-Content erinnern, sollten Trainings genau die Situationen simulieren, die für den User im Alltag eine besondere Gefahr darstellen.

Durch den Einsatz von Storytelling in Trainingsmodulen werden komplexe Themen möglichst einfach und anschaulich präsentiert. So werden sie langfristig im Gedächtnis verankert.

Außerdem können Gamification-Elemente dafür sorgen, dass User auch bei komplexen Aufgaben hochmotiviert dran bleiben und erfolgreich lernen.

Kurze Trainingseinheiten und sofortiges Feedback

Anstatt stundenlanger Seminare empfehlen Lern-Experten Trainingseinheiten stets so kurz wie möglich zu halten. Informationen- und Lern-Inhalte sollten portionsweise geliefert werden (Stichwort „snackable learning“). Dadurch werden nachweislich bessere Lerneffekte gewährleistet.

Für hohe Lernwirksamkeit ist es außerdem wichtig, aus den eigenen Fehlern zu lernen. Dabei hilft sofortiges Feedback. Und zwar genau an der Stelle, wo ein Fehler auftritt. So werden „Aha-Momente“ gezielt erzeugt und genutzt, um Lerninhalte besser aufnehmen zu können.

Lernfortschritte messbar machen

Im Gegensatz zu klassischen Weiterbildungsmaßnahmen werden bereits während der interaktiven Trainings aufschlussreiche Kennzahlen zur Interaktion mit Trainingseinheiten und simulierten Angriffen erfasst. Dadurch können in Echtzeit Fortschritte des Sensibilisierungsprogramms verfolgt und Erfolge messbar gemacht.

Zusätzlich wird es möglich, das Verhalten der End-User im Branchenvergleich zu analysieren, um so die eigene Gefährdungslage besser zu verstehen und Trainings entsprechend anzupassen.

Risikominimierung im Bereich IT-Sicherheit genießt einen kontinuierlich wachsenden Stellenwert in Unternehmen. Doch an der Stelle, wo Sicherheitstechnologie an ihre Grenzen stößt, laufen Verantwortliche in die Gefahr, unstrukturiert und nicht ineffizient Entwicklungsprozesse anzustoßen.

Hier setzen moderne IT-Security-Trainingsansätze an: erfolgreiche Mitarbeiter-Sensibilisierung und zielgerichtete fortlaufende Trainings gewinnen an Bedeutung.

Nur so wird die Anfälligkeit für Cyber-Angriffe bei jedem einzelnen Mitarbeiter – sowie für die gesamte Organisation – systematisch und dauerhaft reduziert.

Proofpoint Security Awareness Training: Jetzt kennenlernen

Erfahren Sie, wie die Continuous Training Methodology von Proofpoint Security Awareness Training in Unternehmen implementiert werden kann.

Gerne stellen wir Ihnen dafür die interaktive Oberfläche von PSAT vor: im kostenlosen Online-Hands-On. Melden Sie sich dafür jetzt kostenlos an.