Vorletzte Woche „Data Protection Day“, letzte Woche, „Ändere dein Passwort-Tag“, jetzt „Safer Internet Day“ all diese Tage sollen uns an die (Un)-Sicherheit des Internets und unserer Daten erinnern. Diese Initiativen sind in ihrer Folge sicherlich hilfreich, insgesamt aber bleiben sie stumme Aufrufe, die widerhallen, wenn die Verantwortlichen die Warnhinweise nicht hören wollen.
Unternehmen sollten ihre Belegschaft regelmäßig und konsequent auf die gleichen Kernpunkte, also IT-Sicherheit, Informationssicherheit und Datensicherheit ansprechen und noch wichtiger auch einbinden. Wer die Tage für interne Schulungen oder Aufrufe nutzen möchte, dem kann das helfen das eigene Security Awareness-Programm hervorzuheben.
Das Programm sollte jedoch nicht nur auf diese externen Ereignisse eingehen und nicht nur auf in Pandemie-Zeiten eh schwer zu organisierenden Veranstaltungen basieren. In gewisser Weise gibt es jeden Monat ein besonderes „Ereignis“. Es geht weniger um diese besonderen Ereignisse als vielmehr darum, eine einheitliche Botschaft und ein einheitliches Programm zu haben und es auch durchzuführen.
Zunächst sollten Unternehmen die wichtigsten Risiken für ihre Belegschaft identifizieren und priorisieren. Dann müssen sie sich auf einige wenige, wichtige Verhaltensweisen konzentrieren, die diese Risiken am effektivsten handhaben. Drei bis fünf Themen sind am besten, nicht mehr. Es geht also weniger um den „Tag“ oder die „Veranstaltung“ als vielmehr darum, sich konsequent auf diese Schlüsselrisiken zu konzentrieren.
Darunter sollten die Themen Social Engineering, Passwörter, Updates und Backups im Home Office-Umfeld ganz oben auf der Agenda stehen. Bei der Wissensvermittlung geht es weniger darum den Leuten irgendwelche Checklisten an die Hand zu geben als vielmehr darum sich auf den persönlichen Mehrwert der Teilnehmer zu fokussieren. Nur wer auch persönlich profitiert, wird auch motiviert sein, etwas mitzunehmen.
Vor allem die Home Office-Situation zeigt deutlich, welche Vorteile das im Unternehmen erlernte für das eigene Privatleben hat. Bei Security Awareness geht es darum die Sinne zu trainieren und das Verhalten nachhaltig zu verändern. Wenn es einem Trainer also gelingt die Mitarbeiter auch bei ihrem privaten Nutzungsverhalten anzuleiten, ihnen Tipps und Hinweise anhand anschaulicher Beispiele zu geben, dann besteht die Möglichkeit einer Entwicklung zum Wohle des gesamten Unternehmens.
Neben anschaulichen Beispielen hilft auch der Gamification-Ansatz weiter. Allerdings ist das Aufbauen und Managen von eigenen Gamification-Programmen und -Plattformen sehr zeitintensiv. Aus diesem Grund hat das SANS Institute mit dem CyberStart-Programm einen solchen Ansatz geschaffen, der für alle nutzbar ist, sogar für Teenager und Kinder, also auch von Schulen genutzt werden kann.