Mitarbeitende effektiv für Cyber Security motivieren

Die IT sieht die Mitarbeitenden oft als die grösste Security-Schwachstelle. Diese wiederum meinen, dass IT-Security ausschliesslich der Job der IT ist.

Sind es nun die Mitarbeitenden oder die IT?

Wie häufig lautet die Antwort "beide":

• Die IT muss die grösste Anzahl an Phishing-E-Mails automatisiert aus der Inbox der Mitarbeitenden entfernen. Sie kann aber keine 100% herausfiltern, da sonst auch viele Mails herausgefiltert werden würden, die fälschlicherweise verdächtigt werden.

• Die Mitarbeitenden müssen sich bewusst sein, dass die IT nicht 100% der Angriffe herausfiltern kann und sie eine Mitverantwortung für die Sicherheit der IT haben. 

Warum Awareness zu kurz greift

Nimmt man den Begriff “Security Awareness” wortwörtlich,  bedeutet dieser nur, dass sich die Mitarbeitenden bewusst sein müssen, dass die IT sie nicht komplett schützen kann, und sie eine Mitverantwortung tragen. Insgesamt sollte eine Awareness-Massnahme aber ganzheitlich sein – mit folgenden drei Stufen der Entwicklung für jeden Mitarbeitenden:  

•  Stufe 1 - Awareness: ... ist sich bewusst, dass er zur Sicherheit der IT beitragen muss (Sensibilisierung mittels Schulungen, Praxis-Beispielen, Live Hackings etc.)
•  Stufe 2 - Training der Mustererkennung: ... ist darauf trainiert, typische Warnzeichen zu erkennen, die auf ein Phishing hinweisen (laufende Wiederholung von Schulungsinhalten, z. B. über eine E-Learning-Plattform, Phishing-Tests und Reminder in Form von Postern, Bildschirmschonern, Awareness-Newslettern etc.)
• Stufe 3 - Aktiv werden: ... warnt vor dem von ihm selbst erkannten Phishing-Versuch, damit die Gefahr auch für andere ausgeschaltet wird (technisch einfache Möglichkeit für Mitarbeitende)

“Muscle Memory” statt jährliche Sprints

Bei dem Training ihrer Mitarbeitenden setzen Organisationen leider oft nur auf einmalige oder jährliche Security Awareness-Schulungen. Mit etwas Glück kann damit die angestrebte Awareness geschaffen, meist aber nur gerade den gesetzlichen Anforderungen entsprochen werden. Ein ausreichendes Training, um die Mitarbeitenden zu befähigen, ist dies aber definitiv nicht. 

Nur bei ausreichendem Training greift die “Muscle Memory”, entwickeln die Mitarbeitenden also ihre Mustererkennung und durchschauen dann im Alltag mit hoher Wahrscheinlichkeit die Phishing-E-Mails und handeln entsprechend. 

Was sollte ein gutes Awareness Tool leisten?

Was muss ein Tool leisten können, um Sie beim Thema Security Awareness effektiv unterstützen zu können? Die vier wichtigsten Eigenschaften eines nützlichen Awareness-Tools:

• Viele unterschiedliche und abwechslungsreiche E-Learning-Trainingseinheiten in allen für Sie relevanten Sprachen, um bei der Wiederholung eines wichtigen Themas nicht immer auf die gleichen Lerneinheiten zurückgreifen zu müssen, inkl. Games, Nextflix-ähnliche Kurzfilm-Episoden etc. 

• Automatisierte simulierte Phishings gemäss dem individuellen User-Niveau, um die Mitarbeitenden effektiv in ihrem Alltag trainieren zu können 

• Zusatzmaterialien, um Mitarbeitende zu erinnern und zu motivieren (Handouts, Poster, Grafiken, Bildschirmschoner, Texte für Newsletter, etc.) 

• Ausgereifte Plattform mit durchdachten Standards und Optionen sowie vielen Automatismen, um wenig Zeit mit der Administration verbringen zu müssen und Mitarbeitende stufengerecht trainieren zu können.

Was bieten darüber hinaus Security Awareness-Spezialisten? 

Für Unternehmen, die sich nicht in die jeweilige Trainings-Plattform einlernen wollen, können spezialisierte Dienstleister wie Redguard unterstützen. Sie kennen die Inhalte und technischen Möglichkeiten der Plattform und können diese optimal auf die jeweiligen Gegebenheiten Ihrer Organisation abstimmen. Sie kennen die erfolgreichsten Wege, um Ihre Mitarbeitenden abzuholen – auch in dem herausfordernden Umfeld der stationären Versorgung.

Unter anderem können die Security Awareness-Spezialisten auch dabei helfen, die Schulung in die physische Welt zu verlagern: Vor-Ort-Schulungen, Live Hackings, Pappaufsteller, Plakate, kundenspezifisch angepasste Handouts und vieles mehr.

Jetzt unverbindlich erste Tipps abholen

Sie haben, wie viele andere Organisationen, in den letzten Jahren nicht wirklich viel im Bereich der Security Awareness gemacht? Dann wird es Zeit, zu prüfen, wo Sie stehen.

Vereinbaren Sie auf unserem IFAS-Ausstellerprofil mit uns einen Termin auf der Messe und holen Sie sich unverbindlich Tipps, wie Sie Security Awareness erfolgreich in Ihrer Unternehmenskultur etablieren.

​​Auf unserer Website finden Sie einen Überblick über unsere Dienstleistungen im Bereich Digital Healthcare. Sehr gerne beraten und unterstützen wir Sie im Bereich Security Awareness.  Kontaktieren Sie uns unverbindlich.