Security Awareness ist für Unternehmen ein wichtiges und nachhaltiges Instrument, um die eigenen Werte und Daten zu schützen. Denn: Die Menschen in einem Unternehmen können die beste Firewall darstellen, die es hat. Security-Awareness-Kampagnen nehmen darum die Sensibilisierung von Mitarbeiter*innen in Bezug auf das Thema Informationssicherheit, IT-Sicherheit und Datenschutz in den Fokus.
Warum Security Awareness?
Viele Angriffs-Szenarien zielen auf das Ausnutzen von menschlichen Schwachstellen ab, zum Beispiel im Bereich des Social Engineerings. Das kann im digitalen Raum, etwa durch Phishing-Mails, aber auch vor Ort passieren, etwa in größeren Unternehmen, in welchen sich nicht jeder namentlich kennt. Wenn sich dort jemand als IT-Fachkraft ausgibt und nicht genau nachgefragt oder etwa eine User-ID im System geprüft wird, können Fremde im Zweifel bis in die Serverräume vordringen. Natürlich können auch unbeabsichtigt sensible Informationen an Dritte gelangen und es kann ein Schaden entstehen, wenn Teams nicht ausreichend im Thema Security und Datenschutz geschult sind.
Eine durchdachte Security-Awareness-Kampagne unterstützt dabei, Angriffe erfolgreich abzuwehren und Datenpannen zu vermeiden. Unser Security-Team von Holisticon geht darum gezielt vor, um Unternehmen bestmöglich zu schützen.
Schritt 1: Unternehmenskultur und Kommunikation verstehen
Damit eine Security-Awareness-Kampagne auch Früchte trägt, ist es grundsätzlich wichtig, die Unternehmens- und damit zusammenhängend die Kommunikationskultur zu verstehen: Auf welchen Kanälen kann ich Mitarbeiter*innen besonders gut erreichen? Auf welche Art und Weise wird sonst kommuniziert? Gibt es zum Beispiel auch Kommunikationspraktiken, die im Widerspruch zu allgemeinen Hinweisen stehen könnten? Werden beispielsweise regelmäßig Materialien oder Berichte per Mail-Anhang versendet, hilft allgemeine Vorsicht, nicht auf Anhänge in Mails zu klicken, wenig.
Schritt 2: Probleme und Schwachstellen im Bereich Awareness aufdecken
Um herauszufinden, an welchen Stellen besonders Handlungsbedarf besteht, ist es hilfreich, mit den Verantwortlichen aus dem Bereich Sicherheit des Unternehmens zu sprechen: beispielsweise dem Incident Management Team, dem ISMS Team, dem Security Operations Center oder dem Risk Management Team. Wo gab es in der Vergangenheit die größten Probleme und häufige oder schwere Security-Vorfälle? Haben Mitarbeiter*innen beispielsweise auf Links in Emails geklickt, die Schadsoftware enthielt?
Zusätzlich bietet sich noch eine Prüfung auf technischer Ebene an, die ebenso ein Baustein für mehr Sicherheit im Unternehmen ist. Beispielsweise lohnt es sich oft, einen Blick auf das Thema „Identity & Access Management“ zu werfen.
Schritt 3: Awareness-Themen planen
Generell lassen sich Security-Awareness-Maßnahmen in zwei Bereiche teilen: die präventiven Maßnahmen (Bedrohungen erkennen können) und die reaktiven Maßnahmen (Prozesse und Kontakte kennen, um im Notfall reagieren zu können). In Kombination mit den vorher identifizierten Problemfeldern können daraus Content-Ansätze für die Awareness-Kampagne entwickelt werden.
Welche Themen relevant sind, unterscheidet sich zusätzlich je nach Zielgruppe und ob etwa bestimmte ISO-Normen oder andere Rahmenwerke eine Rolle spielen: Für Systemadministratoren ist beispielsweise Passwortsicherheit wichtig, für das Personalwesen eher datenschutzkonforme Background Checks für Jobs in sensiblen Bereichen.
Wenn wir all diese Faktoren beachten, lassen sich aus einer Vielzahl an Themen genau diejenigen identifizieren, die für das Unternehmen und das jeweilige Team relevant sind. Unser Holisticon Security Team arbeitet dazu mit einem modularen Baukasten, um Awareness-Kampagnen gezielt zu entwickeln und individuell zu gestalten.
Schritt 4: Medien planen
Die Möglichkeiten bei der Auswahl der Medien sind groß. Wichtig ist, dass sie an der richtigen Stelle ansetzen und die Mitarbeiter*innen motivieren, sich mit dem Thema auseinanderzusetzen. Auch an dieser Stelle ist es wichtig, die Kommunikationskultur des Unternehmens zu betrachten und zu schauen, welche möglichen Kanäle oder Mittel die Teams bestmöglich erreichen.
Aus der Lernpsychologie wissen wir, dass Menschen besonders nachhaltig über die Ansprache mehrerer Sinne und kontinuierliche Wiederholungen lernen. Darum ist eine crossmediale Kampagne mit verschiedenen Touchpoints über einen längeren Zeitraum von etwa sechs bis zwölf Monaten verteilt sinnvoll.
Je nach Problemstellung, Kommunikationsvorlieben und Budget gibt es eine Vielzahl an möglichen Medien bzw. Maßnahmen:
- Plakate
- Flyer
- E-Learning-Plattformen
- Security-Quizzes
- Comics
- Desktop Screen Saver
- Give Aways
- Selbst indizierte Phishing Kampagnen
- Gamification-Anzätze, z.B. Wanderpokal
- Unternehmens-Podcast
- Videos
- Aufnahme in Zielvereinbarungen im Personalgespräch
An dieser Stelle ist es sinnvoll, die interne Marketingabteilung mit ins Boot zu holen, falls sie dies noch nicht ist: Sie unterstützt dabei zu prüfen, welche Inhalte beispielweise Inhouse erstellt werden können und welche extern produziert oder eingekauft werden sollen.
Schritt 5: KPIs definieren
Um festzustellen, wie erfolgreich eine Kampagne war, sollten im Vorhinein Kampagnenziele und passende Messkriterien festgelegt werden, mit denen sich der Erfolg einschätzen lässt. Wie hoch war die Akzeptanz oder die Nutzung meiner eingesetzten Mittel? Welche Learnings haben meine Mitarbeiter*innen daraus gezogen? Passend zu den Zielen und Messkriterien lässt sich dann die Umsetzung der Messung planen.
Denkbar sind hier klassische Mitarbeiterbefragungen, die Auswertung der Nutzung beispielweise von digitalen Angeboten, Wissenstest oder aber auch anonyme Messungen (bspw. durch den Versand von Mails mit Phishing-Links und das Klickverhalten der Mitarbeiter*innen vor und nach einer Kampagne). So lässt sich auch sicherstellen, ob die Mitarbeiter*innen die wichtigsten Inhalte der Kampagnen verinnerlicht haben.
Wichtig: Hier braucht es Feingefühl, DSGVO-Know-how und ggf. eine Abstimmung mit dem Betriebsrat, um das Vertrauen der Mitarbeiter*innen und den Datenschutz nicht zu verletzen.
Schritt 6: Durchführung
Die Länge der Kampagne hängt natürlich vom Budget, den zu bearbeitenden Themen und der Menge der eingesetzten Medien ab. Passend zu den ausgewählten Medien und festgelegten KPIs lässt sich ein Zeitplan erstellen, wann welche Maßnahme umgesetzt werden soll. Und dann heißt es: auf die Plätze, fertig, los!
Schritt 7: Performance Analyse
Nach Abschluss der Security-Awareness-Kampagne wollen wir eine Übersicht über die Wirksamkeit der einzelnen Maßnahmen und der Kampagne insgesamt erlangen. Dazu werden die vorher festgelegten KPIs ausgewertet und ein Managementbericht erstellt. Dieser enthält natürlich nicht nur die reinen Daten und Fakten, sondern insbesondere Empfehlungen, welche Medien in folgenden Kampagnen erneut zum Einsatz kommen sollten und wo es eventuell noch Bedarf gibt. Zusätzlich kann auch noch eine Dokumentation und Zusammenfassung erstellt werden, wenn etwa ein entsprechendes Audit ansteht.
Du benötigst fachkundige Unterstützung dabei, um Deine Mitarbeiter*innen über Bedrohungen zu informieren und sie zu befähigen, im Ernstfall richtig zu handeln? Schreib uns gerne an security@holisticon.de. Weitere Informationen zu unserem Security-Portfolio sowie ein Kontaktformular findest Du außerdem unter security.holisticon.de.