Freitagmorgen, das Wochenende steht kurz bevor. Mit großer Vorfreude blickt die gesamte Abteilung auf zwei Tage Erholung nach einer – mal wieder – stressigen Woche. Die Müdigkeit ist den Schulungsteilnehmern anzusehen. Recht verwundert fragte ich mich nach der Schulung, was ich hätte anders oder besser machen sollen. Als Informationssicherheitsbeauftragter (ISB) meines Unternehmens war ich auf eine derartige Schulung natürlich bestens vorbereitet, aber niemand schien sich sonderlich für mein Thema zu interessieren. Dabei musste die Informationssicherheits-Awareness gesteigert werden – das war so mit der Geschäftsführung besprochen. Und da wagt es tatsächlich noch jemand zu fragen, wofür das Ganze denn überhaupt gut sei?
„Die größte Schwachstelle ist der Mensch“ liest man häufig in Bezug auf das Thema Informationssicherheit. Der „kurz“ mit dem Kollegen geteilte Account, die nicht als Phishing erkannte E-Mail – meist sind es Unachtsamkeit oder mangelndes Training, die zu Risiken für die Informationssicherheit werden. Aber auch bewusste Angriffe von innen sind denkbar, wie kürzlich beispielsweise im Rahmen des ersten Online-Tags zum BSI IT-Grundschutz thematisiert wurde.
Während ein Awareness-Training wohl kaum dem festangestellten internen Social Engineer die kriminelle Energie nimmt, ist es umso wichtiger, alle Mitarbeiter über ebensolche Bedrohungen aufzuklären. Gerade aufgrund der Vielfalt an Gefahren, seien es externe wie auch interne, ist eine grundlegende Sensibilität für das Thema unabdingbar. Wie aber erreicht man eine solche Sensibilität in der Breite? Wie gelingt es, verschiedenen Bereichen und Mitarbeitergruppen das Thema gleichermaßen näherzubringen? Und das gerade in einer Zeit, in der die Bedrohungen in Masse und Qualität rapide zunehmen, nochmals verschärft durch die weltweite Coronavirus-Pandemie und verstärkte Heimarbeit? Ich habe erlebt, dass ein Informationssicherheitsmanagementsystem (ISMS) das Thema Awareness in der Theorie sehr gut abbilden kann, während sich in der Praxis ein anderes Bild offenbart: ein mangelndes Bewusstsein für Gefährdungen, unklare Prozesse in der IT oder nicht gemeldete Vorfälle sind nur wenige Beispiele für eine Realität, die Angreifer immer wieder versuchen auszunutzen.
Was sind also typische Herausforderungen und mögliche Lösungsansätze beim Thema Awareness? In meiner Rolle als ISB konnte ich feststellen, dass schon mit einfachen Prinzipien Reichweite und Wirkung von Schulungsmaßnahmen maßgeblich verbessert und damit der Beitrag zum Erfolg des ISMS erhöht werden können. Werfen wir deshalb einen Blick auf einige dieser Prinzipien und Methoden. Dabei soll es nicht nur um konkrete Inhalte von Schulungen, sondern vielmehr auch um deren Planung, Gestaltung und um die Erfolgsmessung gehen.
„Können wir die Schulung verschieben?“
Oftmals beginnen die Probleme schon beim Knackpunkt Zeit. Abhängig von Größe und Komplexität einer Organisation braucht es bei einem entsprechend durchdachten Schulungsprogramm einiges davon und zudem Planungsgeschick. Möglicherweise stellen Führungskräfte, die eigentlich eine Vorbildfunktion haben, das Thema hinten an und lassen das operative Tagesgeschäft vorgehen. Ein Anzeichen für mangelnde Verbindlichkeit beim Thema Informationssicherheit. Eine möglichst frühzeitige Terminplanung mit festen Zusagen hat mir geholfen, diese Verbindlichkeit zu schaffen. Dabei war es besonders hilfreich, der Geschäftsführung den Zusammenhang zur potenziellen Nachweispflicht im Rahmen von ISMS-Audits aufzuzeigen: Wie weisen wir überhaupt die Awareness in unserer Organisation nach, wenn wir nicht regelmäßig zu dem Thema schulen? Schulungen sollten also grundsätzlich fest terminiert werden, regelmäßig stattfinden und die Teilnahme (auf einfache Art und Weise) dokumentiert werden.
„Interessiert das die da oben überhaupt?“
Die Unterschrift unter der Informationssicherheits-Leitlinie ist formal wichtig, hat aber in der Praxis keinen Nutzen, wenn die Geschäftsführung nicht auch in Person glaubhaft macht, wie viel ihr an der Sicherheit der Informationen liegt. Ich habe deshalb am Anfang einer Schulung immer der Geschäftsführung oder verantwortlichen Führungskraft das Wort gegeben und sie die Einleitung übernehmen lassen. Dies kann alternativ auch in Form eines kurzen Videos geschehen, wenn viele Schulungen abgehalten werden müssen und die Präsenz nicht in jedem Training möglich ist. Am besten kommt die Ernsthaftigkeit meiner Erfahrung nach aber in der persönlichen Variante rüber. Die Geschäftsführung sollte sich dabei idealerweise auf vergangene Bedrohungen oder Erfahrungen des Cybersecurity- bzw. des ISMS-Teams in der eigenen Organisation stützen.
„Warum ist das denn so wichtig?“
Allgemeine Beispiele zu Cyberbedrohungen sind gut, um die generelle Aufmerksamkeit des Publikums zu erhalten. Hier kann alles helfen: Ein gutes Deepfake-Video, eine Erläuterung kürzlicher großer Angriffe in Deutschland oder auch ein kurzer Blick auf die Threatmap von Checkpoint. Danach geht es aber darum, den Transfer zum eigenen Geschäft zu machen und potenzielle Gefahren so plastisch und real wie möglich aufzuzeigen. Hierbei sollten auch konkrete potenzielle Schäden benannt und beziffert werden. Niemand wird sich später an alle Stichpunkte auf den PowerPoint-Folien erinnern, wohl aber an die aufgezeigten Bedrohungen. Die Wirkung eines Trainings kann sinnvoll durch entsprechende Simulationen ergänzt werden, beispielsweise durch eine Phishing-Simulation in der eigenen Organisation. Auf diese Art und Weise füllen sich die Informationssicherheit und die manchmal trocken wirkenden Richtlinien mit Leben. Ich hatte beispielsweise mehrfach das Problem, dass niemand so recht wusste, was unter einem Informationssicherheits-Vorfall zu verstehen und warum ein solcher zu melden ist. Eine Simulation mit entsprechender praktischer Übung hat meinen Kollegen geholfen, sich in eine kritische Situation hineinzuversetzen und den Umgang damit zu erproben.
„Bei all den Regeln kann man nicht mehr effizient arbeiten!“
Wichtig ist auch, dass die Richtlinien nicht den Anschein eines überkomplexen bürokratischen Regelwerks erwecken, sondern als einfach wahrgenommen werden. Überhaupt sollte das Prinzip der Einfachheit fest in der Schulung verankert sein und als Leitmotiv immer wieder wiederholt werden. In diesem Zusammenhang empfiehlt es sich, einzelne Richtlinien thematisch zu bündeln und an praktischen Beispielen zu veranschaulichen. Beispielsweise können einzelne Richtlinien zur Gebäude- oder Raumsicherheit zusammengefasst werden nach dem Motto: Am Ende des Arbeitstages räume ich meinen Schreibtisch auf (Clean-Desk-Policy) und verschließe Geräte bzw. Informationen, checke außerdem, ob die Fenster geschlossen sind und schließe als letzter auch das Zimmer bzw. Büro ab. Wichtig auch: Der Hintergrund und Nutzen einer jeden Richtlinie sollten kurz aufgezeigt werden. Geschieht dies nicht, werden einzelne Regelungen möglicherweise als unsinnig oder überflüssig interpretiert.
„Jetzt wird es aber langsam doch zäh“
Moderne Formen des Lernens wie Blended Learning, d. h. ein Mix aus unterschiedlichen Lernformen, aber auch zwischengeschaltete interaktive Elemente wie zum Beispiel ein kurzes Quiz erhöhen die erforderliche Aufmerksamkeit und damit den Lerneffekt nachhaltig. Gerade in Corona-Zeiten gelang es mir so, das grundlegende Problem der schwierigen Planung von Schulungen (etwa aufgrund von Zeitmangel oder aber Telearbeit) teilweise dadurch zu lösen, dass Schulungen modulhaft aufgebaut werden und bestimmte Module online bereitgestellt werden. Diese habe ich dann durch wesentlich kürzere und schlankere Präsenz- oder Live-Onlineschulungen ergänzt. Grundsätzlich entsteht durch den Blended-Learning-Ansatz und die inhaltliche Modularisierung viel mehr Kontinuität, da die Inhalte „über die Zeit verteilt“ werden können. Durch immer wieder neue Angebote werden Impulse gesetzt und die Teilnahme vereinfacht. Zudem gehören dank dieser Vorgehensweise Schulungen mit Überlänge und Langweile-Risiko der Vergangenheit an. Durch die Erhöhung der Schulungsfrequenz konnte ich feststellen, dass die Kollegen allgemein häufiger über Informationssicherheit sprechen.
„Hat das jetzt überhaupt etwas gebracht?“
Kritisch wird es insbesondere dann, wenn dem Management Informationen zur Wirkung von Schulungsmaßnahmen fehlen. Deshalb sollte der gesamte PDCA-Zyklus (Plan, Do, Check, Act) in Bezug auf Schulungen durchlaufen werden, also auch die Schritte „Check“ und „Act“ nicht vergessen werden. Wenn niemand belegen kann, dass sich die Beteiligten jetzt nach der Schulung tatsächlich fitter fühlen, wird dieses Instrument womöglich gänzlich in Frage gestellt – mit fatalen Folgen für das ISMS. Bereits am Ende einer Schulung habe ich deshalb stets proaktiv nachgefragt, ob die Inhalte verständlich waren und sich die Teilnehmer dadurch besser auf die am Anfang genannten Gefahren vorbereitet fühlten. Eine solche Abfrage sollte idealerweise interaktiv geschehen, d. h. etwa in einer kurzen Diskussion nach dem Motto „Was kann ich als Einzelner und was können wir als Gruppe tun?“. Auch eine kurze Erfolgsabfrage über ein Online-Tool wie Kahoot hat sich meiner Erfahrung nach bewährt. Darüber hinaus kann mit voranschreitendem Reifegrad des ISMS eine generelle Awareness-Kennzahl gemessen werden, etwa durch einen Fragenkatalog an alle Mitarbeiter. Ich führte regelmäßig Wissenstests in Form von Onlinebefragungen in meinem Team durch. Allgemeine Fragen zur Informationssicherheit ergänzte ich dabei um aktuell besonders relevante Themen (etwa sicheres Arbeiten von zu Hause aus)mit abzudecken. Die quantitativen Ergebnisse nutze ich unter anderem als Nachweis von Awareness-Maßnahmen in externen Audits.
„Bis in einem Jahr dann“
Die Schulung ist vorbei und das Thema damit abgehakt – wir sehen uns nächstes Jahr wieder. Gehen die Teilnehmer mit diesem Gefühl aus der Schulung raus, ist niemandem geholfen.
Der Blended-Learning-Ansatz kann hier durch gesteigerte Kontinuität entgegenwirken. Genauso wichtig ist es aber, unabhängig von einzelnen Schulungen das Thema präsent zu halten. Dies habe ich beispielsweise durch interne Informations- und Awareness-Kampagnen erreicht. Auch hier kann ein Methoden-Mix (z. B. Artikel im Intranet und gleichzeitig aushängende Plakate) die Reichweite und Wirkung erhöhen. Derartige Kampagnen, der detaillierte Schulungsplan sowie Maßnahmen zur Erfolgsmessung sollten letztlich allesamt Bestandteil eines ganzheitlichen Schulungs- und Awareness-Konzepts sein, welches einer kontinuierlichen Überprüfung und Verbesserung unterliegt.