Gesponsert

“Old School” versus “New School” Der Status Quo bei Security Awareness Trainings

Gesponsert von

Security Awareness Trainings helfen stets dabei, das Unternehmen zu schützen und die Belegschaft sicherheitsaffiner zu machen. Bei der Ausgestaltung gibt es aber unterschiedliche Ansätze – manche effektiver als andere.

Security Awareness Training im Team.
Security Awareness Training im Team.
(Bild: Canva )

Zur Stärkung der Cybersicherheit ist es für Organisationen unabdingbar, die eigenen Mitarbeiter im sicheren Umgang mit IT, Netzwerken, E-Mails und co. zu schulen. In vielen Unternehmen führen Security Awareness Trainer allerdings vor allem klassische „Old School Awareness Trainings“ durch, also Frontalunterricht über mehrere Stunden bei denen zahllose Mitarbeiter in einen Raum versammelt werden. In dem „Unterricht“ werden die „Schüler“ dann aufgeklärt und die Aufgabe des Trainers ist es in der kurzen Zeit so viel Wissen wie möglich in die Köpfe der Mitarbeiter zu bekommen. Als Motivationshilfe werden Getränke und Snacks gestellt.

Hier muss es einen besseren Weg geben, und tatsächlich gibt es sogar eine ganze Reihe davon. Bei Security Awareness sind es mehrere Straßen, die nach Rom führen. Mitarbeiter sollten selbst entscheiden können, welche Option für ihr Lernverhalten am besten geeignet ist – Selbstverantwortung ist einer der besten Motivatoren. Mitarbeitende sollten daher Mitspracherecht darüber haben, wann, wo und wie sie eine Weiterbildungsmaßnahme wahrnehmen wollen und aufgrund des beruflichen Alltags auch können.

Webbasiertes Training

Diese Flexibilität und Dynamik können webbasierte Plattformen bieten. Sie stellen beispielsweise unterschiedlichste Inhalte in verschiedenen Sprachen zur Verfügung. Die digitale Schulung erlaubt außerdem die Nutzung von Videos und Spielen bestehend aus einem Quiz oder aus textbasierten Bausteinen. Mitarbeitende müssen nun nicht mehr zu einem bestimmten Zeitpunkt an einem bestimmten Ort sein, sondern können selbst entscheiden, wann und wo die Schulung durchzuführen ist. Die Security Awareness Trainer erhalten andererseits die Freiheit aus mehreren Inhalten wählen zu können. Sie können diese dann individuell zur Verfügung stellen und je nach Trainingserfolg weitere Maßnahmen mit den einzelnen Mitarbeitenden per E-Mail abstimmen.

Kleine Erfolge, also kürzere Inhalte mit sofortigem Feedback, motivieren die Teilnehmer dazu weitere Maßnahmen durchzuführen und sich stetig zu verbessern. Laut dem Buch „The Progress Principle: Using Small Wins to Ignite Joy, Engagement, and Creativity at Work“ (zu Deutsch: „Das Fortschrittsprinzip: Mit kleinen Erfolgen Freude, Engagement und Kreativität bei der Arbeit wecken“) ist die Lebenszufriedenheit um 22 Prozent höher bei denjenigen, die regelmäßig kleine Erfolge erzielen. Dadurch fühlen sich Mitarbeitende gestärkt und nicht zu etwas gezwungen.

Faulheit, Gewohnheit und der „Fun-Faktor“

Ein weiterer Teil des „New School Awareness Trainings“ konzentriert sich darauf, die Aufmerksamkeit der Teilnehmer während des Trainings zu fesseln und zu halten. Die Grundlagen hierfür gehen auf die Lehren des amerikanischen Sozialwissenschaftlers B.J. Fogg zurück. Er hält fest, dass es drei Wahrheiten über die menschliche Natur gibt: Wir sind faul, sozial und Gewohnheitstiere. Das „New School Security Training“ trägt diesen Wahrheiten Rechnung. Das bedeutet, dass Security Awareness Trainer den Teilnehmern statt langweiliger Power Point Präsentationen etwas bieten sollten, das Spaß macht, für ihre Arbeit relevant ist und berücksichtigt, dass Menschen sich sehr schnell langweilen.

Der Spaßfaktor entsteht durch kurze, kontinuierliche Schulungen. Anstelle einer mehrstündigen Sitzung ein paar Mal im Jahr, sollten regelmäßig Inhalte konsumiert und vor allem auch reflektiert werden. Eine Schulungsmaßnahme mit großem Einfluss kann jeden Monat in 5-Minuten-Abschnitten stattfinden. Einer der Vorteile ist, dass Mitarbeitende die Trainings bei Leerlauf im beruflichen Alltag zwischenschieben können und sofort eine positive Rückmeldung erhalten oder durch Wiederholungen herausgefordert werden. Darüber hinaus sind die Inhalte auf sie abgestimmt und können aufgrund aktueller Ereignisse sogar tagesrelevant sein, z.B. bei saisonalen oder akuten Phishing-Anlässen.

Personalisierung und lebenslanges Lernen

Anstatt, dass jeder Mitarbeiter an einer allgemeinen Schulungssitzung teilnehmen muss, können diese personalisiert werden. Schulungsinhalte können so angeboten werden, dass sie für die Rolle des Mitarbeitenden und ihre jeweilige Tätigkeit im Unternehmen relevant sind. Die erforderliche Schulung wird auf die täglichen Aufgaben und den Erfahrungshorizont in Sachen Security Awareness des Mitarbeiters zugeschnitten. Anstelle einer Einheitsmethode, die von den meisten als langweilig empfunden wird, werden Schulungen ermöglicht, die die Mitarbeiter sofort anwenden können.

Menschen neigen außerdem dazu, ihre Energie zu sparen. Es spielt keine Rolle, ob Mitarbeitende ihr Sicherheitstraining im Bus auf dem Nachhauseweg verfolgen, oder abends auf der Couch. Mitarbeitenden die Verantwortung für ihren eigenen Trainingsplan zu übertragen, kann diese motivieren und gibt ihnen ein Gefühl der Anerkennung und des Respekts. Welche Themen und Inhalte Security Awareness Trainer ihren Teilnehmern geben, entscheiden die Trainer und natürlich bauen die Verantwortlichen ihre eigenen „Lehrpläne“ auf und überlegen sich, in welcher Reihenfolge die Schulungen stattfinden sollen. Außerdem behält der Trainer die Kontrolle über den Lernfortschritt und kann zur Not Inhalte auch wiederholen oder vertiefen lassen. Am Ende muss jedes Security Awareness Programm mit den Zielen und Werten des Unternehmens im Einklang stehen.

Fazit

Indem Security Awareness Trainer ihr Programm aus der Perspektive der Zielgruppe und ihrer Benutzer gestalten, richten sie die Schulungen auf das Endergebnis aus. Sie können das Verhalten der Mitarbeitenden so gestalten, dass die Informationssicherheit an erster Stelle steht, und sie in die Lage versetzen, die richtigen Sicherheitsentscheidungen zu treffen, wenn es am wichtigsten ist. Das ist ein grundlegender Wandel gegenüber der herkömmlichen Vorgehensweise, bei der meist ausschließlich die Bedürfnisse der Unternehmen ausschlaggebend für die Gestaltung der Security Awareness Schulungen sind.

Es hilft ungemein sich ins Bewusstsein zu rufen, dass hier Menschen andere Menschen schulen und dass alle Erwachsenen gewisse Vorerfahrungen aus der Schule mitbringen. Die wenigsten mögen den klassischen Frontalunterricht mit Hausaufgaben und anschließenden Tests – nicht neben den Anforderungen der täglichen Arbeit. Wenn aber das Gefühl entsteht, dass hier mit klugen und abwechslungsreichen Inhalten - zu Tageszeiten, zu denen die Arbeitslast nicht die Konzentration beeinträchtigt - motiviert und Wissen kreativ vermittelt wird, entsteht ein neues Selbstbewusstsein, dass zu den Werten eines modernen Unternehmens besser passt als klassisches Tafelabschreiben.


KnowBe4

(ID:48490306)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung