Behavioral Security Digital sicher dank Lernpsychologie

Von Dr. Niklas Hellemann

Anbieter zum Thema

Gesellschaftliche Entwicklungen, neue Tools, neue Methoden – der Bereich Informationssicherheit muss sich immer wieder neu erfinden und weiterentwickeln. Das gilt insbesondere für Cyber Security Awareness Trainings. Mit lernpsychologischen Methoden gehen Organisationen einen Schritt weiter als bis zur Compliance, holen Mitarbeitende in der hybriden Arbeitswelt ab und schützen sich vor Cybervorfällen.

Die Bedrohungslage bestätigt: Der Faktor Mensch spielt eine zentrale Rolle in der Informationssicherheit.
Die Bedrohungslage bestätigt: Der Faktor Mensch spielt eine zentrale Rolle in der Informationssicherheit.
(Bild: sitthiphong - stock.adobe.com )

Die Cyber-Bedrohungslage verschärft sich zusehends. Das Bundeskriminalamt verzeichnet für 2021 einen neuen Höchstwert bei Straftaten im Cyberspace. Ausgeklügelte Ransomware- und Lieferkettenangriffe haben im vergangenen Jahr regelmäßig für Schlagzeilen gesorgt. Auch weiterhin starten viele der Angriffe beim Faktor Mensch, meist mit einer Phishing-Mail. Denn Mitarbeitende lassen sich auch trotz starker technischer Infrastruktur immer ähnlich angreifen – über emotionale Manipulation. Vor allem in gesellschaftlich unsicheren Zeiten, wie zuletzt während der Corona-Pandemie und des Angriffskrieges auf die Ukraine, ergeben sich für Cyberkriminelle optimale Erfolgschancen.

Warum hybride Arbeitswelten neue Lernmethoden notwendig machen

Hybride Arbeitsmodelle machen gerade Phishing-Angriffe darüber hinaus besonders einfach: Der Austausch mit Kolleginnen und Kollegen fehlt, Netzwerke sind schlechter abgesichert und Mitarbeitende im Homeoffice über verschiedene Kommunikationskanäle angreifbarer. Das setzt Organisationen unter Druck: Sie müssen ihre Mitarbeitenden für die Gefahren dieser Arbeitsumgebung sensibilisieren – denn rein technisch können schädliche von unschädlichen Nachrichten kaum noch unterschieden werden.

Die üblichen Schulungsmethoden werden der neuen hybriden Arbeits- und Lernrealität allerdings nicht mehr gerecht. Die meisten Security Awareness Trainings finden zwar schon lange online statt – E-Learning-Plattformen sind der Standard und können auch aus dem Homeoffice jederzeit abgerufen werden. Dafür hakt es an anderer Stelle: Der pädagogische Aspekt kommt bei diesen Plattformen zu kurz.

Security Awareness sollte – und kann – mehr als nur Regularien erfüllen

Das Problem vieler traditioneller Security Awareness Trainings liegt darin, dass sie nicht auf den Menschen ausgerichtet sind. Stattdessen sollen sie Regularien erfüllen, damit Zeit bleibt, um die technische Infrastruktur weiterzuentwickeln oder Sicherheitslücken zu patchen. So geht es bei vielen Awareness-Lösungen statt interaktiver Lernerfahrungen nur um reine Wissensvermittlung, damit Häkchen hinter Compliance-Forderungen gesetzt werden können.

Dieser Ansatz ist jedoch kurzsichtig. Denn mit dem richtigen Training können Mitarbeitende von Zu-Beschützenden zu Schützern werden – und Unternehmen schon präventiv und langfristig vor Sicherheitslücken, Datenvorfällen und kostspieligen Cyberangriffen bewahren. Gerade die komplexe Thematik rund um Informationssicherheit bedarf lernpsychologisch fundierter Methoden – nur so wird sie (auch für fachfremde Mitarbeitende) zugänglich und die Ergebnisse der Maßnahme nachhaltig sichtbar. Das Training ist also, wenn ihm die nötige Aufmerksamkeit geschenkt wird, ein wichtiger Business-Faktor.

Psychologisch fundiertes Security Awareness Training sichert Organisationen digital ab

Menschen streben nach Belohnung und Anerkennung. Sie sind neugierig, lieben Unterhaltung und möchten sich weiterentwickeln. Und Menschen sind soziale Wesen, die anderen helfen, aber auch mit einbezogen werden möchten. Diese Erkenntnisse sollten für effektive Security Awareness Trainings eingesetzt werden.

Im Human Risk Review 2022 schlüsselt Security-Awareness-Anbieter SoSafe genau auf, worauf es beim Stärken der Cyber Security Awareness in Organisationen ankommt. Das „Behavioral Security Model“ veranschaulicht, dass in der Informationssicherheit vier Faktoren ins Spiel kommen: Wissen, Kontext, Motivation und Verhalten. Diese Faktoren hängen eng miteinander zusammen. Ziel von Security-Awareness-Maßnahmen ist es demnach nicht nur, Wissen zu vermitteln, sondern auch Mitarbeitende dabei zu unterstützen und zu motivieren, ihr Verhalten zu reflektieren und sichere Routinen einzuüben. Daten aus der SoSafe Awareness-Plattform zeigen, dass mithilfe systematischer, auf den Menschen fokussierter Schulungsmaßnahmen die Cyberrisiken um bis zu 90 Prozent minimiert werden können.

Behavioral Security: Mit Methoden wie Gamification, Nudging & Co. zum Lernerfolg

Bei jeder der Dimensionen dieses Modells rücken andere lernpsychologische Methoden in den Vordergrund, die die Bedürfnisse der Lernenden in den Mittelpunkt stellen. So kann die Motivation der Mitarbeitenden beispielsweise mit Gamification nachhaltig erhöht werden – laut der Analysen von SoSafe um etwa 53 Prozent. Die Übertragung spieltypischer Elemente in spielfremde Kontexte funktioniert gut, weil die Trainings den natürlichen Spieltrieb des Menschen ansprechen, der uns auch über die Kindheit hinaus erhalten bleibt. Typische Elemente aus Computerspielen werden in den Lernprozess integriert, erhöhen den Spaßfaktor und motivieren zum kontinuierlichen Lernen.

Auch „verteiltes Lernen“ und kontinuierliche Lernstupser (sogenanntes „Nudging“) sind psychologisch sinnvoll: Wird Wissen regelmäßig wiederholt, kann das Erlernte besser verinnerlicht und leichter angewendet werden. Geschieht dies nicht, zeigt sich schnell der gegenteilige Effekt: Mitarbeitende können Phishing-Mails schon nach einer Lernpause von vier Wochen weniger gut erkennen – SoSafe’s Daten zeigen, dass die Klickraten im Schnitt um 31 Prozent steigen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Um den Lernenden ein gewinnbringendes Lernerlebnis anzubieten, bietet es sich außerdem an, die Lerninhalte an die Vorkenntnisse und Kompetenzen der Mitarbeitenden anzupassen, damit sie regelmäßige Erfolgserlebnisse haben. Kurze und prägnante Lerneinheiten lassen sich außerdem leicht in den Arbeitsalltag integrieren – auch in durch Online-Meetings zunehmend zerstückelte Kalender.

Mit lernpsychologischen Methoden die Sicherheitskultur nachhaltig stärken

Nur wenn es Organisationen gelingt, alle Mitarbeitenden zu sensibilisieren, können sie die Informationssicherheit langfristig gewährleisten. Der Einsatz von lernpsychologisch fundierten Methoden im Awareness-Training kann dabei den entscheidenden Unterschied machen. Die Trainings setzen dann genau dort an, wo das größte Potenzial liegt: beim Menschen selbst. Fühlen sich Mitarbeitende abgeholt und entwickeln Spaß am Lernen, absolvieren sie die Trainings gerne und behalten die Inhalte langfristig und nachhaltig im Gedächtnis. Das hilft Organisationen dabei, ihre Informationssicherheit zu erhöhen und das Risiko, Opfer eines Cyberangriffs zu werden, nachhaltig zu senken. Laut Human Risk Review 2022 haben mehr als 90 Prozent der Sicherheitsverantwortlichen genau das im kommenden Jahr vor.

Dr-Niklas-Hellemann, Gründer und Managing-Director von SoSafe.
Dr-Niklas-Hellemann, Gründer und Managing-Director von SoSafe.
(Bild: SoSafe )

Über den Autor: Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater und Geschäftsführer der Firma SoSafe. Als Experte für Social Engineering und Security Awareness beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.

Auf der ISX2022 IT-Security Conference ist SoSafe Premium-Partner mit Sessions am 22. Juni in Hamburg und am 6. Juli in Garching & Digital! Jetzt noch schnell anmelden um dabei sein zu können!

► Mehr Infos zur ISX 2022 IT-Security Conference

 

 

(ID:48414054)