Die Aufgaben eines Security-Awareness-Trainers im Überblick

Bei vielen Unternehmen orientieren sich Security-Maßnahmen an den Mitarbeitern. Dies mit gutem Grund, denn versierte und ordentlich geschulte Anwender sind ein in der Vergangenheit manchmal unterschätzter Aktivposten in der Gesamtsicherheit.

Dies hat sich aber längst gewandelt und die mancherorts geänderte Arbeitssituation – Stichwort Fernarbeit – hat die die Bedeutung von aufmerksamen Mitarbeitern noch mehr in den Fokus gerückt.

Nicht ohne Grund ist für viele Unternehmen die Schulung der Endanwender dann auch eines der wichtigsten Vorhaben im Bereich Security, wie auch unsere Umfrage im Hinblick auf die IT-Prioritäten ergeben hat.

Doch zwischen einem Online-Video, dass ein Mitarbeiter als Anwendung „nebenbei“ laufen lässt und der Vermittlung von nachhaltigem Wissen besteht ein großer Unterschied. Und hier kommen Security Awareness Trainer ins Spiel, die dafür sorgen können, dass sich Risiken minimieren und Verhaltensweisen ändern.

Dazu muss er intern die Problemzonen erkennen und extern stets auf dem Laufenden im Hinblick auf die Bedrohungslandschaft sein. Und das sind nur wenige Aspekte der facettenreichen Tätigkeit.

Im Gespräch mit ComputerWeekly.de erläutert Joanna Huisman die Anforderungen an und die Tätigkeiten von Security Awareness Trainern. Joanna Huisman verfügt als Marketing-, Schulungs- und Kommunikationsexperte über 20 Jahre an Erfahrung in strategischen, internen und kundenorientierten Engagements. Derzeit ist sie Senior Vice President of Strategic Insights and Research bei KnowBe4. Hier ist sie für die Unterstützung bei der Entwicklung, Ausführung, Synthese und Nutzung von Forschung, fortschrittlicher Analytik und anderen Erkenntnisquellen verantwortlich.

Was ist eigentlich ein Security-Awareness-Trainer?

Joanna Huisman: Ein Security-Awareness-Trainer konzentriert sich auf die Vermittlung von Wissen über die Informationssicherheit im Rahmen von Weiterbildungsmaßnahmen, um das gesamtorganisatorische Risiko zu reduzieren. Er identifiziert die Positionen und Mitarbeiter, die eine große Gefahr darstellen und Verhaltensweisen und Arbeitsabläufe erkennt, die entsprechend geändert werden müssen.

Was sind die Aufgaben eines Security Awareness Trainers?

Huisman: Ein Security-Awareness-Trainer muss sicherstellen, dass das Security-Awareness-Programm die Sicherheitsrichtlinien und Compliance-Anforderungen der Organisation widerspiegelt und mit den allgemeinen Unternehmenszielen verknüpft ist.

Er muss dafür Sorge tragen, dass sein Unternehmen ein umfassendes und kontinuierliches Programm zur Verfügung stellt, das riskante Verhaltensweisen effektiv ändert. Das Programm sollte ansprechende Inhalte, Angriffssimulationen wie Phishing zu Trainingszwecken und kurze Mitteilungen über Veränderungen in der Bedrohungslandschaft enthalten.

Das Programm muss außerdem gemessen und regelmäßig überprüft werden, um sicherzustellen, dass es dazu beiträgt, Risiken zu reduzieren und die Verhaltensweisen der Mitarbeiter im Sinne der Informationssicherheit zu entwickeln. Die Bedeutung der Sicherheitshygiene im privaten und beruflichen Umfeld sollte betont werden, um aufzuzeigen, dass Cyberkriminelle beides miteinander verbinden und eben nicht trennen.

„Der Faktor Mensch hat mehr Einfluss auf die IT-Sicherheit, als es die Technologie je tun wird. Deshalb ist es notwendig, sich auf diesen Bereich zu konzentrieren.“

Joanna Huisman, KnowBe4

Wer darüber hinaus noch Mitarbeiter gewinnen kann, die im gesamten Unternehmen als Vorbild dienen und die Maßnahmen unterstützen, ist ein Trainer in der Lage ein sogenanntes Champions-Programm ins Leben zu rufen. Hier werden diese Influencer weiter trainiert, so dass sie ihr Wissen in der täglichen Jobroutine an ihre Mitarbeiter in den jeweiligen Abteilungen weitergeben können. Dieses täglich einfließen lassen führt dann zu einer noch besseren Änderung von Verhaltensweisen, die ein Unternehmen gefährden könnte.

Welche Art von Kenntnissen erfordert diese Position, abgesehen davon, dass man ein Experte für Datensicherheit ist?

Huisman: Für die Position eines Security-Awareness-Trainers sind Kenntnisse aus dem Bereich der Organisationsentwicklung und Schulung wichtig, sie sollte menschliches Verhalten verstehen und wissen, wie man Veränderungen herbeiführt. Darüber hinaus sollten sie über exzellente Kommunikationsfähigkeiten verfügen und in der Lage sein, Partnerschaften innerhalb einer Organisation einzugehen, um Dinge zu erreichen und Kenntnisse aus dem Bereich IT-Sicherheit sind immer ein Plus.

Was sind Werkzeuge und Techniken, die beim Training verwendet werden?

Huisman: Security-Awareness-Trainings konzentrieren sich auf drei Bereiche:

• Fesselnde Inhalte, die in verschiedenen Stilen und Versionen zur Verfügung gestellt werden, um die unterschiedlichen Lernbedürfnisse einer vielfältigen Mitarbeiterpopulation zu erfüllen.
• Häufige Angriffssimulationen mit relevanten Vorlagen, die verschiedene Schwierigkeitsgrade testen.
• Kontinuierliche, verdauliche und leicht verständliche Botschaften.

Jeder Mitarbeiter, auf allen Ebenen, muss verpflichtet werden, an dem Programm teilzunehmen.

Wie führt man Security-Awareness-Programme innerhalb eines Unternehmens durch?

Huisman: Um ein Security-Awareness-Programm innerhalb eines Unternehmens effektiv zu verwalten, sind die Unterstützung durch die Geschäftsführung und definierte Programmziele entscheidend. Außerdem ist ein bestimmtes Budget erforderlich, um mit einem Anbieter zusammenzuarbeiten, der das richtige Programm anbietet.

Wie sollte man den Erfolg von Security-Awareness-Programmen messen?

Huisman: Der Erfolg kann gemessen werden durch:

• Nutzung von Phishing-Ergebnissen über einen längeren Zeitraum unter Verwendung ähnlicher Vorlagen, um die Kompetenz zu bewerten.
• Testen des Mitarbeiterwissens nach der Schulung durch Umfragen oder Quizfragen.
• Benchmarking der Anzahl der gemeldeten Sicherheitsvorfälle vor und nach der Schulung.
• Zusammenarbeit mit dem IT-Security-Team, um DLP- und SIEM-Berichte besser zu verstehen und um zu sehen, wie sie laufende riskante Verhaltensweisen von Mitarbeitern aufzeigen.
• Nutzen Sie ein Champion-Netzwerk, um festzustellen, ob Verhaltensweisen auf lokaler Ebene sicherer sind.

Wie wird sich diese Rolle innerhalb eines Unternehmens in den nächsten fünf Jahren weiterentwickeln?

Huisman: Der Faktor Mensch hat mehr Einfluss auf die IT-Sicherheit, als es die Technologie je tun wird. Deshalb ist es notwendig, sich auf diesen Bereich zu konzentrieren. Für die Sicherung des Faktors Mensch werden dedizierte Ressourcen mit dem richtigen Wissen benötigt, um Tools und Programme einzurichten, die das Verhalten der Mitarbeiter positiv beeinflussen.