5second - stock.adobe.com
IT-Sicherheit: Worauf es bei Schulungsinhalten ankommt
Damit Anwender bei Security Awareness Trainings wirklich etwas für ihren Alltag lernen und ihr Verhalten nachhaltig ändern, gilt es bei Schulungen einige Best Practices anzuwenden.
„Behaviors drive outcomes“ - Dies ist der Leitsatz der Fachleute, die im Bereich der sogenannten Security Awareness Trainings arbeiten. Was gemeinhin als „Taten sprechen lauter als Worte“ bekannt ist, gilt besonders für das Sicherheitsbewusstsein. Berichte legen viele Gründe dafür nahe, dass Menschen sich nicht sicher verhalten, obwohl sie es eigentlich besser wissen.
Doch ohne das Wissen, wie man rote Flaggen bei Phishing-Versuchen erkennt oder wie man sich verhält, wenn einem etwas nicht richtig vorkommt, wird es auch keine Verhaltensänderung hin zu mehr Sicherheit geben. Aus diesem Grund muss die Verhaltensänderung mit der Sensibilisierung beginnen. Es muss klar kommuniziert werden, warum Cybersicherheit wichtig ist, wie sie sich auf die Arbeit der Mitarbeiter auswirkt und was jeder Mitarbeiter tun muss, um zur allgemeinen Sicherheit eines Unternehmens beizutragen.
Sicherheitsexperten wissen, dass man intrinsische Motivation und dauerhaftes Engagement fördern muss, um vom reinen Bewusstsein zu einer Verhaltensänderung zu gelangen. Schulungen zur Security Awareness sind dabei ein wichtiges Element. Kurze Videomodule und ansprechende interaktive Übungen erinnern die Mitarbeiter an das Warum, Wie und Was ihrer Rolle in der Cybersicherheit.
Herausforderungen bei Security-Schulungen
Die Entwickler und Produzenten von Security Awareness Trainings müssen sich daher drei Herausforderungen stellen, um ihren Schülern die bestmöglichen Inhalte zu bieten. Sie müssen Inhalte erstellen, die es Fachleuten für Security Awareness ermöglichen:
- Die Herzen und Köpfe der Menschen gewinnen, indem klare Botschaften über das „Warum, Wie und Was“ vermittelt werden.
- Die Schaffung und Aufrechterhaltung einer Dynamik durch die Bereitstellung von Inhalten, die für die Rolle und die Verantwortlichkeiten des Einzelnen relevant sind.
- Verhaltensweisen nachhaltig zu gestalten, dass mehrere Module mit unterschiedlichen Lernmodulen - Variationen in Länge, Form, Thema und Vermittlungsmethode - denselben Lernergebnissen dienen.
Security Awareness war schon immer ein Thema für IT- und Informationssicherheitsexperten mit guten Kommunikationsfähigkeiten. Die Herausforderung besteht darin, technisches Wissen so aufzubereiten, dass Mitarbeiter aus allen Abteilungen die vermittelten Informationen verstehen und das Gelernte in ihrer täglichen Arbeit anwenden können. Im Laufe der Zeit ist dadurch ein Bedarf an Materialien entstanden, die leicht zu konsumieren sind und gleichzeitig einen messbaren Lerneffekt erzielen. Zwei Dinge, die dies nun ermöglichen, sind E-Learning-Inhalte und simuliertes Phishing. Ausbilder müssen sich darüber im Klaren sein, was sie vermitteln und welche Lernmaterialien und -formate sie verwenden wollen.
Die Herzen und Köpfe gewinnen
Alle Anwender haben unterschiedliche Persönlichkeiten. Sie nehmen Schulungsinhalte und deren Präsentation unterschiedlich wahr, weil jeder Mensch anders ist. Die Forschung in diesem Bereich zeigt, dass es Regelbrecher, Ausredenerfinder und Security Awareness-Champions gibt, das heißt Mitarbeiter, die später zu Vorbildern für andere werden. Die Aufnahme von Wissen erfolgt entweder in Form einer emotionalen Reaktion, wie Zustimmung oder Ablehnung einer Reihe von Regeln, oder in Form eines Verständnisses des Risikos, das mit verschiedenen Verhaltensweisen verbunden ist. Unter bestimmten Umständen kann es sinnvoll sein, gezielte Schulungen für übermäßig enthusiastische oder - im Gegenteil - skeptische Mitarbeiter zu initiieren. Demotivierte Mitarbeiter hingegen sind sehr schwer zu schulen und zu erreichen. Hier sind eher kreative Formen gefragt.
Die Erstellung professioneller Inhalte erfordert daher mehr als nur technisches Wissen. Es braucht Spezialisten, die sich mit der Vermittlung von Wissen und dessen Rezeption auskennen. Sie arbeiten mit Grafikern und Videokünstlern zusammen, um schwierige Themen mit Hilfe verschiedenster Medien darzustellen. Darüber hinaus ist viel Kreativität gefragt, um die Inhalte abwechslungsreich zu präsentieren. Diese Anforderungen lesen sich auf dem Papier einfach, können aber nur im Team bewältigt werden. Bei KnowBe4 beispielsweise arbeiten 120 Spezialisten an nichts anderem als an der Aktualisierung bestehender und der Erstellung neuer Materialien, zum Beispiel wenn neue Standards wie PCI anstehen, oder an der Produktion neuer Inhalte, wie es derzeit beim Missbrauch generativer KI der Fall ist.
John Just,
KnowBe4
Der Prozess der Erstellung von Kursunterlagen ist eine Kombination aus einem Softwareentwicklungsansatz zur Erstellung von Online-Lernmaterialien und einem Expertenteam. Dieses Team besteht aus Instruktionsdesignern, die den Text und den Ablauf der Schulung entwerfen und eng mit Fachexperten an den Inhalten zusammenarbeiten. Weitere Mitglieder sind Webentwickler, Grafikdesigner und oft auch Videoexperten, so dass wirklich ein ganzes Team von Experten an der Entwicklung der Inhalte beteiligt ist. Darüber hinaus sollte auch die Qualitätssicherung integriert sein, so dass alle Arbeiten von den Spezialisten überprüft werden. Sie fungieren nicht nur als Texter, sondern die Arbeit auch auf ihre Funktionalität hin überprüfen und sie mit dem Feedback der Nutzer abgleichen. Dieses Feedback ist ein wichtiger Teil der Gesamtphilosophie des Lernprogramms, erfordert die Zusammenarbeit konzentrierter Teams und die Abstimmung mit den beteiligten Qualitätsprüfern.
Momentum schaffen und aufrechterhalten
Die Branche und die ihr innewohnende Unternehmenskultur spielen eine wichtige Rolle bei der Gestaltung von Schulungsinhalten und -formen. Erfahrungsgemäß sollten in Banken und Versicherungen keine Anime oder Comics verwendet werden, um Security Awareness zu vermitteln. In anderen Branchen kann die Situation jedoch ganz anders aussehen. Im Allgemeinen funktionieren Inhalte, die Risiken und Herausforderungen veranschaulichen, gut, insbesondere in Deutschland. Die Darstellung in Grafiken oder Übersichten kommt quer durch alle Branchen gut an. Besonders beliebt sind Poster und Infografiken, die sich leicht in den Arbeitsalltag integrieren lassen und als ständige Mahnung zu mehr Cyberbewusstsein dienen.
Das Wichtigste bei der Erarbeitung von Inhalten für Sicherheitsschulungen sind nicht kreative Ideen, sondern der Aufbau von Beziehungen zu den Mitarbeitern und das Einholen von Nutzerfeedback. Vor allem, wenn es emotional ist. Denn wenn die Mitarbeiter verstehen, was ein Klick auf Phishing-E-Mails anrichten kann, sind sie umso engagierter bei der Sache. Unternehmen, die bereits einen Sicherheitsvorfall hatten und Mitarbeiter nach Hause schicken mussten, wissen es zu schätzen, wenn die Klickrate auf simulierte Phishing-E-Mails nach Schulungen sinkt. Andere Nutzer sind froh, dass sie ihre wertvollen privaten Fotos sichern und vor dem Zugriff durch unbekannte Dritte schützen konnten.
Martin J. Krämer,
KnowBe4
Ein Trend in der Branche der E-Learning-Plattformen ist die Abkehr von monolithischen Kursverwaltungssystemen und Lernmanagementsystemen (LMS) hin zu mehr zweckmäßigen Systemen für jede Art des Lernens. Marktdaten zeigen, dass 90 Prozent der Funktionen eines gekauften LMS überhaupt nicht genutzt werden. Wenn Unternehmen also für die meisten dieser Funktionen bezahlen und nur 10 Prozent davon nutzen, dann zumeist nur die Inhalte, die für sie am wichtigsten sind. Die Bereitstellung von Inhalten ist ebenfalls ein wichtiger Aspekt, manchmal neigt das LMS dazu, den Inhalten in die Quere zu kommen. Ein Beispiel dafür sind die Bewertungen der Funktionen und die Auswertungen darüber, welche Funktionen weniger häufig genutzt werden. Die Bereitstellung dieser Funktionalitäten erfolgt hauptsächlich über API-Schnittstellen, die von verschiedenen Systemen gesteuert werden. Sie liefern zielgerichtete Inhalte zurück in ein Lern-Repository, dass das stattfindende Lernen erfasst, egal ob formell oder informell. Diese Art des kontinuierlichen Ausbaus und der Erweiterung der Lernplattform ist sicherlich die Zukunft.
Verhalten nachhaltig beeinflussen
Um nachhaltige Effekte zu erzielen, empfiehlt sich mindestens vierteljährliche Schulungskampagnen durchzuführen. Leider ist es in vielen Unternehmen immer noch so, dass es nur ein jährliches Training gibt, das von den Compliance-Vorschriften vorgeschrieben ist und dann aus diesem Grund durchgeführt wird. Diese Schulungen sind dann nur 15, 30 oder 45 Minuten lang, decken die für die Branche wichtigen Compliance-Anforderungen sowie einige Grundlagen des Sicherheitsbewusstseins ab, und das war's. Eine intensivere Schulung erhalten dann nur neue Mitarbeiter, die sie im Rahmen des Onboarding-Prozesses durchlaufen. Auch für viele Erwachsene sind diese Inhalte eher eine Auffrischung und Erinnerung. Die Erfahrung aus der Erwachsenenbildung zeigt, dass die nachhaltigsten Lerneffekte durch Wiederholung entstehen.
Außerdem lohnt es sich, verschiedene Medien für die Wissensvermittlung zu nutzen. Gesprochene Inhalte werden vom Gehirn am besten verarbeitet, wenn sie anschließend vom Lernenden wieder gelesen werden. Der Mix aus verschiedenen Lernformen wie Audio, Video und Text zusammen mit der Wiederholung durch ein Quiz oder einen anderen Gamification-Ansatz fördert den Erkenntnisgewinn. Je öfter solche Inhalte konsumiert werden, desto besser werden sie verinnerlicht. Die Interaktion mit Wissenskontrollen hilft, das Wissen anzuwenden. Ein Content-Mix hilft dabei, die roten Fahnen in Phishing-E-Mails zu finden. Das Anklicken roter Flaggen in Phishing-E-Mails hilft beim Verständnis, wo sich diese verstecken. Dies oft zu tun wird helfen, sie in Zukunft in echten Phishing-E-Mails zu finden. Schließlich sollte ein gutes Sicherheitstraining in der Lage sein, all diese verschiedenen Lernformate anzubieten.
Am Anfang jeder Schulung sollte eine Erklärung für die Teilnehmer stehen, warum sie an dieser Schulungseinheit teilnehmen. In der Regel ist dies das Ergebnis eines Klicks auf eine simulierte Phishing-E-Mail. Daher muss jeder Kommunikation eine gute Begründung vorausgehen, was von den Lernenden erwartet wird, welche Fortschritte sie machen werden und wie sich die Teilnahme für sie auszahlen wird. Darüber hinaus ist es wichtig, dass Ausbilder den Lernenden konsequent Rückmeldung über ihre Lernfortschritte geben. Positive Verstärkung funktioniert auch hier, ohne Wettbewerbsdruck zu erzeugen. Letztendlich geht es um individuelle Lernziele. Wenn jemand eine Schulung nicht besteht, sie dann aber wiederholt und besteht, ist es wichtig, dies auch anzuerkennen. Die eingangs erwähnten Champions müssen identifiziert und gefördert werden. Sie sorgen für Anreize für andere Mitarbeiter und sind Ansprechpartner im Unternehmen, die bei kleineren Problemen schnell helfen können. Diese Hilfe zur Selbsthilfe sollte gefördert werden.
Fazit
Drei Herausforderungen durchdringen die Gestaltung von Programmen zur Förderung der Security Awareness und damit auch die Erstellung und Bereitstellung von Online-Lerninhalten: die Herzen und Köpfe der Menschen zu gewinnen, eine Dynamik und Motivation zu schaffen, diese aufrechtzuerhalten sowie das Verhalten nachhaltig zu verändern. Die Erstellung von Schulungsinhalten kann zeitaufwendig sein, und die Ausbilder sollten sich auf die Planung und Durchführung von Schulungen konzentrieren, anstatt sie selbst Content zu entwickeln. Anbieter von Security Awareness Trainings müssen daher bei der Erstellung von E-Learning-Modulen die Anforderungen der Awareness-Experten berücksichtigen.
Über die Autoren:
John Just, Ed.D., ist Chief Learning Officer und Martin J. Krämer, DPhil, ist Security Awareness Advocate bei KnowBe4.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
