Unternehmen erkennen zunehmend die Gefahren im Cyber-Raum. Der Mensch ist wegen seiner Verhaltensmuster und Gewohnheiten sowie des häufig mangelnden Bewusstseins und Wissens über IT-Sicherheit das grösste Einfallstor für Cyberangriffe. Die Sensibilisierung für Sicherheitsthemen ist herausfordernd. Bekannte Praktiken zur Steigerung des Sicherheitsbewusstseins, wie Phishing-Kampagnen, E-Learning und Schulungen, sind weit verbreitet. Dennoch führen häufige Fehler oder mangelhafte Praktiken zu einer Verschlechterung des Sicherheitsbewusstseins und des Vertrauens in das Unternehmen.
Die acht häufigsten Fehler bei Security Awareness Trainings:
1.
Fehlender Fokus auf nachhaltige Verhaltensänderung und langfristige Awareness-Planung: Awareness-Kampagnen sollten auf langfristige und nachhaltige Verhaltensänderung abzielen und umgesetzt werden. Kurzfristige Awareness-Massnahmen führen zu Inkonsistenz und mangelnder Sinnhaftigkeit.
Empfehlung: Awareness-Massnahmen langfristig planen, einschliesslich zeitlicher sowie themenspezifischer Planung von Kampagnen.
2.
Fingerpointing und Bestrafungen: In kleineren Unternehmen mit überschaubarerer Mitarbeiteranzahl, gibt es oft Fingerpointing oder gar Bestrafungen.
Empfehlung: Keine spezifischen Namen nennen, sondern die Statistik dem Management zeigen. Keine Bestrafungen vorsehen, Nachschulungen reichen aus. Bei wiederholtem Vergehen spezifischere Massnahmen mit Konsequenzen durchführen.
3.
Zu häufige oder einmalige E-Learnings und Phishing-Kampagnen: Zu häufige Phishing-Kampagnen und E-Learnings führen dazu, dass die Aha-Effekte nicht mehr wirksam sind, oder dass Mitarbeitende sich nur noch gelangweilt durch Inhalte klicken. Einmalige Awareness-Kampagnen hingegen, fördern nur kurzzeitig das Bewusstsein. Die Mitarbeitenden kehren schnell zu alten Denk- und Verhaltensmustern zurück.
Empfehlung: Massnahmen regelmässig durchführen aber mit grösseren Abständen dazwischen. Dies fördert das Bewusstsein, ändert das Verhalten konstant und stört die Mitarbeitenden bei ihrer täglichen Arbeit nicht.
4.
Mitarbeitende ins kalte Wasser werfen: Unternehmen, die bisher keine Awareness-Massnahmen durchgeführt haben, sollten die Mitarbeitenden nicht ins kalte Wasser werfen. Plötzliche, unangekündigte Phishing-Massnahmen oder Simulationen mit hohem Schwierigkeitsgrad führen oft zu negativen Reaktionen.
Empfehlung: Mitarbeitende vorab informieren, dass Massnahmen durchgeführt werden.
5.
Zu lange und passive E-Learnings oder Schulungen: Umfangreiche und passive Massnahmen, wirken demotivierend und sind kontraproduktiv.
Empfehlung: Kurze, interaktive und kurzweilige Schulungen durchführen. Das ist effektiv und vermittelt die wichtigsten Informationen.
6.
Fehlende Transparenz gegenüber Mitarbeitenden: Nach einer Phishing-Kampagne ist es wichtig, die Mitarbeitenden darüber zu informieren und die Statistiken zu zeigen.
Empfehlung: Transparenz und Vertrauen schaffen, indem die Awareness-Kampagnen als Hilfe für die Mitarbeitenden kommuniziert werden.
7.
Freiwilligkeit: Freiwillige E-Learnings oder Schulungen werden meist nur von bereits interessierten und sensibilisierten Mitarbeitenden besucht. Nichtangemeldete Personen zeigen keine Motivation ihr Verhalten zu ändern oder ihr Bewusstsein zu stärken.
Empfehlung: E-Learnings und Schulungen als Pflichtaufgabe im Arbeitsleben der Mitarbeitenden integrieren, um eine bessere Messung und Teilnahme zu gewährleisten.
8.
Fehlendes Management Commitment: Ohne das Commitment des Managements, wird die Sensibilisierung nicht ausreichend gefördert und zeigt nicht die gewünschten Effekte.
Empfehlung: Das Management muss die Bedeutung der Informationssicherheit anerkennen und die Sensibilisierung für Cyber-Bedrohungen aktiv unterstützen.
Die Sensibilisierung für Informationssicherheit ist ein stetiger Prozess, der eine sorgfältige Planung und Umsetzung erfordert. Indem sie die häufigsten Fehler im Security Awareness Training vermeiden, steigern Unternehmen die Effektivität ihrer Massnahmen erheblich und verbessern das Sicherheitsbewusstsein ihrer Mitarbeitenden nachhaltig. Bereit, Ihr Unternehmen auf die nächste Stufe der Cyber-Sicherheit zu bringen?
Hier erfahren Sie mehr dazu, wie Sie die Sicherheitskompetenz Ihrer Mitarbeitenden nachhaltig stärken. Oder vereinbaren Sie direkt einen Termin mit unserem Security-Team:
Aveniq Security Services
