8 Gründe: Warum Ihre Security-Schulung versagt

Foto: Dzm1try – shutterstock.com

Unternehmen tun sich oft schwer, ihre Mitarbeiter zur Teilnahme an Cybersecurity-Schulungen zu bewegen – meist hilft nur, die Veranstaltungen obligatorisch zu machen. Das führt dann am Ende oft dazu, dass Teams die wegen der anhaltenden finanziellen Zwänge ihrer Unternehmen ohnehin schon unter Hochdruck arbeiten, zusätzlich Zeit freischaufeln müssen – nur, um an Schulungs-Sessions teilzunehmen, die das Gegenteil von inspirierend sind.

Wenn Sie sich jetzt fragen, welche Maßnahmen Sie ergreifen können, um diesen Zustand zu ändern, sollten Sie unbedingt weiterlesen. Im Folgenden erörtern wir im Gespräch mit Experten acht Gründe dafür, warum Ihre derzeitigen Cybersecurity-Schulungen nicht effektiv sind. Gleichzeitig sagen wir Ihnen auch, was Sie tun können, um diese attraktiver zu gestalten.

1. Relevanzmängel

Ed Adams, CEO von Security Innovation, verweist auf eine Studie, die sein Arbeitgeber in Kooperation mit dem Ponemon Institute veröffentlicht hat (Download gegen Daten). Demnach erzielen Security-Trainings, die realistische Simulationen beinhalten, einen höheren Return on Investment: “Um Schulungen relevant und nachvollziehbar zu machen, sollten Sie die Teilnehmer wie Angreifer agieren lassen und so die komplexe, sich schnell entwickelnde Welt der Cyberangriffe abzubilden – insbesondere, wenn es um Softwaresicherheit geht.”

Laut dem Manager könnte ein solches Cybersecurity-Programm beispielsweise Missionen oder Herausforderungen beinhalten – etwa “kaputte” Zugangskontrollen, die gefixt werden müssen, Capture-the-Flag-Wettbewerbe oder Bestenlisten, um Kompetenzen zu bewerten und Lernergebnisse sowie Collaboration zu maximieren.

“Sieht man die Auswirkungen eines Angriffs mit eigenen Augen, werden Schwachstellen von theoretischen zu greifbaren Problemen”, hält Adams fest. Er rät außerdem dazu, die Schulungsinhalte auf die jeweilige Rolle der Mitarbeiter und ihre Technologieplattformen zuzuschneiden: “Ein modularer Security-Lehrplan erleichtert es, IT-Sicherheitskonzepte in austauschbare Kernkomponenten für bestimmte Rollen aufzuschlüsseln”, erklärt er. Zudem sollte die Schulung innerhalb dieses Ansatzes ansprechend und kontextbezogen ausgestaltet sein, um sicherzustellen, dass die Übungen beherrschbar bleiben und gleichzeitig mit den neuesten Bedrohungen Schritt halten können, mit denen die IT-Sicherheitsteams in Unternehmen konfrontiert sind.

Ein weiterer wichtiger Punkt, den der Manager herausstellt, betrifft die Frequenz der Schulungsprogramme: “Nichts verdeutlicht mehr, dass Sie Security-Schulungen nicht ernst nehmen, als einmal pro Jahr dieselben angestaubten Inhalte zu vermitteln”, konstatiert Adams und fügt hinzu: “Auch obligatorische Schulungen können motivierend wirken. Um eine Security-Kultur aufbauen zu können, ist entscheidend, die Gründe dafür zu vermitteln, warum das nötig ist.”

Darüber hinaus sei auch selbstgesteuertes Lernen ein wichtiger Aspekt, um Inhalte und Flexibilität von Schulungen zu erweitern. Eine Einbindung in Live-Umgebungen könne sich zudem positiv auf die Teamrabeit auswirken, ist Adams überzeugt: “Deshalb sind Events, die von dedizierten Ausbildern geleitet werden zu Sensibilisierungszwecken auch effektiver – auch wenn sie remote stattfinden. Train-the-Trainer- oder Apprenticeship-Ansätze können darüber hinaus der Akzeptanz zuträglich sein und die Lernbereitschaft erhöhen.”

2. Kulturelle Entwicklungsschwächen

Stephen Boyce, außerordentlicher Professor an der Marymount University im US-Bundesstaat Virginia, rät CISOs dringend dazu, über den Tellerrand Compliance-fokussierter Pflichtübungen hinauszublicken: “Um die Sicherheitskultur eines Unternehmens zu verbessern, sind mehr Budget und Personalressourcen erforderlich. Zusätzlich zu technischen Talenten sollten Unternehmen ihre Belegschaft dabei auch mit Talenten aus nicht-traditionellen Bereichen wie Human Factors, Psychologie und physischer Sicherheit verstärken.”

Wie wirkungsvoll das Cyber-Hygieneprogramm eines Unternehmens ist, hänge von dessen Sicherheitskultur und davon ab, ob verschiedene Methoden zum Einsatz kommen, um den unterschiedlichen Lernstilen der Mitarbeiter gerecht zu werden, meint Boyce. Dabei ist der Akademiker allerdings der Überzeugung, dass sich der Security-Schulungsansatz in Unternehmen in den kommenden Jahren verändern muss: “Die heutigen IT-Sicherheitsschulungen und -programme wurden von ‘Digital Immigrants’ für ‘Digital Immigrants’ entwickelt. Je mehr sich die Demografie der Belegschaft verschiebt und die Digital Natives dort dominieren, desto eher werden Unternehmen feststellen, dass die Art und Weise, wie sie es bisher gemacht haben, nicht mehr so effektiv ist – Stichwort KI.”

3. Einseitiger Threat-Fokus

Ragnar Sigurdsson, Mitbegründer des Risk-Management-Anbieters AwareGO, bringt einen häufigen Grund für unterirdische Security-Schulungen auf die Agenda: “Die Inhalte sind langatmig, zu technisch und die Verantwortlichen setzen im Übermaß auf Phishing-Simulationen. Cyber-Schulungen sollten unterhaltsam sein, aber auch in mundgerechten Häppchen serviert werden.”

Um das zu gewährleisten, empfiehlt der Risikoexperte folgende Maßnahmen:

• Schulungsvideos sollten nicht länger als zwei Minuten sein,

• Schauspieler sollten anstelle von Animationen zum Einsatz kommen und

• die Botschaften mit einer Prise Humor sowie schnell und ansprechend zu vermitteln.

“Die Menschen verlieren schnell das Interesse, wenn sie das Gefühl haben, dass sie ihre Zeit vergeuden”, erklärt Sigurdsson und fügt hinzu: “Seit Jahrzehnten verlassen sich Unternehmen auf Phishing-Simulationen, um herauszufinden, wo ihr Unternehmen in Sachen Cybersicherheit steht. Diese Tests geben zwar Aufschluss über die Risikolage des Unternehmens, aber lediglich in einem Bereich. Die gewonnenen Informationen sind zudem nicht wirklich aussagekräftig, denn sie zeigen zum Beispiel nicht, ob eine Phishing-Mail ignoriert oder weitergeleitet wurde. Das sind allerdings wichtige Informationen, die IT-Sicherheitsbeauftragte kennen sollten, um das eigentliche Problem beheben zu können.”

Sigurdsson appelliert: “Wir brauchen eine andere Methode, um menschliches Risiko zu messen. Das sollte nicht mit standardisierten Fragebogen oder einer Phishing-Simulation geschehen, sondern mit unabhängigen und interaktiven Bewertungsszenarien für verschiedene Bedrohungsbereiche, die jeweils unterschiedliche Wissens- und Verhaltensniveaus aufzeigen. Belohnungen und Spielelemente einzubinden, trägt darüber hinaus zur Motivation bei.”

Geht es nach Sigurdsson, sollten Cybersicherheitsschulungen zudem auch intern “vermarktet” werden, um die Akzeptanz zu erhöhen: “Schlecht beworbene IT-Sicherheitsprogramme finden selten Anklang. Es muss eine ansprechbare Person hinter der Initiative stehen. Die Abteilungsleiter und das mittlere Management müssen voll dabei sein und unterstützen – nur so lässt sich eine gewisse Zugkraft erreichen. Zudem darf ein IT-Sicherheitsprogramm keine Anweisung von oben sein, sondern muss als Aufgabe gesehen werden, die in der Verantwortung aller liegt, vom CEO bis hin zum Hausmeister.”

4. Gamification-Verzicht

Gamification bietet sich insbesondere im Bereich der Cybersecurity-Schulungen an, weiß Corey Hynes, Vorstandsvorsitzender und Mitbegründer beim Lernanbieter Skillable: “Sicherheits-Games wie “Angriff und Verteidigung”, “Capture the Flag” und “Red vs Blue” erzielen durchweg höhere Teilnahmequoten und führen zu besseren Lernergebnissen und zum Erwerb von Fähigkeiten. Wenn sie individuell durchgeführt werden, sind auch Ranglisten ein großartiges Werkzeug, um zum Lernen zu motivieren”, meint der Lernexperte.

Dabei müsse Gamification nicht kompliziert sein, um effektiv zu wirken. Es könne jedoch unglaublich effektiv sein, die Teilnehmer in Gruppen unter Aufsicht eines Ausbilders oder Moderators zusammenzubringen, der die Interaktion steuern und einen gesunden Wettbewerb fördern kann. Laut Hynes verließen sich zu viele Cybersecurity-Schulungsprogramme auf ein “Lernen durch Beobachten” statt auf praktische Erfahrungen: “Gerade vor dem Hintergrund der massiven Fortschritte auf dem Feld der generativen KI müssen Unternehmen ihre Mitarbeiter darauf vorbereiten, richtig zu reagieren. Dazu reicht es nicht aus, Videos zu konsumieren.”

5. “One Size fits all”

Shaun McAlmont, CEO von Ninjio Cybersecurity Awareness Training, ist davon überzeugt, dass personalisierte Lektionen von entscheidender Bedeutung sind, um die Lernenden dort abzuholen, wo sie sich gerade befinden – das kann ein One-Size-Fits-All-Ansatz nicht leisten: “Dazu brauchen Unternehmen ein Schulungsprogramm, das es ihnen ermöglicht, die Inhalte auf die Bedürfnisse des Einzelnen oder des Teams zuzuschneiden und auf die Gegebenheiten ihrer Rollen oder persönlichen Schwachstellen einzugehen”.

Die optimale Vortragslänge beziffert McAlmont dabei auf 15 Minuten und beruft sich diesbezüglich auf wissenschaftliche Studien: “Verzichten Sie auf langatmige Monologe und gliedern Sie Ihre Schulung in kurze, leicht verdauliche Abschnitte, die in monatlicher Frequenz stattfinden. So vermeiden Sie, dass die Teilnehmer ausbrennen und verringern die Wahrscheinlichkeit, dass sie bis zum Mittagessen alles wieder vergessen haben.”

Darüber hinaus rät der Entscheider zudem davon ab, Cybersecurity-Schulungen mit Straf-, beziehungsweise negativen Maßnahmen zu verknüpfen: “Bleiben Sie stattdessen positiv und urteilsfrei. Es ist wahrscheinlicher, dass Menschen sich auf Schulungen zum Thema Cybersicherheit einlassen und einen positiven Beitrag dazu leisten, wenn sie nicht negativ konnotiert sind oder Angstgefühle erzeugen”, erklärt McAlmont.

6. Kein Storytelling

Mit Blick auf die Relevanz von IT-Sicherheitsschulungen sieht McAlmont vor allem ein wesentliches Erfordernis: “Sie müssen Cybersicherheit greifbar machen und eine nachvollziehbare Geschichte erzählen, mit der sich die Rezipienten identifizieren können.”

Das sieht auch Mike Lefebvre, Director of Cybersecurity beim IT-Sicherheitsanbieter SEI Sphere, so: “Es ist effektiver, in Schulungsmodulen reale Sicherheitsverletzungen zu betrachten. Damit sich das Verhalten ändert, müssen sich die Mitarbeiter für Cybersecurity-Schulungen interessieren. Wenn die als eine Lebenskompetenz positioniert wird, die die Mitarbeiter nicht nur bei der Arbeit sondern auch im Privatbereich schützen kann, ist es möglich, das Schulungsengagement zu verbessern.”

7. Theorie ist alles

Kevin Paige, CISO und VP für Produktstrategie beim Security-Anbieter Uptycs, rät von traditionellen, passiven Lernansätzen – etwa über den Konsum von Videos – klar ab: “Ein Video zu einem Thema anzusehen, das man nicht versteht, wird in der Praxis nicht zum Lernerfolg führen. Ein besserer Ansatz ist es, sich in die Systeme einzuschalten, die individuelle Sicherheits- und Risiko-Telemetriedaten sammeln – und diese zu nutzen, um den Mitarbeitern Echtzeit-Feedback zu ihrer Verhaltensweise zu geben.

Die Unternehmen könnten dieses Feedback im Anschluss bündeln und den Mitarbeitern eine individuelle Risikobewertung zuordnen, um einen Blick auf die allgemeine Risikolage ihres Unternehmens zu bekommen, empfiehlt Paige.

8. Einmal Awareness reicht

Security-Awareness-Schulungen sollten kein einmaliges Ereignis darstellen. Vielmehr sollte ein regelmäßiges, kontinuierliches Gespräch über Bedrohungen und die sich verändernde Risikolandschaft stattfinden.

Um potenzielle Risiken im Blick zu behalten, hat der IT-Sicherheitsanbieter Rapid7 ein eigenes, wöchentliches und organisationsweites Security Bulletin entwickelt, das sowohl interne als auch externe Risiken und Bedrohungen abdeckt. Ähnlich wie bei einem wöchentlichen Risikobericht gibt es eine Version für die oberste Führungsebene und eine weitere, die an den Rest des Unternehmens geht. Das Ziel: ernste Themen möglichst kurz und prägnant zu präsentieren. Jaya Baloo, CSO von Rapid7, verdeutlicht das Konzept: “Es sind jeweils maximal fünf Punkte, um niemanden zu überfordern. Damit will ich erreichen, dass jeder Mitarbeiter sich konkret mit Fragen der Cybersicherheit befasst, die unser Unternehmen betreffen”.

Baloo ist darüber hinaus ein Anhänger von Googles Blameless-Postmortem-Philosophie, wie er erklärt: “Wir wollen niemandem die Schuld für Sicherheitsprobleme zuweisen, sondern nur, dass das Problem behoben wird.” (fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.