„Awareness Trainings sind ein ‘must-have’, kein ‘nice-to-have’”

Neben allen technischen Schutzmaßnahmen rückt der Mitarbeitende immer stärker in den Fokus von Cyberkriminellen. Gerade der Mittelstand hat hier aber noch erheblichen Nachholbedarf. Das zeigt auch der Angriff auf die Stadt Witten, die von ihrer Größe her mit einem mittelständischen Unternehmen vergleichbar ist. Große Städte wie München, Hamburg oder Hannover haben bereits ein entsprechendes IT-Sicherheitsbudget – die sind besser aufgestellt.

Wir wollen eine Kombination aus Phishing und E-Learning nutzen, um den Unternehmen den jeweiligen Bedarf für Sicherheitsschulungen aufzuzeigen. Auf dieser Basis wollen wir die Mitarbeitenden mit den passenden Kursen fachgerecht schulen. Wir sind davon überzeugt, dass ein gutes Lernkonzept daraus besteht, herauszufinden, was gelernt werden muss und dieses Wissen dann personengerecht an die Nutzenden auszurollen. Aus unserer Sicht ist es von zentraler Bedeutung, dass die Lernerin oder der Lerner den für sie oder ihn relevanten Inhalt lernt. Dazu gehören etwa Hinweise zu aktuellen Cybergefahren und Tipps, wie man sich davor schützen kann.

Am Anfang mussten wir Lehrgeld zahlen – keine Frage. Dafür haben wir jetzt ein sehr userfreundliches Produkt, mit dem wir die Anforderungen unserer Kunden erfüllen.

Ein erstes Learning war, dass wir bei G DATA zwar über extrem hohe IT-Security-Expertise verfügen, aber uns die Fähigkeiten fehlten, dieses Wissen zu vermitteln. Wir mussten lernen, dass es ein vernünftiges didaktisches Konzept braucht, um unser Fachwissen weiterzugeben. Dieses didaktische Konzept mussten wir zunächst entwickeln. Die zentrale Frage dabei war: Wie lernen Menschen heutzutage? Mit diesem Wissen konnten wir dann auch die Inhalte und einen Lernplan erstellen. Dazu braucht es aus meiner Sicht einen Plan, der sich individuell auf die Mitarbeitenden anwenden lässt. Dabei ist es wichtig, dass die Kurse die Lernenden so abholen, dass sie nicht gleich die Lust verlieren und aufhören. Daher haben wir eine Welt kreiert, in der sich User wohlfühlen und Admins den Mehrwert darin erkennen, dass IT-Security geschult wird.

Wichtig ist: Awareness Trainings sind ein fortlaufender Prozess. Das heißt, dass wir als Anbieter die Schulungen auch immer wieder anpassen, um Firmen und deren Angestellte über aktuelle Bedrohungen und Risiken zu informieren.

Wir mussten schnell einsehen, dass wir mit dem „Holzhammer“ nicht weit kommen. Heißt: Jedem Lernenden 40 Kurse auf einmal zur Verfügung zu stellen, führt nicht zum Ziel. Daher haben wir Lernpfade gestaltet, um die User*innen fortlaufend didaktisch zu begleiten – mit regelmäßig wechselndem und interessantem Kursmaterial. Wir haben einen kontinuierlichen Lernprozess etabliert. Die grundlegende Frage, die dahintersteckt, lautet: Wie muss Lernen im Unternehmen verankert sein? Aus unserer Sicht ist es ein Zusammenspiel zwischen dem jeweiligen Unternehmen und der genutzten Lern-Plattform.

Wir haben es bei IT-Sicherheit mit einem trockenen Thema zu tun. Und trotzdem kann ich die Lerninhalte spannend darstellen. Und genau das ist unsere Aufgabe. Beispielweise haben wir uns dem Thema Phishing mal aus der Perspektive eines Angreifers genähert umso die psychologischen Tricks des Attackierenden zu aufzudecken. Wenn der Lerner virtuell in jene Rolle schlüpft, wird ihm das Thema nachhaltig im Kopf bleiben.

Obwohl wir in diesem Jahr schon viel erreicht haben, stehen wir immer noch am Anfang – genau wie andere Anbieter von Awareness-Schulungen. Hinzu kommt: Bei vielen Unternehmen hat das Thema Security Awareness noch nicht den Stellenwert, den es aus unserer Sicht haben müsste. Wir treffen immer wieder auf Administratoren, die die Bedeutung bereits erkannt haben. Sie wollen, dass die Mitarbeitenden vom Sicherheitsrisiko zum Teil der Schutzlösung werden. Diese Transformation gelingt dann, wenn sich die Angestellten stetig mit dem Thema auseinandersetzen. Und diese Veränderung ist ein ganz langer Prozess. Allerdings stellen viele Firmen dafür noch nicht die notwendigen Budgets bereit. Und bei einmaligen Präsenzschulungen bleibt nichts hängen. Das ist der falsche Ansatz. Wenn ich einen echten Change erreichen will, funktioniert das nur mit einem kontinuierlichen Prozess.

Aus meiner Sicht müssen viele Unternehmen erst noch die Bereitschaft entwickeln, Budget dafür bereitzustellen und Mitarbeitende langfristig fortzubilden. Wir müssen also dafür sorgen, dass die Entscheidungsträger den Mehrwert erkennen. Daher wollen wir das beste Produkt am Markt bauen. Unsere Vision ist es, Unternehmen beim Aufbau einer neuen Sicherheitskultur zu unterstützen, indem wir Schulung und Technologie miteinander verknüpfen.

Ich bin davon überzeugt, dass wir uns in sehr vielen Kundenschichten bereits etabliert haben. Allerdings ist der Markt zweigeteilt. Zurzeit zählen die Unternehmen zu unseren Kunden, für die das Thema IT-Sicherheit einen höheren Stellenwert hat. Die sind auch jetzt schon bereit, in Awareness-Schulungen zu investieren. Für sie ist Awareness kein „nice-to-have“, sondern ein „must-have“.

Unsere Kunden kommen aus ganz vielen verschiedenen Bereichen und Branchen. Dazu gehören Städte und Kommunen, karitative Einrichtungen sowie Mittelständler und Konzerne.

Wir hören immer wieder, dass wir ein sehr nutzerfreundliches Produkt geschaffen haben. Für uns hat das Feedback der Lernenden dabei einen sehr hohen Stellenwert. Sind sieglücklich, sind wir zufrieden. Es ist unser Anspruch, dass sich Lernerinnen und Lerner regelmäßig mit den Inhalten beschäftigen. Das machen sie dann, wenn sie regelmäßig eine Erinnerung erhalten. Das motiviert die Angestellten. Gleichzeitig haben wir eine Plattform, die intuitiv zu bedienen ist und den Nutzenden zeigt, was sie als nächstes tun müssen.

Eine Bestätigung, dass wir auf dem richtigen Weg sind, ist der diesjährige Security-Insider-Award. Dort haben wir in der Kategorie „Awareness Training“ den silbernen Award gewonnen. Der Preis gebührt dem gesamten Awareness Team von G DATA. Ich freue mich sehr über diese Auszeichnung.