1. „Awareness Trainings wälzen die Verantwortung nur auf den Nutzer oder die Nutzerin ab!“
Die Verantwortung für IT-Sicherheit lag schon immer auch bei den Anwenderinnen und Anwendern. Dass IT-Sicherheit nicht an der Türschwelle des IT-Teams endet, sollte mittlerweile keine Überraschung mehr sein. Sie ist sogar Chefsache. Dazu kommt: „Menschliches Versagen“ ist fast nie die Ursache, sondern immer ein Symptom eines systemischen Problems. Die Kern-Ursache für einen Sicherheitsvorfall ist also nicht „Mitarbeiter X hat auf einen schädlichen Link geklickt“. Das ist nur der Stein, der alles ins Rollen gebracht hat. Niemand trifft eine schlechte Entscheidung, weil er eine schlechte Entscheidung treffen will, sondern weil eine Entscheidung immer das Ergebnis des Systems ist, in dem sie getroffen wird. Im Klartext: Wenn niemand die Mitarbeitenden anleitet, dann machen diese unausweichlich Fehler.
Außerdem: Wo immer nur eine einzige Maßnahme – wie sie ein Security Awareness Training ist – zwischen Wohl und Wehe des gesamten Unternehmens steht, stimmt etwas nicht. Es wäre ebenso verfehlt, einzelne technische Maßnahmen wie eine Firewall als nutzlos zu bezeichnen, nur weil diese alleine nicht alles verhindern kann. Jede IT-Sicherheitsmaßnahme funktioniert nur im Verbund mit den anderen.
2. „Wenn wir eine Phishing Simulation machen, fühlen sich unsere Mitarbeitenden doch hinters Licht geführt. Das wollen wir nicht!"
Ziel eines jeden Trainings sollte sein, dass die Teilnehmenden etwas Nützliches davon mit nach Hause nehmen. Und das sollte nicht das Gefühl sein, vom Arbeitgeber hereingelegt worden zu sein. Es kommt darauf an, wie die Nutzerinnen und Nutzer von dem Test erfahren. Trainings wie beispielsweise eine Phishing Simulation müssen immer angstfrei sein. Dies richtig zu transportieren, ist Aufgabe der Personalabteilungen und des Managements. Und der Gedanke der Angstfreiheit muss auch im Alltag und der Kultur des Unternehmens verankert sein. Damit Mitarbeitende etwa einen echten Vorfall oder Fehler auch tatsächlich melden, statt ihn zu vertuschen.
3. „Die Trainings sind doch komplett praxisfern!"
Ein schlecht gemachtes Training ist in der Tat praxisfern. Praxisfern ist übrigens auch die Erwartung, dass ein Ein-Tages-Training einmal im Jahr, mit einem Multiple-Choice-Test am Ende, die Sicherheit objektiv erhöht. Das kann mit acht Stunden Frontalunterricht nicht funktionieren, der „Wissen pur" in die Köpfe treiben will. Das meiste ist nach kurzer Zeit vergessen.
Ein Training, das jedoch auf Langfristigkeit ausgelegt und nach aktuellen pädagogischen Standards entworfen wurde, kann durchaus auch praxisnah und wirksam sein. Regelmäßige Wiederholungen, kurze Lerneinheiten und praktische Beispiele sind hier essenziell, ebenso wie das aktive Einbeziehen der Teilnehmenden. Der reine Frontalunterricht, in dem es nur Sendende und Empfangende gibt, ist didaktisch und wissenschaftlich komplett überholt. Sie mögen zwar effizient sein, aber nicht besonders effektiv, denn jeder Mensch lernt anders. Interaktives Lernen, am besten in Verbindung mit der vertrauten Arbeitsumgebung, verspricht die größten Erfolge.
4. „Wir wollen nicht, dass Mitarbeitende sich für schlechtes Abschneiden schämen. So lernt man doch nichts!"
Auch hier kommt es darauf an, wie das Training aufgemacht ist und wie ein Unternehmen mit den Ergebnissen umgeht. Noch einmal: Ziel eines Awareness Kampagne darf nicht sein, Mitarbeitende abzustrafen oder an den Pranger zu stellen. Ein Training muss so strukturiert sein, dass die Teilnehmenden Spaß daran haben und dass gleichzeitig Lerninhalte regelmäßig, aber ohne Monotonie wiederholt werden. Positives Feedback ohne ständig erhobenen Zeigefinger ist der Schlüssel. Nur so bleibt auch wirklich etwas hängen. Spielerische Ansätze haben in der Praxis zum Erfolg geführt.
5. „Kein Mensch kann jede einzelne Mail genau unter die Lupe nehmen. Dafür ist im Alltag doch überhaupt keine Zeit
Das stimmt. Ziel ist aber nicht, dass alle Mitarbeitenden sich ab sofort fünf Minuten pro E-Mail nehmen, um enthaltene Links zu untersuchen, Absender zu verifizieren oder Rat von anderen einzuholen. Das wäre kontraproduktiv. Vielmehr geht es darum, dass Mitarbeitende mit der Zeit ein Gespür dafür entwickeln, wann etwas mit einer Nachricht nicht stimmt. Natürlich funktioniert das nicht reibungslos. Der Mensch ist nicht binär und schaltet auch nicht ohne Übergang von „unerfahren“ auf „erfahren“ um. Diesen Anspruch hat ein seriöses Training aber auch nicht, sondern bezieht dies in die Planung mit ein. Entscheidend ist, dass es eine positive Veränderung zwischen dem Beginn und dem Ende des Trainings gibt, zum Beispiel nach zwölf Monaten.
Unterm Strich lässt sich sagen, dass Langfristigkeit die beste Strategie für Awareness Trainings ist. Nicht einmal „alte Hasen" mit jahre- oder jahrzehntelanger Erfahrung in diesem Bereich sind zu 100 Prozent sicher davor, einmal etwas Falsches anzuklicken. Wer einfach nur auf einem ComplianceBericht den Punkt „Mitarbeiterschulung" abhaken und für zwölf Monate wieder zu den Akten legen will, der kommt mit einer einmaligen Schulung mit Frontalunterricht aus. Wer aber die Sicherheit auf lange Sicht deutlich erhöhen will, muss weitsichtig planen und dabei die Anforderungen im eigenen Unternehmen berücksichtigen. Security Awareness ist genauso Baustein der IT-Sicherheitsstrategie wie Patch Management oder Datensicherungen. Es ist ein Prozess, der nicht mit einer einzelnen Handlung abgeschlossen ist. Menschen können die richtigen Verhaltensweisen lernen, sodass sie etwa auf eine potenzielle Phishing-Mail korrekt reagieren und die Information auch weitergeben – aber das braucht Zeit und vor allem Übung. An zwei Vormittagen pro Jahr ist das nicht zu leisten. Wohl aber in 10 bis 15 Minuten alle paar Tage, wenn es gerade passt.
6. „Aber es gibt doch sogar eine wissenschaftliche Studie, die besagt, dass Awarenesstrainings Geld- und Zeitverschwendung sind!“
Das stimmt. Einige Studien belegen, dass Awareness Trainings nur einen sehr eingeschränkten Nutzen haben, da die Lerninhalte bereits nach wenigen Wochen nicht mehr präsent genug sind, um im Alltag einen Unterschied zu machen. Diese Studien legen allerdings eine Art von Awareness Training zugrunde, die aus didaktischer Sicht veraltet ist. Dort ist die Rede von „jährlichen“ Awareness Trainings. Dabei handelt es sich oftmals um Inhalte, die im Frontalunterricht vermittelt und am Ende in einem Multiple-Choice-Test abgefragt werden. Hier haben Forschungsteams schlüssig nachgewiesen, dass diese Art von Trainings keinen langfristigen und nachhaltigen Erfolg verspricht.
Mindestens eine der Studien räumt allerdings auch ein, dass das Resultat keine anderen Formen der Wissensvermittlung berücksichtigt. Ein Erfolg anderer Lehrmethoden wird nicht ausgeschlossen. Die Awareness Trainings von G DATA basieren auf kurzen Lerneinheiten, die auch in geringeren Abständen wiederholt werden. Interaktive und spielerische Elemente spielen hier eine wichtige Rolle bei der Vermittlung des erforderlichen Wissens, ebenso wie die Dauer, auf die das gesamte Lernprogramm ausgelegt ist.
Die pauschale Aussage, dass Awareness Trainings sinnlos sowie Zeit- und Geldverschwendung seien, ist insofern nicht haltbar, da sie aus dem Zusammenhang gerissen ist.
