Dr. Christian Reinhardt ist Director Sales Enablement bei SoSafe und erfahrener Sportpsychologe. Als Experte für menschliches Verhalten weiß er um die Wichtigkeit des Faktor Mensch bei Cyber-Angriffen. Bei den diesjährigen Internet Security Days am 10. und 11. September wird er die Keynote „Cybercrime Insights - die neue Bedrohungslage“ halten.
Welche Strategien und Maßnahmen können Unternehmen implementieren, um das Bewusstsein ihrer Mitarbeitenden für Sicherheitsrisiken zu schärfen und menschliches Fehlverhalten zu minimieren?
Neben einem technischen Sicherheitssystem, das modernen Anforderungen entspricht, ist ein ganzheitliches Cybersecurity-Awareness-Training unverzichtbar. Dabei geht es nicht nur um die reine Wissensvermittlung – Sicherheit muss für jeden Einzelnen zur Intuition werden. Wir sind überzeugt von der Stärke des Menschen, wenn es darum geht, sich gegen Cybergefahren zu verteidigen. Um den Menschen zum wichtigsten Teil dieser Verteidigung zu machen, braucht es ein kontinuierliches, personalisiertes Training in kleinen, gut verdaubaren Häppchen (Micro Learnings), das auf verhaltenswissenschaftlichen Grundlagen basiert. Das Lernen sollte mit einer Phishing-Lernsimulation kombiniert sein, die aktuelle Angreifer-Taktiken abbildet. Ein häufig unterschätzter Faktor dabei ist der Spaß: Er steigert nicht nur den Lerneffekt, sondern hat auch einen weiteren lernpsychologischen Vorteil – Inhalte, die mit Freude erlernt werden, bleiben kreativ abrufbar. Ich lerne also nicht nur, wie ich mich vor bestimmten Mails schützen kann, sondern kann das erworbene Wissen auch auf andere Mails, Sachverhalte oder Situationen übertragen. Daher arbeiten wir bei SoSafe mit Gamification- und Storytelling-Elementen, die das Lernen spannender gestalten.
Ein weiterer wichtiger Teil der Sicherheitsstrategie ist der Aufbau und die Pflege einer guten Fehlerkultur, die auf positive Verstärkung von Lernerfolgen statt auf Lernen durch Angst setzt. In einem Unternehmen, in dem Fehler nur abgestraft werden, neigen Mitarbeitende dazu, diese Fehler zu verbergen. Wenn der versehentliche Klick auf einen Phishing-Link vertuscht wird, hilft man den Angreifern, da ihnen mehr Zeit bleibt, sich im System auszubreiten. In einer positiven Fehlerkultur werden Fehler offen kommuniziert, wodurch sie zeitnah aufgearbeitet, Schäden begrenzt und Wiederholungen vermieden werden können.
Wie können Organisationen die Effektivität ihrer Schulungen und Sensibilisierungsprogramme im Bereich Human Risk Management messen und kontinuierlich verbessern?
Bei Effektivitätsmessungen stellen sich traditionell dieselben Fragen: Wie gelange ich an die relevanten Daten? Wie kann ich KPI’s zusammenfassen? Wie interpretiere ich die Daten und welche Ableitungen treffe ich aus den gewonnenen Erkenntnissen? Gute Sensibilisierungsprogramme bieten DSGVO-konformes Tracking und Reporting, sodass ich die relevanten Daten direkt aus dem Programm erhalte. Da uns bewusst ist, wie stark die Cybersecurity Teams ausgelastet sind, fassen wir zentrale Kennzahlen in übergreifende Risk-Scores zusammen. So sind die wichtigsten Werte auf einen Blick farbcodiert erkennbar. Gleichzeitig bieten wir auch ein sehr detailliertes Reporting, das eine tiefgehende Analyse erleichtert und per One-Click alle Werte ISO-konform ausgibt, um die Effektivität gegebenenfalls auch Auditoren vorlegen zu können.
Es gibt allerdings auch „weiche“ Faktoren, die nicht zu unterschätzen sind: Sprechen die Mitarbeitenden über die Schulungsmaßnahmen? Entwickeln sich „Champions“, die das Thema spannend finden und ihren Kolleg:innen helfen? Stellen Sie mehr gesperrte Bildschirme fest oder erhalten Sie vermehrt Nachfragen zum Thema?
Welche Rolle spielen regelmäßige Sicherheitsüberprüfungen und Audits bei der Identifizierung und Minderung menschlicher Risiken in einem Unternehmen?
Etwa 90% der Cyberangriffe involvieren den Faktor Mensch. Daher wird der menschliche Faktor folgerichtig in nahezu allen relevanten Verordnungen, Richtlinien und Normen berücksichtigt.
Eine externe Überprüfung der Sicherheitsstandards ist auch in diesem Zusammenhang grundsätzlich sinnvoll. Allerdings besteht die Gefahr, dass Unternehmen Maßnahmen nur ergreifen, um den Audit zu bestehen – vergleichbar mit einem Schüler, der nur für die Prüfung lernt. Er mag die Prüfung bestehen, doch das eigentliche Lernziel wird verfehlt. Das primäre Ziel sollte daher sein, den Mitarbeitenden zu helfen, ein Bauchgefühl für sicheres Verhalten zu entwickeln, wodurch das gesamte Unternehmen sicherer wird. Das Bestehen des Audits ist dann ein positiver Nebeneffekt. Gleichzeitig müssen wir Unternehmen dabei unterstützen, den Aufwand rund um Audits zu minimieren. Vor diesem Hintergrund haben wir gemeinsam mit der DEKRA unser Reporting entwickelt. Ein Klick – ein Audit.
Vielen Dank für das Interview, Herr Dr. Reinhardt!
Alle Informationen zu den diesjährigen Internet Security Days gibt es hier.
