5 Fragen an… Dr. Kristin Masuch
Nicht erkannte Cybergefahren durch Mitarbeitende können Unternehmen mitunter teuer zu stehen kommen. Denn längst haben Cyberkriminelle die Belegschaft als vermeintliche Schwachstelle ausgemacht, über die sie sich Zugang zu den Daten und dem IT-System von Unternehmen verschaffen.
In unserem Format „5 Fragen an …“ erläutert Dr. Kristin Masuch, vom Förderprojekt ITS.kompetent, welche Kompetenzen Mitarbeitende in Schulungen erwerben sollten und warum maßgeschneiderte Trainings oft effizienter und effektiver sind als allgemeine Schulungen.
Trotz Aufklärung und entsprechenden Spamfiltern gelingt es weiterhin Cyberkriminellen, mit Betrugs-Mails Schaden in Unternehmen anzurichten. Phishing ist nur eine von vielen Cyberattacken, die Unternehmen und ihre Mitarbeitende betreffen. Welche Kompetenzen werden im Team benötigt, um Cyberangriffe zu erkennen und erfolgreich abzuwehren?
Im Wesentlichen müssen sie dafür einerseits über die Gefahren Bescheid wissen, diese wahrnehmen und einschätzen können. Andererseits sollten sie die Taktiken kennen, mit denen sie diese Cybergefahren vermeiden und im besten Fall auch kontrollieren können. Eine Ausbildung im Bereich der Informationssicherheit-Awareness kann hierbei Abhilfe schaffen. Um einen Effekt zu haben, sollte die Ausbildung folgende sieben Schritte umfassen:
Zunächst müssen Mitarbeitende ein Bedrohungs-Bewusstsein dafür entwickeln, dass sie sich in einer potenziellen Gefahrensituation befinden. Dabei sollten sie wissen, wo überall Gefahren in ihrem Arbeitsalltag lauern können, und wie sie die verschiedenen Arten von Bedrohungen und ihre Merkmale identifizieren. Darüber hinaus sollten sich Mitarbeitende im Klaren sein, welche Konsequenzen ein erfolgreicher Cyberangriff haben kann. Je nachdem, welche Rolle und entsprechende Berechtigungen sie im Unternehmen haben, können die Auswirkungen sehr unterschiedlich sein.
Die nächste Kompetenzstufe betrifft das taktische Vorgehen, also die Wahl und den Einsatz geeigneter Maßnahmen in einer Bedrohungssituation. Dabei müssen Mitarbeitende in der Lage sein, die besten Maßnahmen auszuwählen und zu begründen, warum sie diese gewählt haben. Indem Mitarbeitende dies trainieren, schulen sie auch ihre Fähigkeit, bestmöglich auf neue, noch unbekannte Cyberbedrohungen zu reagieren. Im nächsten Schritt sollten die Mitarbeitenden in praktischen Übungen lernen, ihre gewählten Maßnahmen korrekt umzusetzen. Denn oft tauchen erst in der praktischen Übung Herausforderungen auf, für die im Training dann Lösungen gefunden werden können.
Als letzten Ausbildungsschritt empfehle ich den Mitarbeitenden sogenannte Anschlussmaßnahmen mitzugeben. Erkennt eine Mitarbeiterin oder ein Mitarbeiter beispielsweise eine Phishing-Mail, sollte sie oder er auch von selbst das direkte Umfeld, etwa die Kollegschaft und Vorgesetzte informieren, um die Ausbreitung der Bedrohung zu verhindern.
Durchlaufen Mitarbeitende alle sieben Kompetenzstufen, zeigt sich, dass sie auch auf neue Bedrohungen stets kontrolliert mit geeigneten Maßnahmen reagieren.
Zur Person
Dr. Kristin Masuch ist Leiterin der Forschungsgruppe Enterprise Cybersecurity an der Georg-August-Universität in Göttingen sowie Leiterin des Projekts ITS.kompetent, das ein Analyse-Tool zur Bestimmung der IT-Sicherheitskompetenzen (ITS) von Mitarbeitenden in KMU entwickelt hat.
Das klingt nach einem sehr umfassenden Ansatz, der entsprechend Zeitressourcen voraussetzt. Viele Unternehmen setzen auf Kurzschulungen, die nur wenige Stunden beanspruchen. Sind diese ausreichend?
Es hängt immer davon ab, wie gut sich die Mitarbeitenden mit dem Thema Cybersicherheit bereits auskennen und was sie überhaupt wissen müssen. In Unternehmen, die sich beispielsweise beratend mit IT beschäftigen, haben sie einen ganz anderen Bedarf an Trainings und Schulungen und auch ganz andere Inhalte, die relevant sind zu vermitteln als etwa in Handwerks- oder Produktionsbetrieben. Allgemeingültig ist daher aus meiner Sicht nur die Aussage, dass ein einheitliches Training für alle Mitarbeitende nur selten effektiv sein kann. Durch gezielte und auf den Arbeitsalltag abgestimmte Schulungen hingegen können die Mitarbeitenden spezifische Bedrohungen besser erkennen und angemessen darauf reagieren. So werden sie nicht nur geschult, sondern zu einer aktiven Verteidigungslinie gegen Cyberangriffe. Unternehmen sollten daher zunächst einmal den Qualifizierungsbedarf ihrer Mitarbeitenden genau analysieren.
Im Projekt ITS.kompetent gehen wir daher davon aus, erst einmal die spezifischen Bedürfnisse und das vorhandene Wissen der einzelnen Mitarbeitenden – natürlich vollständig anonymisiert über eine Plattform – zu ermitteln und auf diese dann gezielt nach Bedarf einzugehen. Unsere Projekterfahrungen zeigen, dass solche maßgeschneiderten Trainings nicht nur effektiver sind, sondern auch die Motivation der Teilnehmenden deutlich steigern. Wenn Mitarbeitende sehen, dass die Inhalte für ihren Arbeitsalltag relevant sind, sind sie engagierter und wenden das Erlernte im Alltag auch nachhaltiger an.
Gerade für kleine und mittlere Unternehmen ist dieser Ansatz auch aus ökonomischen Gesichtspunkten interessant. Denn bei individuell zugeschnittenen Trainings kann die Lernzeit voll und ganz für Themen verwendet werden, die für die Teilnehmenden auch wirklich relevant ist. In allgemeinen Schulungsangeboten sind dagegen für die meisten Mitarbeitenden viele Leerzeiten dabei, da sie von einzelnen Themen oft nicht betroffen sind oder sie nicht auf dem richtigen Wissenstand abgeholt werden. Während allgemeine Trainings für manche Personengruppen also lediglich Basics vermitteln, können die gleichen Trainingsinhalte für eine andere Gruppe bereits absolutes Neuland und schon zu kompliziert sein.
„Unsere Projekterfahrungen zeigen, dass solche maßgeschneiderten Trainings nicht nur effektiver sind, sondern auch die Motivation der Teilnehmenden deutlich steigern.“
Wie können Unternehmen den individuellen Bedarf an Trainingsmaßnahmen ermitteln?
Der erste Schritt ist, die verschiedenen Jobprofile innerhalb des Unternehmens zu identifizieren und zu verstehen, welche spezifischen Bedrohungen für diese Profile relevant sind. Auf der Website von ITS.kompetent finden Sie eine Demo unseres Diagnosetools. Das Tool führt Sie durch eine Reihe von Fragen und ermittelt aus den Antworten den Qualifizierungsbedarf der Mitarbeitenden. Abschließend haben Sie zudem die Möglichkeiten, Empfehlungen für kostenfreie Anbieter notwendiger Trainingsmaßnahmen einzusehen.
Wie können Unternehmen sicherstellen, dass das in den Trainingsmaßnahmen erlernte Wissen auch nachhaltig angewendet wird?
Das erlernte Wissen sollte regelmäßige aufgefrischt und durch praxisnahe Übungen vertieft werden. Hierfür sind übrigens Gamification-Ansätze und Cybersecurity Escape Rooms oft sehr effektiv. Sie bieten eine interaktive Lernumgebung, in der Mitarbeitende realitätsnahe Szenarien durchspielen können. Dabei lernen sie nicht nur, Bedrohungen zu erkennen, sondern auch, unter Druck die richtigen Maßnahmen auszuwählen und auszuführen. Diese Ansätze fördern kritisches Denken, Problemlösungsfähigkeiten und Teamarbeit, was in realen Bedrohungssituationen von unschätzbarem Wert ist.
BAKSecure
Cybersicherheitswissen lernen und das ganz einfach mit einem interessanten Spiel? Das versprechen die Cybersicherheit-Lernspiele von BAKSecure. Das Projekt wurde nach der erfolgreichen Phase des Vorgängers BAKGame neu aufgelegt und ergänzt das Portfolio der Transferstelle Cybersicherheit.
Weitere Informationen finden Sie unter www.baksecure.de.
Abschließend die Frage: Welchen Rat würden Sie mittelständischen Unternehmen geben, die bislang noch nicht in das Training ihrer Belegschaft zu Cybersicherheitsfragen investiert haben. Wo sollten sie anfangen, wie können sie sich weiterentwickeln?
Kleine und mittlere Unternehmen sollten zunächst eine Bestandsaufnahme ihrer aktuellen Sicherheitslage und des Qualifikationsniveaus ihrer Mitarbeitenden durchführen. Das Diagnosetool von ITS.kompetent kann hier wertvolle Einblicke geben. Anschließend sollten sie mit grundlegenden, profilspezifischen Schulungen beginnen und diese kontinuierlich ausbauen. Es ist wichtig, dass die Trainings praxisnah und auf die spezifischen Bedürfnisse der Mitarbeitenden zugeschnitten sind. Unternehmen sollten auch bereit sein, in innovative und interaktive Trainingsmethoden wie Gamification oder Escape Rooms zu investieren, um die Lernmotivation und Nachhaltigkeit zu erhöhen. Der Schlüssel ist, kontinuierlich zu lernen und sich an die sich ständig verändernden Bedrohungslandschaften anzupassen.
