Menschen sind das Einfallstor Nummer eins für Cyberangriffe. Was sich zunächst ernüchternd anhört, birgt gleichzeitig eine große Chance: Denn durch die richtige Qualifizierung und Sensibilisierung Ihres Teams auf die Gefahren durch Cyberangriffe, lässt sich dieses Einfallstor nahezu komplett schließen. Lesen Sie in unserem Artikel, wie Sie Ihre Mitarbeitenden mit Ihrer persönlichen Weiterbildung CYBERsicher machen können.
Wie sie Mitarbeitende für mehr Cybersicherheit qualifizieren
Ergo: Sie bilden Mitarbeitende weiter, qualifizieren Sie in Bezug auf Cybersicherheit und alles ist gut? Leider leichter gesagt als getan. Denn Weiterbildungskonzepte, die einen wirklichen Mehrwert generieren, sind schwer zu konzipieren und komplex in der Durchführung.
Wir haben Ihnen daher einen Leitfaden zusammengestellt, aus dem Sie in sechs Schritten Ihre persönliche Weiterbildungsstrategie entwickeln können.
Schritt 1: Was ist das Ziel der Weiterbildung?
Um Mitarbeitende in kleinen und mittleren Unternehmen zielgerichtet weiterzubilden, sollten Sie zunächst Ihr Ziel definieren. Zunächst ist es aber wichtig, herauszufinden, welche Qualifikationslücken überhaupt bestehen. Dabei ist es sinnvoll, sich über die wichtigsten Konzepte der Cybersicherheit zu informieren und den Ist-Zustand der Cybersicherheit in Ihrem Unternehmen zu kennen. Nutzen Sie hierzu zum Beispiel den CYBERsicher Check.
Der CYBERsicher Check
Mit dem CYBERsicher Check jetzt schnell und einfach die IT-Sicherheit in Ihrem Unternehmen anpacken!
Ermitteln Sie mit unserem praktischen Tool den Ist-Zustand Ihrer IT-Sicherheit und erhalten Sie individuell auf Ihr Unternehmen zugeschnittene Handlungsempfehlungen sowie passende Materialien aus unserer Datenbank.
Außerdem ist es nützlich, die Mitarbeitenden zu befragen, welche Lücken sie bei sich selbst sehen. Das hilft einerseits die Weiterbildungen nach konkreten Bedarfen auszurichten und sorgt andererseits von Beginn an dafür, die Akzeptanz der Belegschaft gegenüber Weiterbildungen hochzuhalten.
Grundsätzlich bietet es sich an, regelmäßig Schulungen und Weiterbildungen in den folgenden Bereichen anzubieten:
- Arbeitsschutz
- Datenschutz
- Informationssicherheit
Prüfen Sie: Haben sie hier bereits ein Weiterbildungsangebot, zum Beispiel in diesen drei Bereichen? Machen Sie sich Gedanken darüber, wie Sie dieses Angebot in Ihre Weiterbildungsstrategie einbinden können.
Und nun: Überlegen Sie sich, was Sie erreichen möchten. Suchen Sie ein Ziel Ihrer Weiterbildungsstrategie, das Sie danach auch messen und nachweisen können. Dies kann sein, dass Sie die Vorfälle, in denen die IT-Abteilung auf Angriffe reagieren musste, um die Hälfte reduzieren konnten. Oder auch, dass Sie eine bestimmte Anzahl an Stunden für die Weiterbildung der Mitarbeitenden zur Verfügung stellen möchten.
Schritt 2: Überlegen Sie, wen Sie mit der Weiterbildung adressieren möchten
Verschiedene Gruppen von Mitarbeitenden haben unterschiedliche Bedarfe in Bezug auf Ihre Weiterbildung. Die beiden Dimensionen, die im Bereich Cybersicherheit nützlich sind, um verschiedene Adressat:innen zu identifizieren, sind zum einen der Umfang, in dem die Mitarbeitende mit IT arbeiten, und zum anderen die Zugangsrechte, über die die Mitarbeitende verfügen.
Hier ein paar Beispiele für mögliche Zielgruppen:
- IT-Intensivnutzer:innen: Mitarbeitende mit engem Bezug zu IT und vielen Zugriffen, zum Beispiel in der IT-Abteilung
- IT-Praktiker:innen: Mitarbeitende mit wenig Kontakt zu IT, zum Beispiel Handwerker:innen oder Monteur:innen
- Verwaltungsexpert:innen: Mitarbeitende mit wenig Bezug zu IT, aber umfassendem Zugriff, zum Beispiel Mitarbeitende in der Administration oder Buchhaltung
Haben Sie identifiziert, welche Zielgruppen eine Weiterbildung benötigen, können Sie identifizieren, wie gut (oder schlecht) die Mitarbeitende schon qualifiziert sind.
Schritt 3: Wählen Sie die Inhalte für Ihre Weiterbildungsstrategie
Nun geht’s ans Eingemachte: Was machen Sie aus den Lehren, die sie aus Schritt 1 und 2 gezogen haben? Sie wählen Inhalte aus, die zu Zielen und Zielgruppen passen.
Die folgenden möglichen Einfallstore im Bereich Faktor Mensch können hierbei eine Leitlinie sein, insbesondere als Einstieg für Zielgruppen, die bisher wenig Qualifizierung erhalten haben:
Infobox
- Phishing: Cyberkriminelle versuchen über E-Mails Mitarbeitende dazu zu bewegen, Zugangsdaten in eine Anmeldemaske einzugeben.
- Ransomware-Angriffe: Ein Cyberangriff, der darüber erfolgt, dass Angreifer über Anhänge Schadsoftware verschicken, die im Anschluss das System eines Unternehmens verschlüsseln.
- CEO-Fraud: Ein Angriff, bei dem sich Cyberkriminelle als die Unternehmensleitung ausgibt und so versucht, die Mitarbeitende dazu zu bewegen, zum Beispiel Zahlungen zu autorisieren.
- Gefahren durch Malware: Sowohl durch Spammails als auch durch Downloads aus dem Internet kann Schadsoftware auf die Geräte der Mitarbeitende geraten.
Sie interessieren sich für eine ausführlichere Analyse der Gefahren im Cyberspace? Hier geht es zum aktuellen Jahresbericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Sie können sich Weiterbildungsinhalte wie einen Blumenstrauß zusammenstellen und langfristig in die Zukunft planen. Dabei überlegen Sie bereits, welche Inhalte wichtiger sind, und welche eher hintenangestellt werden können.
Passen Sie die Inhalte an die Leistungsniveaus der Mitarbeitenden an, und planen Sie so, dass das Leistungsniveau sich über die Dauer Ihrer Weiterbildungsmaßnahmen steigert.
Schritt 4: Wählen Sie passende Weiterbildungsmethoden
Bei der Wahl der richtigen Workshopmethode spielen die beiden Faktoren Zeit und Ort eine große Rolle.
Grundsätzlich sollten Sie aber ausreichend Zeit einplanen, um nachhaltig einen Effekt Ihrer Weiterbildungsstrategie erwarten zu können. Denn damit bei den Mitarbeitenden etwas hängen bleibt, braucht es Wiederholung und Erinnerung, gerade dann, wenn sie bisher wenig Kontakt zum Thema Cybersicherheit hatten.
Sie können ihre Weiterbildung zum Beispiel als Serie gestalten, und entweder monatlich oder wöchentlich in kleinen Häppchen Inhalte aufbereiten.
Oder sie planen eine Weiterbildungswoche, in der z.B. jeden Nachmittag Cybersicherheit geübt wird. Das ist eine tolle Möglichkeit, auch interessante Konzepte, wie z.B. ein Live Hacking zu platzieren.
Eine weitere Methode können regelmäßige Workshoptage sein. Diese können zum Beispiel einmal im Quartal eingeführt werden. Die gesamte Belegschaft nutzt dann diesen einen Tag, um gemeinsam Inhalte zu erarbeiten. Das führt nicht nur zu mehr Cybersicherheitswissen, sondern hat den angenehmen Nebeneffekt, eine Teambuildingmaßnahme zu sein.
Außerdem gibt es die Möglichkeit, Mitarbeitende selbstständig lernen zu lassen, zum Beispiel durch Online-Workshops oder Selbstlernangebote, wie Lernspiele, Lernvideos oder Quizze.
Diese können Sie auch zusätzlich zu synchronen Workshops einsetzen, um Wissen zu vertiefen.
Schritt 5: Setzen sie die Weiterbildung um und halten Sie die Ergebnisse fest
Nachdem Sie ihre Workshops, Webinare oder Fortbildung umgesetzt haben, ist die Weiterbildung noch nicht vorbei! Denn: Man lernt nie aus.
Machen Sie die Ergebnisse der Weiterbildung im Alltag nutzbar. Das kann gelingen, indem Sie zum Beispiel erarbeitete Inhalte in Checklisten oder Leitfäden überführen, oder der Belegschaft Aufgaben geben, die sie im Alltag in Bezug auf Cybersicherheit bewältigen können.
Stellen Sie begleitende Materialien zentral zur Verfügung, und nutzen sie interne Kommunikationskanäle, um diese zu platzieren.
Vielleicht hat Ihre IT-Abteilung oder Ihr IT-Dienstleister Lust, das Wissen der Mitarbeitenden auf die Probe zu stellen, und möchte gerne mal einen Cyberangriff fingieren?
Schritt 6: Nach der Weiterbildung ist vor der Weiterbildung
Haben Sie ihre Weiterbildungsstrategie umgesetzt und alle Ziele erreicht, dann ist es Zeit, zurückzublicken. Prüfen Sie kritisch: Wie gut hat die Methodik funktioniert? Haben die Mitarbeitende etwas gelernt?
Konnten Ihre Ziele erreicht werden, und haben Sie den Eindruck, die Belegschaft kennt sich nun besser mit Cybersicherheit aus?
Seien Sie hier ehrlich zu sich selbst. Denn verschwenden Sie Ihre Ressourcen für ineffektive Weiterbildung zu mehr Cybersicherheit, sind Sie nicht wirklich sicherer aufgestellt und bleiben eine Angriffsfläche für Cyberkriminelle.
Sie können auch die Weiterbildungsformate selbst nutzen, um neue Ideen für Weiterbildung zu entwickeln. Verstehen Sie sich als lernende Organisation, die von den Fähigkeiten der Mitarbeitende profitieren kann!
Tipps und Tricks
Abschließend nun ein paar Tipps und Tricks, die Ihnen dabei helfen, die Mitarbeitende für Weiterbildung zu begeistern und den Effekt zu steigern.
- Stellen Sie die Mitarbeitenden vor die Wahl: Welche Inhalte interessieren sie am meisten? Richten Sie sich in der Auswahl der Inhalte nach den Wünschen und Bedarfen der Mitarbeitende, ist es wahrscheinlicher, dass die Belegschaft motiviert, dabeibleibt.
- Workshopformate, in denen Inhalte gemeinsam erarbeitet werden, führen zu höherer Akzeptanz der vermittelten Inhalte.
- Achten sie auf Inhalte und Workshops, die zum Unternehmensalltag passen: Wenn Beispiele und Handlungsempfehlungen nicht zu den alltäglichen Arbeitsaufgaben der Mitarbeitende passen, dann ist es schwieriger, diese auch umzusetzen.
- Suchen Sie sich, wenn nötig, externe Sprecher:innen, die dabei helfen die inhaltlichen Teile der Weiterbildung mitzugestalten.
- Es ist sehr wichtig, dass die Mitarbeitende mit Spaß dabei sind. Das steigert die Motivation und die Begeisterung für das Thema. Schnöde, langweilige Weiterbildungsformate sorgen für Ablehnung.
- Räumen Sie den Mitarbeitenden Zeit für die Weiterbildung ein. Das kann z.B. in Form eines wöchentlichen oder monatlichen Blocks erfolgen, den die Belegschaft zur freien Verfügung nutzen kann.
Verfasst von Tamara Bayreuther
Wissenschaftliche Mitarbeiterin Evaluation
