Sicherheitsverhalten und Kultur

Gartner 2022 security trend #5: Beyond awareness

Druckfreundlich, PDF & E-Mail

Dies ist der fünfte Teil unserer fortlaufenden Artikelreihe über die sieben wichtigsten Trends, die im Gartner-Bericht „Top Trends in Cybersecurity 2022“ ermittelt und im März für seine Kunden veröffentlicht wurden. Der fünfte Trend, der in dem Bericht identifiziert wurde, heißt „Beyond Awareness“.

Eine Form von menschlichem Versagen oder Fehleinschätzung ist Bestandteil der meisten Datenpannen. Dazu gehört nicht nur das Versäumnis, einen Phishing-Angriff zu identifizieren, sondern auch eine falsche Systemfehlkonfiguration, Daten-Missbrauch oder falsche Weitergabe von Daten und die Verwendung schwacher Zugangsdaten. Und dies deutet darauf hin, dass herkömmliche Ansätze bei der Schulung zur Stärkung des Risikobewusstseins nicht mehr wirksam sind.

Gartner geht davon aus, dass weiterhin eine neue Art von Programm entstehen wird, das traditionelle Schulungen ersetzen soll: ein Programm für Sicherheitsverhalten und Sicherheitskultur (SBCP).

Herkömmliche Schulungen fallen durch

Wahrscheinlich haben Sie das schon selbst erlebt. Einmal oder zweimal im Jahr wird angekündigt, dass alle Mitarbeitenden bis zu einem bestimmten Datum das Schulungsprogramm zur Stärkung des Risikobewusstseins absolvieren müssen, damit das Unternehmen die gesetzlichen Bestimmungen einhält.

Buchstäblich alle im Unternehmen betrachtet es als unwillkommene Pflicht. Man schiebt es so lange wie möglich auf und wenn man endlich entschieden hat, es anzugehen, will man es so schnell wie möglich hinter sich bringen.

Das Programm selbst wurde von Cybersecurity-Experten geschrieben, mit dem Ziel, Cybersecurity-Informationen effizient zu vermitteln und das Verständnis der Mitarbeitenden dafür zu testen. Sie können das Programm nur über einen einzigen Gerätetyp und ein bestimmtes Portal nutzen. Und das Programm ist für alle gleich, völlig statisch und – vor allem für die jüngere Generation von Arbeitnehmern, die eine ausgeprägte digitale Eignung und Cyberkompetenz mitbringen – weder erfolgreich bei der Übermittlung von neuen Informationen noch weckt es auch nur die geringste Leidenschaft oder Motivation für die Übernahme sicherer Praktiken.

In dem Maße, wie es die Unternehmenskultur beeinflusst, weckt es in erster Linie ein gemeinsames Gefühl der Geringschätzung und Ungeduld gegenüber der Schulung zur Stärkung des Risikobewusstseins.

Neue Ansätze

Im Vergleich zu den alten, abgedroschenen Schulungsprogrammen, die in erster Linie für Compliance vorgesehen sind, nehmen die neuen SBCP-Programme die Aufgabe ernst, Cyberrisiken zu verringern, indem sie echte, dauerhafte Veränderungen im Verhalten der Mitarbeiternden und in der Unternehmenskultur insgesamt bewirken.

Dies ist besonders wichtig im Hinblick auf einen weiteren Trend, der im Bericht von Gartner identifiziert wurde, nämlich die zunehmende Verteilung von Security-Entscheidungen im gesamten Unternehmen. Da immer mehr Technologieexperten in Unternehmen befugt sind, im Rahmen ihrer täglichen Arbeit Cybersecurity-Beurteilungen vorzunehmen, müssen sie sich Denkgewohnheiten und Verhaltensmuster aneignen, die über das bloße Erkennen von Phishing-E-Mails und die angemessene Reaktion darauf hinausgehen.

Um dies zu erreichen, werden moderne SBCPs nicht ausschließlich aus der Sicht der Cybersecurity entwickelt. Stattdessen integrieren sie mehrere Disziplinen, um mehr wie eine klassische, vollwertige Marketingkampagne zu arbeiten, als eine althergebrachte Kampagne für das Sicherheitsbewusstsein.

Das bedeutet, dass mehrere Kompetenzen ins Spiel kommen müssen, die nichts mit Cybersecurity zu tun haben, wie zum Beispiel:

  • Marketing und Öffentlichkeitsarbeit
  • Auf Menschen ausgerichtete Design-Prinzipien
  • Organisatorisches Change Management
  • Psychologie und Soziologie

Dem Trend einen Schritt voraus sein

Als führendes Unternehmen im Bereich Security und Risikomanagement sollte es Ihr Ziel sein, einen Wandel in der Unternehmenskultur voranzutreiben, der allen Mitarbeitenden, die sich mit digitalen Systemen beschäftigen, effektive Cyber-Urteilsfähigkeiten vermittelt und gleichzeitig eine starke Motivation bietet, diese bei ihrer Arbeit anzuwenden.

Dazu müssen Sie sich mit den Prinzipien des organisatorischen Change Managements und sozialwissenschaftlichen Prinzipien vertraut machen, die auf die Veränderung der Unternehmenskultur angewendet werden können.

Darüber hinaus müssen Sie gemeinsam mit den Führungskräften in der gesamten Organisation zusammenarbeiten, um sicherzustellen, dass alle, die sich mit Geschäftstechnologie befassen, in die Aktivitäten zur Veränderung der Unternehmenskultur involviert sind und Zugang zu Schulungen haben.

Schließlich sollten Sie sich an einen Anbieter von Cybersecurity-Schulungen wenden, der einen Plattform-orientierten Ansatz verwendet und innovative Funktionen bietet, die das Engagement fördern und eine echte Verhaltensänderung bewirken, wie:

  • Reale Phishing-Simulationen, die auf aktuellen Bedrohungstrends basieren
  • Gamification, die Leistungsträger öffentlich belohnt und gleichzeitig leistungsschwächere Mitarbeitende motiviert, sich zu verbessern
  • Adaptive, kontextualisierte Schulungen auf Grundlage der Leistung
  • Aktuelle Anstöße zur Verbesserung des Urteilsvermögens

Wenn ich mich nicht dazu verpflichtet hätte, in dieser Blog-Serie jede Art von Verkaufsansatz zu vermeiden, könnte ich an dieser Stelle erwähnen, dass Barracuda Security Awareness Training ein Plattform-basiertes Programm ist, das eine ganze Menge dieser Kriterien erfüllt. Aber das habe ich, also lasse ich es. Gern geschehen.

Journey Notes abonnieren

Nach oben scrollen
Twittern
Teilen
Teilen