Dr. Kristin Masuch Dr. Kristin Masuch ist Leiterin der Forschungsgruppe Enterprise Cybersecurity an der Georg-August-Universität in Göttingen sowie Leiterin des Projekts ITS.kompetent, das ein Analyse-Tool zur Bestimmung der IT-Sicherheitskompetenzen (ITS) von Mitarbeitenden in KMU entwickelt hat. |
Phishing-Mails gehören heute unvermeidlich zum Alltag vieler Arbeitnehmerinnen und Arbeitnehmer dazu. Denn auch wenn Spam-Filter das Gros der Betrugsversuche entdecken, schaffen es doch immer wieder vereinzelte Betrugs-Mails in die Postfächer der Mitarbeitenden. Welche Kompetenzen benötigen sie, um solche und andere Cyberattacken zu erkennen und erfolgreich abzuwehren?
Dr. Kristin Masuch: Im Wesentlichen müssen sie dafür einerseits die Gefahren kennen und diese wahrnehmen und einschätzen können. Andererseits sollten sie die Taktiken kennen, mit denen sie diese Cybergefahren vermeiden und im besten Fall auch kontrollieren können. In meiner Arbeit und auch im Projekt ITS.kompetent arbeiten wir mit einem Kompetenzmodell, das aus sieben aufeinander aufbauenden Schritten besteht (s. Grafik, Anmerkung der Redaktion).
Dieses Kompetenzmodell wurde von der Forschungsgruppe für Informationssicherheit und Compliance, der ich angehöre, in Zusammenarbeit mit der Professur für Wirtschaftspädagogik der Universität Hohenheim entwickelt. Es spiegelt die sieben Schritte wider, die für eine erfolgreiche Ausbildung im Bereich der Informationssicherheits-Awareness notwendig sind. Haben Mitarbeitende Schulungen oder Trainings absolviert, die auf dem Kompetenzmodell beruhen, können sie nicht nur Angriffe erkennen, sondern auch erfolgreich abwehren. Dieses Modell besteht aus sieben Schritten:
Zunächst müssen Mitarbeitende ein Bedrohungs-Bewusstsein dafür entwickeln, dass sie sich in einer potenziellen Gefahrensituation befinden. Dabei sollten sie wissen, wo überall Gefahren in ihrem Arbeitsalltag lauern können und wie sie die verschiedenen Arten von Bedrohungen und ihre Merkmale identifizieren.
Ferner sollten sich Mitarbeitende darüber im Klaren sein, welche Konsequenzen ein erfolgreicher Cyberangriff haben kann. Je nachdem, welche Rolle sie im Unternehmen einnehmen, können die Auswirkungen sehr unterschiedlich sein. Eine Führungskraft hat beispielsweise weitaus mehr Berechtigungen und Zugriff auf sensible Daten als etwa Auszubildende. Entsprechend wichtig ist es, dass eine Führungskraft entschlossen aus ihrer Rolle heraus reagiert, wenn sie einen Angriff vermutet.
Die nächste Kompetenzstufe betrifft das taktische Vorgehen, also die Wahl und den Einsatz geeigneter Maßnahmen in einer Bedrohungssituation. Dabei müssen Mitarbeitende in der Lage sein, die besten Maßnahmen auszuwählen und zu begründen, warum sie diese gewählt haben. Es reicht dabei nicht aus, die Maßnahmen nur zu kennen. Mitarbeitende sollten verstanden haben, warum sie einer bestimmten Bedrohung mit einer bestimmten Maßnahme begegnen. Indem Mitarbeitende dies trainieren, schulen sie auch ihre Fähigkeit, bestmöglich auf neue, noch unbekannte Cyberbedrohungen zu reagieren. Im nächsten Schritt sollten die Mitarbeitenden in praktischen Übungen lernen, ihre gewählten Maßnahmen korrekt umzusetzen. Denn oft tauchen erst in der praktischen Übung Herausforderungen auf, für die im Training dann Lösungen gefunden werden können.
Als letzten Ausbildungsschritt empfehlen wir immer, den Mitarbeitenden sogenannte Anschlussmaßnahmen mitzugeben. Erkennt eine Mitarbeiterin oder ein Mitarbeiter beispielsweise eine Phishing-Mail, sollte sie oder er auch von selbst das direkte Umfeld, etwa die Kollegschaft und Vorgesetzte informieren, um die Ausbreitung der Bedrohung zu verhindern.
Durchlaufen Mitarbeitende alle sieben Kompetenzstufen, zeigt sich, dass sie auch auf neue Bedrohungen stets kontrolliert mit geeigneten Maßnahmen reagieren.
Das klingt nach einem langen und schwierigen Weg. Reichen dafür die heute in vielen Unternehmen üblichen Kurzschulungen von ein, zwei Stunden pro Jahr im Rahmen der Datenschutzschulung aus?
So ganz pauschal lässt sich das nicht sagen. Es hängt immer davon ab, wie gut sich die Mitarbeitenden mit dem Thema Cybersicherheit auskennen und wie gut sie sich damit überhaupt auskennen müssen. In Unternehmen, die sich beispielsweise beratend mit IT beschäftigen, haben sie ja einen ganz anderen Bedarf an Training und Schulung und auch ganz andere Inhalte, die relevant sind zu vermitteln, als etwa in Handwerks- oder Produktionsbetrieben. Allgemeingültig ist daher aus meiner Sicht nur die Aussage, dass ein einheitliches Training für alle Mitarbeitenden selten effektiv sein kann. Durch gezielte und auf den Arbeitsalltag abgestimmte Schulungen hingegen können die Mitarbeitenden spezifische Bedrohungen besser erkennen und angemessen darauf reagieren. So werden sie nicht nur geschult, sondern zu einer aktiven Verteidigungslinie gegen Cyberangriffe. Unternehmen sollten daher zunächst einmal den Qualifizierungsbedarf ihrer Mitarbeitenden genau analysieren.
Im Projekt ITS.kompetent haben Sie einen Ansatz entwickelt, der genau darauf abzielt und die Möglichkeit bietet, den individuellen Bedarf an Trainingsmaßnahmen zu ermitteln. Was spricht gegen allgemeine Schulungsangebote, und was sind die Vorteile zugeschnittener Trainingsmaßnahmen?
Ich möchte mich gar nicht generell gegen allgemeine Schulungsangebote aussprechen. Gerade für Unternehmen, die bislang noch nicht schulen, können sie sehr sinnvoll sein. Allerdings sollte immer hinterfragt werden, ob solche allgemeinen Schulungsangebote nicht zu kurz oder zu weit greifen. Angesichts der Vielfalt der Cybergefahren ist die Wahrscheinlichkeit groß, dass Unternehmen mit solchen Angeboten auch Mitarbeitende in Bereichen schulen, die diese gar nicht betreffen. Wer etwa an seinem Arbeitsplatz keine E-Mails empfängt, muss sich auch nicht vor Phishing-Mails schützen, sollte aber vielleicht wissen, dass man einen USB-Stick nicht ungeprüft mit einem Computer auf der Arbeit verbindet.
Im Projekt ITS.kompetent gehen wir daher davon aus, erst einmal die spezifischen Bedürfnisse und das vorhandene Wissen der einzelnen Mitarbeitenden – natürlich vollständig anonymisiert über eine Plattform – zu ermitteln und auf diese dann gezielt nach Bedarf einzugehen. Unsere Projekterfahrungen zeigen, dass solche maßgeschneiderten Trainings nicht nur effektiver sind, sondern auch die Motivation der Teilnehmenden deutlich steigern. Wenn Mitarbeitende sehen, dass die Inhalte für ihren Arbeitsalltag relevant sind, sind sie engagierter und wenden das Erlernte im Alltag auch nachhaltiger an. Diese Rückmeldung erhalten wir auch immer wieder im Rahmen unserer Projekte: Die Mitarbeitenden sind begeistert, dass sie sich in den Trainingsinhalten wiederfinden. Sie erleben die Trainings dadurch als spannend und motivierend und betonen, wie viel Spaß es ihnen macht, sich mit den Lerninhalten auseinanderzusetzen.
Gerade für kleine und mittlere Unternehmen ist dieser Ansatz auch aus ökonomischen Gesichtspunkten interessant. Denn bei individuell zugeschnittenen Trainings kann die Lernzeit voll und ganz für Themen verwendet werden, die für die Teilnehmenden auch wirklich relevant sind. In allgemeinen Schulungsangeboten sind dagegen für die meisten Mitarbeitenden viele Leerzeiten dabei, da sie von einzelnen Themen oft nicht betroffen sind oder nicht auf dem richtigen Wissenstand abgeholt werden. Während allgemeine Trainings für manche Personengruppen also lediglich Basics vermitteln, können die gleichen Trainingsinhalte für eine andere Gruppe bereits absolutes Neuland und schon zu kompliziert sein.
Wie können Unternehmen den individuellen Bedarf an Trainingsmaßnahmen ermitteln?
Der erste Schritt ist, die verschiedenen Jobprofile innerhalb des Unternehmens zu identifizieren und zu verstehen, welche spezifischen Bedrohungen für diese Profile relevant sind. Auf der Website von ITS.kompetent finden Sie dazu ein Diagnosetool (im Menüpunkt „Los geht’s“; Anm. der Redaktion). Das Tool führt Sie durch eine Reihe von Fragen und ermittelt aus den Antworten den Qualifizierungsbedarf der Mitarbeitenden. Abschließend haben Sie die Möglichkeit, Empfehlungen für kostenfreie Angebote notwendiger Trainingsmaßnahmen einzusehen.
Wie können Unternehmen sicherstellen, dass das in den Trainingsmaßnahmen erlernte Wissen auch nachhaltig angewendet wird?
Das erlernte Wissen sollte regelmäßig aufgefrischt und durch praxisnahe Übungen vertieft werden. Hierfür sind übrigens Gamification-Ansätze und Cybersecurity Escape Rooms* oft sehr effektiv. Sie bieten eine interaktive Lernumgebung, in der Mitarbeitende realitätsnahe Szenarien durchspielen können. Dabei lernen sie nicht nur, Bedrohungen zu erkennen, sondern auch, unter Druck die richtigen Maßnahmen auszuwählen und umzusetzen. Diese Ansätze fördern kritisches Denken, Problemlösungsfähigkeiten und Teamarbeit, was in realen Bedrohungssituationen von unschätzbarem Wert ist. In Cybersecurity Escape Rooms können Mitarbeitende beispielsweise alle sieben Stufen des genannten Kompetenzmodells anwenden. In klassischen Schulungen aktivieren Sie dagegen in der Regel nur die ersten beiden Stufen des allgemeinen Bewusstseins und des Wissens über Cyberrisiken und ihre Merkmale. Letztlich gibt es aber auch nicht die eine Maßnahme, die für alle passt. Es kommt immer auf einen guten Mix an Trainings- und Schulungsmaßnahmen an.
Abschließend die Frage: Welchen Rat würden Sie KMU geben, die bislang noch nicht in Cybersicherheitstrainings investiert haben? Wo sollten sie anfangen, wie können sie sich weiterentwickeln?
KMU sollten zunächst eine Bestandsaufnahme ihrer aktuellen Sicherheitslage und des Qualifikationsniveaus ihrer Mitarbeitenden durchführen. Das Diagnosetool von ITS.kompetent kann hier wertvolle Einblicke geben. Anschließend sollten sie mit grundlegenden, profilspezifischen Schulungen beginnen und diese kontinuierlich ausbauen. Es ist wichtig, dass die Trainings praxisnah und auf die spezifischen Bedürfnisse der Mitarbeitenden zugeschnitten sind. Unternehmen sollten auch bereit sein, in innovative und interaktive Trainingsmethoden wie Gamification oder Escape Rooms zu investieren, um die Lernmotivation und Nachhaltigkeit zu erhöhen. Der Schlüssel ist, kontinuierlich zu lernen und sich an die sich ständig verändernden Bedrohungslandschaften anzupassen.
Weiterlesen
Informationen und Unterstützung bei der Schulung und dem Training von Mitarbeitenden im Bereiche Cybersicherheit bieten Ihnen die Transferstelle Cybersicherheit im Mittelstand sowie jedes Mittelstand-Digital Zentrum in Ihrer Nähe.
Das Diagnosetool zur Ermittlung des individuellen Schulungsbedarfs von Mitarbeitenden finden Sie auf der Homepage des Projekts ITS.kompetent.
*Gamification-Elemente und Cybersecurity Escape Rooms sind Teil einiger Förderprojekte von Mittelstand-Digital. Beispiele sind BAKSecure, ALARM, ELITE oder der Escape Room des Mittelstand-Digital Zentrum Saarbrücken.
Kostenfreie Workshops und Schulungen zu Cybersicherheitsthemen aus dem Netzwerk von Mittelstand-Digital finden Sie auf der Unterseite der Transferstelle Cybersicherheit im Mittelstand, Materialien und Informationen für mehr Cybersicherheit unter Wissen und Lernen.