Security Awareness Trainings richtig aufbauen: Von der Pflichtschulung zur gelebten Sicherheitskultur
Die meisten von Ihnen kennen das: Alle Jahre wieder steht das Security Awareness Training an. Man klickt sich durch die immer gleichen Folien sowie die dazugehörigen Multiple-Choice-Tests und der Compliance-Haken ist gesetzt. Aber Hand aufs Herz: Haben wir dabei wirklich nachhaltig gelernt? Und noch wichtiger: Ist unsere Organisation dadurch besser vor Cyberangriffen geschützt?
Sie kennen vermutlich die Antwort: Während wir kurzfristig auf eine Verbesserung hoffen können, vergessen wir nach einem Monat bereits etwa 80% des Gelernten. Zumindest, wenn wir das, was wir gelernt haben, nicht aktiv anwenden und wiederholen. Das wurde bereits vor etwa 150 Jahren vom Psychologen Hermann Ebbinghaus untersucht (Hier geht's zur originalen Studie). Es wird also Zeit, Security Awareness Training nicht mehr als reine Compliance-Maßnahme, sondern als Chance zu verstehen, sich wirklich weiterzubilden und Digitalkompetenz aufzubauen.
Abb. 1: Die Vergessenskurve nach Ebbinghaus(1885)
Das Problem jährlicher Schulungen
Jährliche Schulungen haben ihre Existenzberechtigung – Als regulatorische Maßnahmen mit denen im Zweifel nachgewiesen werden kann „etwas getan zu haben“. Allerdings sollte man sich nicht der Illusion hingeben, dadurch wirklich sicherer zu werden. Dazu benötigt es eine tief verankerte Sicherheitskultur. Sicherheitskultur bedeutet, sicheres Verhalten verinnerlicht zu haben und ständig entsprechend zu handeln, ohne dass man permanent daran denken muss. Und das braucht Zeit. Zeit, die man nicht hat, wenn man das Thema Security Awareness nur einmal jährlich als Blockschulung angeht.
Neben dem eingangs schon erwähnten Effekt, dass ein Großteil des Gelernten vergessen wird, wenn man nicht aktiv etwas dagegen tun, birgen jährliche Schulungen noch eine weitere Gefahr: Aufgrund der Intensität und Menge der Inhalte, die Einmalschulungen mit sich bringen, sind Mitarbeitende schnell überfordert und empfinden die Schulung als Belastung.
Die Lösung: Kontinuierliche Schulungen
Die Lernforschung ist eindeutig: Verteiltes Lernen („Spaced Learning“) ist deutlich effektiver als Blocklernen („Massed Learning“). Studien haben gezeigt, dass Lernende bei gleichem Zeitaufwand fast dreimal so viel Lerninhalte korrekt wiedergeben konnten, wenn sie verteilt über mehrere Tage statt an einem Tag gelernt haben.
Abb. 2: Blocklernen vs. Verteiltes Lernen
Doch nicht nur wann wir lernen ist entscheidend, sondern auch wie. Studien haben gezeigt, dass wir Lerninhalte deutlich besser behalten, wenn wir sie aktiv anwenden. Was heißt das konkret für Security Awareness Trainings? Passives Lernen, wie bspw. ein Video anschauen oder eine Vorlesung hören, ist zwar als Einstieg in die Thematik okay, optimale Ergebnisse können allerdings nur dann erzielt werden, wenn wir interaktive Lernformate, wie z.B. Quizzes verwenden. Eine weitere bewährte Methode sind Angriffssimulationen. So wird das Gelernte im Arbeitsalltag geübt und gefestigt.
Aufklären statt anprangern: Die Bedeutung einer positiven Fehlerkultur
Wenn wir beim Thema Angriffssimulation bleiben, kommt schnell die Frage auf, wie wir mit Mitarbeitenden umgehen sollten, die einen „Fehler“ gemacht haben. Hier ist besonderes Fingerspitzengefühl gefragt: Wenn wir möchten, dass Sicherheitsvorfälle zukünftig gemeldet werden, müssen wir eine positive Fehlerkultur etablieren, die Fehlverhalten nicht bestraft, sondern eher als Chance sieht, etwas zu Lernen. Mitarbeitende dürfen sich keineswegs Sorgen um Konsequenzen machen müssen. Gleichzeitig sollte richtiges Verhalten, wie z.B. das Melden eines Phishing-Versuchs, honoriert und zelebriert werden.
Wie ein effektives Security Awareness Training aufgebaut sein sollte
Kontinuität schlägt Intensität:
15 Minuten pro Monat sind effektiver als 4 Stunden pro Jahr. Die Wissenschaft ist eindeutig – regelmäßige Wiederholung führt zu nachhaltigem Lernen und echter Verhaltensänderung.
Aufklären statt anprangern:
Eine positive Fehlerkultur, in der Mitarbeitende ohne Angst Vorfälle melden können, ist der Schlüssel zu schneller Reaktion und kontinuierlicher Verbesserung. Der Mensch darf nicht als Problem verstanden werden, sondern als Lösung.
Wissen aktiv anwenden:
Es reicht nicht aus, Wissen nur passiv zu konsumieren. Eine Festigung kann nur durch aktive Anwendung, wie z.B. durch eine Phishing-Simulation erreicht werden.
Compliance ist der Anfang, eine Sicherheitskultur das Ziel:
Regulatorische Anforderungen sollten erfüllt werden, aber echte Sicherheit entsteht nur, wenn eine fortwährende Sicherheitskultur entsteht.
