5 Tipps für erfolgreiches Awareness-Training

Ismail Özkan
By: Ismail Özkan Awareness-Training | 7 Dezember

Awareness-Training ist ein wichtiger Teil der Gesamt-IT-Sicherheitsstrategie einer Organisation. Die meisten Fälle von Sicherheitsverletzungen sind nicht die Schuld von technischen Problemen, sondern von menschlichem Versagen. Cyber-Kriminelle wissen, dass es vielen Mitarbeitern in Organisationen an Bewusstsein fehlt, und sie zielen bewusst auf Mitarbeiter, um in die IT-Systeme einer Organisation eindringen oder auf sensible Informationen zu zugreifen. Andererseits können Ihre Mitarbeiter auch Ihre stärkste Verteidigung gegen Cyber-Angriffe sein. An dieser Stelle kommt Awareness-Training ins Spiel – eines Ihrer mächtigsten Werkzeuge zur Stärkung der IT-Sicherheit Ihrer Organisation ist es, Ihren Mitarbeitern ein hohes Bewusstsein zu vermitteln.

Aber wie führt man ein gelungenes Awareness-Training durch?

Es gibt viele Formen von Awareness-Training. Einige entscheiden sich dafür, jedes Jahr stundenlange Seminare für alle Mitarbeiter durchzuführen, andere bereiten eine Vielzahl an Dokumenten vor, und wieder andere schicken eine kleine Gruppe von Mitarbeitern zu einem Kurs und erwarten dann, dass sie den Rest unterrichten. Mitarbeiter können sich aber auch langweilen oder vergessen, was sie gelernt haben, oder das Management kann Zweifel haben, ob die Schulung erfolgreich war oder nicht. In diesem Artikel haben wir unsere Erfahrungen mit Awareness-Training in 5 konkreten Tipps zusammengefasst, die Sie nutzen können, um Ihre Bemühungen zu optimieren.

Smart CTA_e-book DE

#1: Bereiten Sie relevante Inhalte vor

Das Training sollte für alle Mitarbeiter in allen Abteilungen Ihrer Organisation geeignet sein. Sie brauchen nicht in allen technischen Details erklären, wie Computer funktionieren, oder tief in Vorschriften zur Informationssicherheit einzutauchen. Sie müssen lediglich Inhalte erstellen, die von allen Mitarbeitern auf allen Ebenen Ihrer Organisation verstanden werden können. Der Inhalt sollte relevant sein für ihre Arbeit und ihr technisches Fachwissen – Cybersicherheit sollte für Ihre Mitarbeiter kein komplexes Thema sein, sondern etwas, das sie selbstbewusst angehen können.

Versuchen Sie, Kurse zu erstellen, die gleichzeitig lehrreich und unterhaltsam sind. Verwenden Sie Beispiele, um Konzepte zu verdeutlichen, und benutzen Sie eine lockere Sprache, wenn Sie diese Konzepte erklären. Bieten Sie Kurse an, die auf Ihre Mitarbeiter und nicht Ihre IT-Abteilung zugeschnitten sind. Ihre Mitarbeiter sollten sich in den Kursen nicht langweilen, sondern sich für sie interessieren. Eine Möglichkeit, dies zu erreichen, ist es, Inhalte anzubieten, die leicht zu verstehen sind.

Ein Beispiel für eine Erklärung dafür, was ein Ransomware-Angriff ist, findet sich in der folgenden Abbildung:

 

Ransomware Explained 1 - DERansomware Explained 2 - DE  

Welchen dieser Texte würden Sie lieber lesen?

#2: Langsam verdauen

Von Passwörtern zu Phishing-Angriffen und von GDPR bis zu Social Engineering – Cybersicherheit ist ein weites Feld 

Folglich kann es sein, dass das Awareness-Training ein breites Spektrum an Themen abdecken muss. Es ist jedoch unmöglich für Ihre Mitarbeiter, all diese Informationen auf einmal zu verdauen 

Sie können Ihren Mitarbeitern nicht die ganze Bibel geben und dann erwartendass sie sich sofort an alles erinnern 

Das Training sollte in kleineren Stücken verdaut werden. Dies macht es wahrscheinlicher, dass sich Ihre Mitarbeiter an die Inhalte erinnern und somit vom Training profitierenAnders gesagt hilft die Aufteilung des Trainings in kleinere Stücke dabei, die Bemühungen insgesamt erfolgreicher zu machen. 

Drängen Sie Ihre Mitarbeiter nicht in Kurse, die alles auf einmal behandeln – teilen Sie die Inhalte über einen bestimmten Zeitraum auf und servieren Sie dann ein Stück nach dem anderen. Dies nennt man Mikro-Lernen 

Geben Sie Ihren Mitarbeitern zwischen den einzelnen Kursen etwas Zeit, um das in einem Kurs Gelernte zu verdauen. 

Dadurch geben Sie Ihren Mitarbeitern nicht nur Zeit zum NachdenkenÜben und Durchatmensondern sorgen auch dafürdass 
Cybersicherheit über einen längeren Zeitraum auf der Tagesordnung bleibt. Ob Sie jeden Monat oder jeden zweiten Monat einen Kurs abhalten wollen bleibt Ihnen überlassen. Bestimmen Sie die Intensität der Kurse je nach Ihren Bedürfnissen und der Wichtigkeit des behandelten Themas 

Ein Trainingsplan könnte aussehen wie im folgenden Beispiel, das ein Kurs aus unserem eigenen Katalog ist. Es ist eine Mischung aus Kursen über IT-Sicherheit, GDPR und könnte so aussehen 

Calendar - Kursussen - DE

#3: Kommunizieren und unterstützen Sie Ihre Bemühungen

Das Awareness-Training sollte kein Projekt sein, das nur von der IT-Abteilung an die Mitarbeiter herangetragen wird. Um Awareness-Training erfolgreich zu machen, brauchen Sie die Unterstützung des Top-Managements.

Das Management muss das Training eindeutig unterstützen, damit es in der gesamten Organisation angenommen werden kann.

Wenn Sie Ihre Mitarbeiter ohne die Unterstützung des Top-Managements bitten, an Kurse in IT-Sicherheit teilzunehmen, wird das Ihre Mitarbeiter höchstwahrscheinlich nicht dazu motivieren, Zeit für Awareness-Training herzugeben, und sie werden höchstwahrscheinlich Bedenken haben, solche Kurse zu besuchen.

Vergewissern Sie sich, dass das Management das Projekt unterstützt und machen Sie Ihren Mitarbeitern von Anfang an deutlich, „warum“ sie das Training absolvieren sollten.

Erklären Sie Ihren Mitarbeitern, warum Ihre Organisation Awareness-Training braucht, und versuchen Sie, es interessant zu machen – etwas, das Wert für Ihre Mitarbeiter hat und worüber sie gerne mehr lernen möchten, statt etwas, was sie „tun müssen“.

Denken Sie daran: Wenn das Management Awareness-Training nur als etwas sieht, das sie tun müssen, um „ein Kästchen abhaken“ zu können, dann werden die Mitarbeiter das genauso sehen und de

 

Lies mehr: How to write an IT-security policy – A step-by-step guide with free template

 

#4: Verschiedene Lernmethoden anwenden

Sie haben also die Unterstützung des Managements für Ihr Awareness-Training bekommen, dies Ihren Mitarbeitern mitgeteilt, die Themen in kleinere Stücke aufgeteilt und für alle relevant gemacht.

Was jetzt?

Nun, Sie sind noch nicht fertig. Vielmehr haben Sie gerade erst begonnen.

Awareness-Training ist ein kontinuierlicher Prozess. Es ist genauso wichtig, bei Ihren Mitarbeitern ein Bewusstsein für IT-Sicherheit aufzubauen, wie dieses Bewusstsein aufrechtzuerhalten. Dazu müssen Sie verschiedene Lernmethoden in Betracht ziehen. Kleine E-Learning-Kurse sind eine gute Idee, aber Sie sollten sie durch andere Lernformen ergänzen, um das Bewusstsein beizubehalten.

Gehen Sie weg vom reinen Textformat als Ihrem Lernformat. Verwenden Sie Videos, um Beispiele zu zeigen, verwenden Sie interaktive, unterhaltsame Folien, um Konzepte zu erklären, und erstellen Sie Quizfragen, um Ihre Mitarbeiter herauszufordern und damit sie ihr Wissen testen können.

Schaffen Sie so viele Berührungspunkte wie möglich, um Ihre Mitarbeiter ständig an das Gelernte zu erinnern – sei es durch echte Phishing-Simulationen oder durch Poster im Büro.

Diese Berührungspunkte werden Ihren Mitarbeitern mehr Spaß bei der Arbeit mit IT-Sicherheit vermitteln und ihr Bewusstsein aufrechterhalten. Es gibt viele Möglichkeiten, Bewusstsein zu schaffen und beizubehalten – Ihrer Fantasie sind keine Grenzen gesetzt.

#5: Begleiten Sie Ihre Mitarbeiter

Sobald Sie Ihr Awareness-Training eingeführt haben, müssen Sie den Fortschritt Ihrer Mitarbeiter kontinuierlich mitverfolgen.

Versuchen Sie, von  Ihren Mitarbeitern Feedback zu den Kursen und das gesamte Awareness-Training zu bekommen. Was gefällt Ihren Mitarbeitern an den Kursen, was nicht? Es ist wichtig zu beachten, dass Awareness-Training wertvoll und nützlich für Ihre Mitarbeiter sein sollte. Wenn Ihre Mitarbeit keinen Spaß am Training haben, können Sie sicher sein, dass die Ergebnisse auch leiden werden.

Awareness-Training ist ein dynamischer Prozess – versuchen Sie, von Ihren Mitarbeitern zu lernen und das Training entsprechend anzupassen. Falls Ihre Mitarbeiter nicht an den Kursen teilnehmen, warum ist das so? Brauchen sie mehr Zeit, um die Kurse durchzuarbeiten? Sollten die Inhalte noch besser angepasst werden? Versuchen Sie, die Gründe herauszufinden, und handeln Sie dann entsprechend, um diese Probleme zu beseitigen. Stellen Sie sicher, dass das Awareness-Training Spaß macht und Ihre Mitarbeiter gerne daran teilnehmen. 

Kurz gesagt: Kontinuität ist der Schlüssel!

Die wichtigste Erkenntnis aus diesem Artikel ist, dass Sie akzeptieren müssen, dass Awareness-Training kein einmaliges Projekt ist, sondern vielmehr eine kontinuierliche Bemühung. Ein Plug-and-Play-Ansatz funktioniert bei Awareness-Training nicht. Es muss entsprechend der Bedürfnisse Ihrer Organisation und Ihrer Mitarbeiter individuell zugeschnitten, verfolgt und weiter angepasst werden.

Die fünf konkreten Tipps, die wir in diesem Artikel vorgestellt haben, werden Ihnen dabei helfen, die Ziele Ihres Awareness-Trainings zu erreichen. Wir hoffen, dass dieser Artikel Sie inspiriert, und ermutigen Sie auch, sich mit unserem Expertenteam in Verbindung zu setzen, wenn es etwas gibt, wobei wir Ihnen helfen können!