Awareness messen

Wie Ihr Security-Training erfolgreich wird

Lance Spitzner ist Trainer für Security Awareness beim SANS Institut.
Wie stellen Unternehmen fest, ob ihre Security-Trainings für die Mitarbeiter etwas taugen? Indem sie Metriken festlegen, mit denen sie die Erfolge messen und das dann auch tun. Wir stellen mögliche Messgrößen vor.

Security-Awareness-Trainings sind ein elementarer Bestandteil vieler Maßnahmen zur Erhöhung der Informationssicherheit im Unternehmen. Oft müssen allerdings Betriebsräte und Mitarbeiter vorab informiert und ins Boot geholt werden, um überhaupt Aktivitäten durchführen zu können. Vielerorts wird aber noch gar nicht soweit gedacht oder diskutiert. Branchenumfragen überschlagen sich derzeit damit, dass viele Unternehmen ihr Heil in Sicherheits-Technologien suchen, dabei aber Investitionen in die Weiterbildung von Mitarbeitern in diesem Bereich eher vernachlässigen. Vor allem Investitionen in Analyse-Technologien liegen im Trend.

Die intelligente Software erfordert jedoch Expertenwissen, das vielen zuständigen Fachabteilungen fehlt und erst vermittelt werden muss. Nicht jeder im Netzwerk festgestellte Sicherheitsvorfall erfordert die gleiche Aufmerksamkeit. Oftmals lassen sich durch einfache Aufklärungsmaßnahmen viele durch die Software gefundene Vorfälle verhindern.

Zumindest ein positiver Trend lässt sich aber feststellen: Aus der 2011 veröffentlichten Studie "Security Awareness in der betrieblichen Praxis" der HECOM Security Awareness Consulting lässt sich ableiten, dass mehr Trainings als Präventivmaßnahme durchgeführt wurden, als bei der ersten Untersuchung dieser Art. Dieser Trend führt in die richtige Richtung. Je mehr jedoch in den Fachabteilungen und im Management über Awareness-Maßnahmen diskutiert wird, desto mehr rückt auch das Thema Erfolgsmessung in den Fokus. Allerdings bringt es nichts, einfach nur die Anzahl der Anrufe am Helpdesk oder die reine Anzahl an Sicherheitsvorfällen zu messen: Wichtig ist, zuallererst zu überlegen, was aussagekräftige Messkennziffern für das jeweilige Unternahmen darstellen, um nicht nur richtig, sondern auch das Richtige zu messen.

Ziel: Behavioural Change

Bevor es jedoch um Faktoren zur Erfolgsmessung geht, müssen die einzelnen Maßnahmen und deren Umsetzung skizziert werden. Der Erfolg einer umfassenden Kampagne zur Erhöhung der Security Awareness hängt von der Zielsetzung ab. Hier sollten das Management, die beteiligten Fachabteilungen und die Sicherheitsverantwortlichen die Ziele der Kampagne gemeinsam definieren. Um langfristige Effekte zu erzielen, müssen alle Maßnahmen ebenso langfristig angelegt sein.

Schulen Sie Ihre Mitarbeiter in Security-Awareness-Fragen richtig?
Schulen Sie Ihre Mitarbeiter in Security-Awareness-Fragen richtig?
Foto: Matej Kastelic - www.shutterstock.com

Feedback von und für die geschulten Mitarbeiter und Abteilungen spielt dabei eine große Rolle. "Letztlich geht es nicht nur darum, möglichst kreative Einmalaktionen durchzuführen, sondern einen Behavioural Change, also eine dauerhafte Änderung des Verhaltens, möglichst effizient und effektiv einzuleiten", sagt Michael Helisch, Dozent für Security Awareness, Inhaber von HECOM Security Awareness Consulting und zusammen mit Dietmar Pokoyski Herausgeber des ersten und bislang einzigen Fachbuchs zum Thema "Security Awareness" im deutschen Sprachraum. Eine Messung des Erfolgs der Kampagne wird, wenn überhaupt, zumeist vom Management gefordert, um das getätigte Investment intern rechtfertigen zu können. "In der Praxis muss davon ausgegangen werden, dass die Erfolgsmessung bei vielen Projekten aber eher vernachlässigt wird", fügt Helisch hinzu. Wenn aber ein solcher Nachweis sauber erbracht werden soll, ist es essentiell, vorab abzuklären, was gemessen, wann gemessen und wie gemessen werden soll.

Betriebsrat und Datenschutz

Erhebungen über den Erfolg von Kampagnen, bei denen beispielsweise per Phishing-Test oder Clean Desk Checks das Verhalten von Mitarbeitern am Arbeitsplatz überprüft wird, müssen oft mit dem Betriebsrat abgestimmt werden. Bei den meisten Aktivitäten ist dieses Vorgehen eindeutig von Vorteil. Erfolgt in Ausnahmefällen die Abstimmung nicht mit dem Betriebsrat, sind unbedingt das Management und der Aufsichtsrat vorab in Kenntnis zu setzen, um ein generelles Einverständnis einzuholen. Diese Instanzen können dann im Zweifel beschwichtigen oder aber die Maßnahme intern erklären und begründen.

Als grundsätzliche Maxime gilt jedoch, dass alle Erhebungen aus Datenschutzgründen und um die Interessen der einzelnen Mitarbeiter zu schützen, stets anonymisiert vorgenommen werden müssen. Wird die Einhaltung richtlinienkonformen Verhaltens der Mitarbeiter geprüft, sollte dies nicht mit "erhobenem Zeigefinger" getan werden, sondern mit einem Belohnungsaspekt für die Mitarbeiter verbunden sein. Als Mittel der Wahl zur Messung werden sehr häufig (un-)systematische Befragungen, Audits und Assessments oder Beobachtungen eingesetzt. Vor allem die tagtägliche Beobachtung ist ein probates Mittel, um Verhaltensänderungen am Arbeitsplatz festzustellen, sei es durch einen erneuten Phishing-Test oder durch einen Clean Desk Check am Ende des Bürotages.

Positive Reize

Beliebt sind vor allem teamfördernde Aktionen, bei denen zwischen den Abteilungen ein positiver Wettkampf entsteht. Mit Anreizen wie Pokalen oder Zertifikaten, die nur über eine gewisse Dauer in den Büros verbleiben und dann erneut "verteidigt" werden müssen, kann ein dauerhafter Verhaltenswandel in die gewünschte Richtung entstehen. Hier steht auch der Betriebsrat in der Regel hinter den Aktionen, weil es nicht darum geht, Schelte zu verteilen, sondern dem Einzelnen als Teil seiner Abteilung für seine Auseinandersetzung mit dem Thema zu belohnen. Natürlich ist für die Schaffung dieser positiven Anreize auch ein entsprechendes Budget sowie eine entsprechende personelle Ausstattung nötig. Dies führt dann als nächstes auch zu der Antwort auf die Frage, in welchem Abstand die Erfolgsmessung durchgeführt werden sollte.

"Für die Vorbereitung einer Awareness-Kampagne sollte mindestens ein halbes Jahr Vorlaufzeit eingeplant werden. Zwar ist es sinnvoll, die "lessons learned" aus der Kampagne sofort nach deren Ende gemeinsam zu erarbeiten und zu dokumentieren; eine erneute Messung einer Verhaltensänderung sollte aber mit einem hinreichend langen zeitlichen Abstand von beispielsweise drei Monaten zum Ende der Kampagne erfolgen, um stärkere Aussagekraft bezüglich des Standes der Bewusstseins- und Verhaltensänderung zu haben", erklärt Helisch.

Fazit

Security -wareness-Kampagnen sind ein probates Mittel, um das Verhalten von Mitarbeitern zu verändern. Allerdings sind diese Kampagnen auf einen relativ kurzen Zeitraum angelegt und das erlernte Wissen schnell vergessen. Deshalb gibt es durchaus Sinn, sich über geeignete Messinstrumente Gedanken zu machen, mit denen sich die Gewohnheiten der Mitarbeiter auch noch Monate nach der erfolgten Kampagne evaluieren lassen. Hier sind vor allem positive Anreize interessant und beliebt, um nicht nur das gewünschte Ziel des besseren Schutzes der sensiblen Unternehmensdaten von innen heraus, sondern gleichzeitig auch noch teamfördernde Effekte zu erzielen. Wichtigstes Mittel bleibt dabei die Beobachtung mit der sich, wohl protokolliert, das Verhalten über längere Zeiträume erfassen und Änderungen zielgerecht steuern lassen. (sh)