Präventionsschulungen rufen in der Belegschaft in der Regel eher zurückhaltend akzeptierende Reaktionen aus. Die Ankündigung einer «Pflichtveranstaltung», um «zu unterweisen», lässt vermuten, dass eher trockenes Belehren als spannende Lerninhalte zu erwarten ist. Kommt die Schulung dann auch noch als E-Learning daher, bringen die Lernenden höchstens noch den Ehrgeiz auf, sich möglichst schnell durch die Lektionen zu klicken und die Prüfungsfragen zu absolvieren. Damit ist dann auch der Unterweisungspflicht Genüge getan, und man kann sich wieder entspannt zurücklehnen. Der Lerneffekt geht gegen null. Dies berichteten die Praktiker aus verschiedenen IT- und Beratungsunternehmen an der Learntec. So titelte Christian Laber (Gdata AG, ein auf IT-Security spezialisiertes Unternehmen) seinen Vortrag griffig «No Glory in Prevention?».
IT-Verantwortliche haben es in der Tat nicht leicht. Zu häufig muss erst ein Ernstfall eintreten, bevor angemessene Budgets in Security-Lösungen investiert werden. Allerdings, so mahnte Laber, seien eine Firewall und andere technische Präventionsmassnahmen nur ein Teil eines Sicherheitskonzepts. Heutzutage stehe der Mensch im Mittelpunkt von Cyberangriffen. Dies sei auch nicht verwunderlich, denn das Wissen über die Tricks der Hacker sei bei vielen Menschen ausbaufähig. Laber zitierte eine Studie, nach der 33% der Menschen nicht wüssten, was Phishing sei. Und dies in einer Zeit, in der sich Attacken exponentiell steigern und sich die geschätzten Gesamtschäden in den letzten fünf Jahren fast vervierfacht haben. 91% aller Attacken starten über Menschen, die Schadcodes auf ihr IT-System lassen. Aus diesem Grund seien geeignete Security-Awareness-Trainings (SAT) eine der wichtigsten Komponenten einer Präventionsstrategie.
Dringlichkeit schafft noch keine Motivation
Der Vortrag von Christian Laber zeigte an diesem Punkt deutlich, warum man die IT-Abteilung nicht mit dem Thema allein lassen darf: Die Einsicht in Prävention ist zwar rational nachvollziehbar, erreicht aber Menschen emotional nicht. Und das ist ein entscheidendes Dilemma, wenn man nachhaltige Wirkung erzielen will. Während also Labers Ausführungen mit einem Appell an Präventionsmassnahmen – ganz im Sinne der Unternehmensdienstleistungen von Gdata – endeten, berichtete Tobias Maier (Adesso, IT-Dienstleister) von seinen Erfahrungen bei der Konzeption und Begleitung von IT-Security-Schulungen.
Der erste Knackpunkt von solchen IT-Security-Schulungen beginne bereits mit der Einladung zur Schulung, die zumindest eine «wohlwollende Akzeptanz» für das Vorhaben erzeugen solle. Wenn die Adressaten realisierten, dass sie das Thema auch persönlich betreffe, um sich auch privat besser zu schützen, sei diese Grundvoraussetzung bereits erreicht.
Man sollte sich bei der Trainingskonzeption überlegen, so Maiers Rat, ob ein One-size-fits-all-Ansatz für alle Stakeholder-Gruppen passend sei oder ob in der Schulung besser nach verschiedenen Mitarbeitergruppen zu differenzieren sei, um die Schulungsformate bzw. -medien und -intervalle auf diese Gruppen zuzuschneiden. Zu berücksichtigen seien gegebenenfalls Barrierefreiheit, Mehrsprachigkeit oder die technische Ausstattung des Arbeitsplatzes. Für einen nachhaltigen Erfolg sollten zudem Erfolgskontrollen konzipiert werden. Präsenz- oder moderierte Online-Schulungen erzielten demnach immer eine gute Akzeptanz, ebenso wie Erklärvideos. Mit webbasierten E-Learnings hat auch Maier eher durchwachsene Erfahrungen gemacht. Die Akzeptanz solcher Formate sei gemischt, und die Teilnehmenden witzelten sarkastisch, dass sie nun richtig gut klicken könnten. Einen starken Eindruck hingegen attestiert Maier Live-Hacking-Demonstrationen oder Übungen, in denen sich die Lernenden in die Hacker hineinversetzen müssen, um selbst Angriffsstrategien zu entwickeln. Auch ein Exkurs in die digitale Forensik übe eine gewisse Faszination auf die Teilnehmenden aus.
Learntec 2024: Künstliche Intelligenz pusht Lerntechnologien
Seit 1991 wird Karlsruhe jährlich zu Europas «Place to be» für Professionals, die mit Lerntechnologien zu tun haben. 419 Ausstellende aus 19 Ländern trafen im Juni bei der dreitägigen Messe und dem angeschlossenen Kongress auf rund 14000 Besucherinnen und Besucher aus 43 Ländern.
Die Veranstaltung schafft mit ihren vielen Firmen- und Expertenvorträgen eine hohe Informationsdichte in den Bereichen Corporate Learning und Lerntechnologien für Bildungsinstitutionen.
Dieses Event-Special beleuchtet die Themen Wirksamkeit im Corporate Learning, Präventionsschulungen und die Zukunft von Learning & Development (L&D) in Unternehmen.
Nachhaltigkeit
Für die Erfolgskontrolle und die Sicherstellung einer nachhaltigen Awareness eigneten sich beispielsweise Microlearning-Formate, Quiz oder Testaufgaben wie die Plakatierung eines QR-Codes, hinter dem sich ein fiktives Phishing-Szenario verberge. Wiederholung und Gamification sind als Grundbedingungen für nachhaltige Lerneffekte inzwischen hinlänglich bekannt.
Das IT-Security-Unternehmen SoSafe arbeite erfolgreich mit personalisierten Phishing-Simulationen, um Awareness bei Schulungsteilnehmenden zu schärfen, berichtete Christian Reinhardt. Es sei wichtig zu verstehen, mit welchen verhaltenspsychologischen Tricks Cyberkriminelle Menschen manipulierten – beispielsweise wie Social Engineering in einschlägigen sozialen Netzwerken funktioniere.
Eine Einladung zum Thema «Wie manipulierbar bin ich?» klingt nun doch um einiges spannender als eine «Pflichtunterweisung zum Thema Passwort- und E-Mail-Sicherheit».
Fazit
Das Bedrohungsthema IT Security ist prototypisch für Trainingsprogramme, die das menschliche Verhalten adressieren. Sie müssen den Menschen in den Mittelpunkt stellen, während die Technik und bedrohliche Konsequenzen mangelnder Prävention nachrangig sind. Menschenzentrierte Trainingskonzepte ermöglichen eine Identifikation der eigenen Betroffenheit und ein Verständnis der eigenen «Schwachstellen» wie etwa jener für Cyberangriffe.
Take Aways
- Präventionsschulungen stossen oft auf geringe Begeisterung und Akzeptanz, da sie als trockene Pflichtveranstaltungen wahrgenommen werden. Deshalb sollte die persönliche Betroffenheit ins Zentrum des Trainingskonzepts und der Kommunikation gestellt werden.
- Schulungen sollten auf verschiedene Mitarbeitergruppen zugeschnitten werden, um Akzeptanz und Effektivität zu steigern, z.B. durch Präsenzschulungen, Erklärvideos und interaktive Formate.
- Live-Hacking-Demonstrationen und Übungen, die die Perspektive eines Hackers einnehmen, hinterlassen einen nachhaltigen Eindruck bei den Teilnehmenden.
- Microlearning, Quiz, Gamification und personalisierte Phishing-Simulationen fördern eine dauerhafte Awareness und machen das Lernen interessanter.