Vielfalt als Sicherheitsstrategie Security-Awareness-Trainer: Unterschiede nutzen

Ein Grundprinzip im Bereich Security Awareness besteht darin, eine einfache Wahrheit anzuerkennen und zu akzeptieren: Jeder Mensch ist anders. Diese Unterschiede können Sicherheitsexperten allerdings vor besondere Herausforderungen stellen. Eine wesentliche davon ist die Entwicklung von wirksamen Strategien und Schulungsprogrammen, um die Abwehrfähigkeiten eines Unternehmens gegen Social-Engineering-Angriffe zu stärken.

Die Einsicht, dass jeder Mensch einzigartig ist, geht über oberflächliche Unterschiede hinaus. Letztlich kann kein Security-Awareness-Trainer die verschiedenen Personas und ihre Lernstile in einer Schulungssitzung, sei es virtuell oder persönlich, sofort erkennen und verstehen.

Individuelle Inhalte für unterschiedliche Berufsgruppen

Dies lässt sich besonders in Sektoren wie dem Gesundheitswesen feststellen, wo Ärzte und Pflegefachleute zwar in ähnlichen Umgebungen und gemeinsamen Organisationskulturen arbeiten, ihre Aufgaben jedoch klar definiert und differenziert sind. Eine wirksame Security-Awareness-Schulung ist auf die verschiedenen persönlichen Erfahrungen und Hintergründe der Teilnehmer ausgerichtet, da diese Faktoren ihre Wahrnehmungen, Handlungen und Überzeugungen maßgeblich beeinflussen. Der Schlüssel zum Erfolg liegt also darin, die Security-Awareness-Trainings nachvollziehbar und persönlich zu gestalten.

Viele Organisationen führen einmal im Jahr Security-Awareness-Trainings durch. Simuliertes Phishing steht dabei im Mittelpunkt und stellt die Grundlage der gesamten Security-Awareness-Strategie dar. Die Ergebnisse der Tests werden von Jahr zu Jahr verglichen, um den Vorgesetzten in der traditionellen Übersicht darstellen zu können, inwieweit sich das Sicherheitsniveau verbessert hat. Doch Phishing allein sollte nicht der Fokus sein, denn es ist nur ein Teil der Security-Awareness-Thematik. Das Ziel besteht vielmehr darin, eine Sicherheitskultur zu schaffen, die auf nachhaltigem Bewusstsein und Verhalten beruht, anstatt nur die Zahl der Klicks auf simuliertes Phishing zu verringern. Um das Verhalten der Belegschaft dauerhaft zu verändern, ist es notwendig, dass die Menschen sowohl die Risiken verstehen als auch die Möglichkeiten erkennen, die sich aus ihrem neu gewonnenen Bewusstsein ergeben. Sie können ihr Wissen und ihr Verhalten zudem nicht nur am Arbeitsplatz, sondern auch zu Hause einsetzen, um ihre Familien und Freunde davor zu bewahren, Opfer von Cyberkriminalität zu werden.

Fünf Anforderungen an Security-Awareness-Trainer

Security-Awareness-Trainer, besonders im Gesundheitswesen, sollten die feinen Unterschiede zwischen den verschiedenen Personengruppen und Verantwortlichkeiten in den Krankenhäusern verstehen. Sie müssen diese berücksichtigen, um zielgerichtete Trainings anzubieten, die an die Herausforderungen des täglichen Lebens zu Hause und am Arbeitsplatz angepasst sind. Die folgenden Eigenschaften und Fähigkeiten sollten Security-Awareness-Trainer mitbringen, um zukünftig Schulungsveranstaltungen durchführen zu können, die auf die Vielfalt der Teilnehmer ausgerichtet sind:

• Menschen wollen wissen, warum sie ihr Verhalten ändern müssen. Hierfür können realistische Beispiele herangezogen werden, z.B. die plötzliche Bitte um Hilfe, weil einem Kind angeblich das Handy kaputt gegangen ist und es nun Geld von seinen Eltern benötigt. Dann muss die Frage beantwortet werden, warum dies sowohl für den privaten als auch den beruflichen Alltag im Krankenhaus eine relevante Gefahr darstellt.

• Zwischen den Zeilen lesen können. Nicht jeder ist in der Lage zu vermitteln, was er nicht weiß. Es gilt, Bedürfnisse zu verstehen und diese Lücke zu schließen.

• Cybersicherheit ist ein Lebensstil. Security-Awareness-Trainer sollten eine Verbindung zwischen den Rollenbildern und der Cybersicherheit schaffen, um die Integration von Cybersicherheit in die verschiedenen Rollen zu unterstützen und zu erleichtern.

• Agil und anpassungswillig bleiben. Es gilt, die Trainings an die geschäftlichen Anforderungen der Organisation sowie die spezifischen Bedürfnisse der verschiedenen Abteilungen anzupassen. So werden sowohl die Abteilungen mit ihren individuellen Herausforderungen als auch die übergeordneten Zielsetzungen der Organisation unterstützt.

• Botschaften an das Publikum anpassen. Kommen die Trainer aus dem Unternehmensumfeld, dann empfiehlt es sich, die Sprache an das Publikum im Krankenhaus anzupassen. Die Geschäftsleitung eines Krankenhauses könnte zum Beispiel aus einer Oberschwester, einem Arzt, dem Eigentümer usw. bestehen. Diese Aspekte sind im Vorfeld abzuklären.

Auf der nächsten Seite: Weswegen das Sprechen der „richtigen“ Sprache eminent wichtig sein kann.

(ID:50199585)