HR und IT-Sicherheit NIS-2 macht Security Awareness zur Pflicht

Die europäische NIS-2-Richtlinie weitet verbindliche Cybersicherheitsvorgaben auf viele Unternehmen aus. Allein in Deutschland müssen bis zum geplanten Inkrafttreten des entsprechenden nationalen Gesetzes schätzungsweise 30.000 Unternehmen NIS-2 umsetzen. Auch Personalabteilungen müssen sich jetzt mit IT-Sicherheit auseinandersetzen, weiß Christian Laber, Experte für Security Awareness Trainings bei der G DATA CyberDefense AG.

Security Awareness Trainings sind durch NIS-2 für viele Unternehmen bald obligatorisch (Bild: picture alliance / Zoonar | Robert Kneschke).

Die NIS-2-Direktive der EU hat das klare Ziel, die IT-Sicherheit entlang der Wertschöpfungs- und Lieferketten zu stärken. Dabei werden deutlich mehr Unternehmen von NIS-2 betroffen sein, als viele Verantwortliche vermuten. Eigentlich gehört die Verantwortung für IT-Sicherheit schon seit Jahren auf die Management- und Geschäftsleitungsebene. Folgerichtig gießt die EU-Direktive dieses Verständnis in entsprechende gesetzliche Regelungen.

Künftig können Geschäftsführungen und Vorstände direkt in die Verantwortung genommen werden.

Auch künftig – und in der NIS-2 ganz besonders – gilt also der Grundsatz „Unwissenheit schützt vor Strafe nicht“. Geschäftsleitungen sind in letzter Konsequenz für die IT-Sicherheit verantwortlich. Hier kommt neben der IT auch die HR ins Spiel, denn die NIS-2 sieht konkrete IT-Sicherheitsmaßnahmen vor, die jedes betroffene Unternehmen besser heute als morgen angehen sollte. Dazu zählen nicht nur technologische Schutzmaßnahmen, auch Security Awareness Trainings sind obligatorisch.

Mit Gamification zur Human Centered Security

Cyberkriminelle nutzen jede Lücke in der IT-Sicherheit, um Netzwerke von Unternehmen zu kompromittieren. Mit Phishing-Mails und vorgelagertem Social Engineering umgehen sie technische Schutzmechanismen, indem sie die Anwenderinnen und Anwender direkt ins Visier nehmen. Die Erfolgschancen individualisierter Angriffe sind dabei deutlich höher als bei einem Massenangriff. Die Erklärung dafür: Menschliches Verhalten lässt sich auf unterschiedliche externe Trigger zurückführen. Diese lösen verschiedene Reaktionen aus, die Menschen im Laufe der Zeit gelernt haben.

Die Kriminellen setzen dabei beispielsweise auf Gier, Neugier, Angst sowie Druck oder Hilfsbereitschaft.

Ein typisches Beispiel: Die Täter erzeugen Druck, indem sie ihre Opfer auffordern, innerhalb eines knappen Zeitfensters einen Link anzuklicken, um die Zugangsdaten für den Online-Banking-Account zu bestätigen oder eine vermeintlich drohende Sperrung abzuwenden. Dabei ist ein Punkt von zentraler Bedeutung: Das Opfer trifft keine Schuld! Schließlich ist jeder Mensch fehlbar, und der Klick auf den Link oder den Dateianhang erfolgte ja nicht in böser Absicht. Also stellt sich die Frage, wie Unternehmen sich und ihre Angestellten schützen können. Die Antwort, die auch in der NIS-2 festgeschrieben ist: Betriebe müssen ihre Mitarbeitenden schulen.

Sicherheitsbewusstsein schulen – kurz und nachhaltig

Da diese Trainings alle Angestellten im Unternehmen betreffen, müssen sie idealerweise alle Mitarbeitenden erreichen. Eine hohe Reichweite ist vor allem für unternehmenskritische, allgemein wichtige Themen wie etwa Security Awareness von entscheidender Bedeutung. Ein Rundbrief an alle Angestellten, der die typischen Anzeichen einer Phishing-Mail aufzählt, sorgt nicht für mehr Sicherheit. Auch Präsenz-Schulungen stoßen schnell an ihre Grenzen. Nicht nur weil die Organisation aufgrund von Urlaubstagen und Krankheitsfällen oder verteilten Standorten zur Herkules-Aufgabe mutiert, sondern auch, weil durch Frontalunterricht vermittelte Inhalte schnell wieder in Vergessenheit geraten. Aber genau diese Formate werden Personalverantwortliche zunächst in Betracht ziehen. Ein Grund dafür: Die Umsetzung von NIS-2 kostet Geld. Es ist zu befürchten, dass Geschäftsführende für Trainings nur wenig Budget bereitstellen und so nur die Minimalanforderungen erfüllen, dabei aber nicht auf nachhaltiges Lernen setzen.

Aber auch hier gilt der Grundsatz: Wer billig kauft, kauft zwei Mal.

Dabei kann Security Awareness nur gelingen, wenn Schulungen nachhaltig angelegt sind. Eine Forderung, die auch Personalverantwortliche stellen – nicht nur aus wirtschaftlichen Gründen. Aber wie lernen Menschen nachhaltig? Die Antwort lautet: Durch intrinsische Motivation. Das ist ein „Lernzustand“ welcher durch Anreize, durch Spaß, durch Emotionalität und durch das Vermitteln eines Sinns im Tun, generiert wird. All das gewährleisten beispielsweise spielerische Ansätze wie Serious Games.

Hinzu kommt: Personaler fordern kurze Lerneinheiten, denn Lernzeit ist schließlich Arbeitszeit. Ein geeignetes Format sind Web-basierte Trainings (WBTs). Neben der Reichweite ist vor allem die Wiederverwertbarkeit des Formats ein großer Vorteil. Auch dies stellen WBTs sicher, die Teilnehmende zeit- und ortsabhängig absolvieren. Allerdings unterliegt E-Learning einem stetigen Wandel. So gehören Videos und Multiple-Choice-Tests zwar immer noch zum Standardrepertoire vieler E-Learning-Angebote, jedoch hat sich das Lernverhalten in Zeiten einer immer stärker vernetzten, digitalen Welt in den letzten Jahren gewandelt.

Vor allem jüngere Menschen gehen gänzlich anders mit digitalen Medien um, was auch die Art und Weise betrifft, wie sie Informationen am liebsten aufnehmen oder verarbeiten.


Lernen mit Konzept

Moderne Lernpläne folgen einem klaren Konzept, wie beispielsweise dem Discovery Learning, genauer gesagt dem daran gekoppelten konstruktivistischen Lernen. Diese Idee basiert auf der Theorie des Psychologen Jerome Bruner. Sie basiert auf der Annahme, dass Lernen ein aktiver Prozess ist, bei dem Lernende neues Wissen auf der Grundlage ihrer bestehenden Kenntnisse konstruieren. Laut Bruner ist Lernen am effektivsten, wenn es in einem Kontext stattfindet, der es den Lernenden ermöglicht, Verbindungen zwischen neuen Informationen und dem zu knüpfen, was sie bereits wissen. Bruners Theorie betont die Wichtigkeit der aktiven Beteiligung der Lernenden am Lernprozess und die Rolle der Struktur und Sequenzierung des Lernmaterials.

Vor diesem Hintergrund setzen viele moderne digitale Trainings verstärkt auf Game-based Learning.

Damit lässt sich der Lerntransfer eines Trainings maximieren, indem es den Lernenden durch einen hohen Interaktivitätsgrad aus seiner gelernten passiven Konsumhaltung herausholt. Ebenfalls wird durch die stark bildliche Darstellungsform und einer stringenten Erzählweise, Theorie oder Inhalt an Bilder geknüpft. Schon Bruner hielt dabei fest, dass sich Bilder bis zu 20-mal stärker im Gedächtnis des Menschen verankern. Diesem Gedanken folgend, werden die Trainingsinhalte optimalerweise in einer eigenen Lernwelt, etwa in Form eines Serious Games angereichert mit einer Vielzahl von Gamification-Elementen (Schieberegler, Punktestand, Click-and-Reveal oder zeitgesteuerte Herausforderungen etc.) dargestellt. Ein erzählerischer Rahmen schafft eine dramaturgische Richtung und gleichsam positive Emotionen und motiviert die Lernenden.

Ein klar vorgegebenes Ziel sorgt für eine hohe intrinsische Motivation während des gesamten Trainings. Die Lernenden fokussieren die Inhalte und sind über die Dauer des Trainings hoch motiviert.

Gerade bei komplexeren Themen oder umfangreicheren Inhalten wie etwa IT-Sicherheit sind spielerische Ansätze hilfreich. Hier gibt es viele wichtige Aspekte, die alle Anwenderinnen und Anwender kennen sollten wie Phishing Mails und Social Engineering. So lässt sich der Lernerfolg etwa dadurch verbessern, dass Lernende einen Perspektivwechsel vornehmen müssen.

Fazit: Ein lohnendes Invest

Bleibt zum Schluss eigentlich nur noch eine Frage: Lohnen sich Security Awareness Trainings? Die eindeutige Antwort: Ja. Das belegt auch eine Studie von Osterman Research. Die Marktforscher haben die Schadensummen von Cyberattacken mit Kosten für Awareness-Schulungen verglichen und den Return on Invest (ROI) berechnet. So erzielen kleinere und mittelständische Unternehmen (bis 999 Angestellte) einen ROI von 69 Prozent, während der ROI bei größeren Organisationen (mehr 1.000 Mitarbeitende) durchschnittlich 562 Prozent beträgt. Zudem gehen die Schadensummen von Cyberattacken – Lösegeldzahlung, Produktivitätsverlust und Wiederherstellungskosten – schnell in die Millionenhöhe. Wenn diese durch gut geschulte Angestellte gar nicht erst verursacht werden, haben sich die initialen Kosten für Security Awareness Trainings schnell amortisiert.

 

Über die Person

Christian Laber ist Product Owner des Product Developments der G DATA academy bei der G DATA CyberDefense AG. Er verantwortet die Inhalte der hauseigenen Security Awareness Trainings und damit auch die Weiterentwicklung der bestehenden Kurse auf der unternehmenseigenen E-Learning-Plattform. Zudem ist er mit der inhaltlichen und technischen Konzeption neuer innovativer Trainingsformen sowie Trainings betraut.

 

Kommentare:

Noch keine Kommentare zu diesem Artikel. Machen Sie gerne den Anfang!


Bitte loggen Sie sich ein, um zu kommentieren:

Bitte warten, Verarbeitung läuft ...