Independent Competence Platform
for Integrated Security in Switzerland.

01.07.2020

Wie kann man das Verhalten der Mitarbeitenden ändern?

Und welchen Einfluss haben dabei Security Awareness Massnahmen

‍Um das Sicherheitsbewusstsein der Mitarbeitenden langfristig zu schulen und zu verbessern, sollten 5 Schritte beachtet werden, um eine Cyber Security Kultur aufzubauen und zu pflegen. Im Laufe dieser Blog-Serie stellen wir Ihnen diese 5 Schritte vor, inklusive ausgewählter Taktiken, die zum Erfolg führen werden. Teil vier behandelt das Thema, wie man das Verhalten der Mitarbeitenden langfristig und nachhaltig ändern kann.

Vielleicht haben Sie sich auch schon mal die Frage gestellt, wie Sie am besten vorgehen müssen, um Security Awareness Massnahmen richtig umzusetzen? Wie kann das Verhalten von Mitarbeitenden effektiv und nachhaltig verändert werden? Welche Bausteine braucht eine Sicherheitsbewusstseinskampagne, um dieses Ziel zu erreichen?

Um das Verhalten eines Menschen zu ändern, muss man ein paar Dinge beachten. McKinsey hat hierfür das «Influence Model» entwickelt. Dieses Model hilft aufzuzeigen, welche Bereiche idealerweise abgedeckt werden sollten, damit Verhaltensveränderung geschehen kann. Mit Hilfe des «Influence Model» und den Taxonomiestufen nach Bloom können Massnahmen entwickelt werden. Es gibt verschiedene Möglichkeiten, um zu eruieren, welche Massnahmen durchgeführt werden sollten. Beispiele sind quantitative und/oder qualitative Mitarbeiterbefragungen, ISO Findings oder die B=MAT und COM-B Modelle.

Hat man Massnahmen definiert, stellt sich die Frage, welche Kanäle man für die Kommunikation verwenden soll. Auch hier gibt es verschiedene Möglichkeiten, welche hier vorgestellt werden. Damit man den Erfolg einer Kampagne eruieren kann, ist es zudem wichtig, messbare Massnahmen auszuwählen und diese im Anschluss an die Kampagne auszuwerten.

In diesem Beitrag zeigen wir Ihnen, auf was Sie beim Aufbau einer Security Awareness Kampagne achten sollten, damit diese das Verhalten Ihrer Mitarbeitenden nachhaltig und erfolgreich ändert und Ihr Unternehmen damit sicherer macht.


Der Faktor Mensch in der IT Sicherheit und seine Herausforderungen

Um den heutigen Sicherheitsbedrohungen zu begegnen, bedarf es nicht nur einer guten IT-Lösung, auch die Mitarbeitenden tragen zur Sicherheit eines Unternehmens bei. Die Rolle des Menschen in der Abwehr gegen Cybersecurity Attacken wird immer wichtiger. Dies haben auch die Wissenschaft sowie die Wirtschaft erkannt. Nun stellt sich jedoch die Frage, wie kann ich meine Mitarbeitenden sicherer und verantwortungsbewusster machen, sodass sie aktiv und automatisch einen sicheren Umgang mit IT Mitteln, Datenschutz und physischen Komponenten in einem Unternehmen pflegen? Hier kommen Security Training und Awareness, also die Schulung des Sicherheitsbewusstseins eines jeden Mitarbeitenden ins Spiel. Egal welche Rolle Sie in Ihrem Unternehmen einnehmen, sei es ein «normaler» Mitarbeitender oder jemand mit Führungsfunktion, alle tragen dazu bei, mit Ihrem Verhalten ein Unternehmen zu schützen. Und Sicherheits-Awareness Massnahmen helfen dabei, dies umzusetzen.

Die ENISA (Europäische Agentur für Netzwerk- und Informationssicherheit), Dr. Thomas Schlienger war einer der Autoren, untersuchte in ihrem «Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity» Report vier Methoden, den menschlichen Aspekt in der Cybersicherheit zu eruieren. Keine der untersuchten Methoden, zwei basierten auf der Grundlage sozialwissenschaftlicher Modelle, eine auf qualitativen Studien und die vierte auf der Grundlage aktueller Praxis in Organisationen, waren zureichend, um das Verhalten in Cybersicherheitsthemen zu verstehen, vorherzusagen oder zu ändern (ENISA 2018). Das bedeutet, dass man verschiedene Methoden miteinander kombinieren sollte, um Verhalten zu verändern.

Welche Methoden müssen jedoch angewendet werden? Gibt es eine «fits for all» Lösung oder muss es jeweils individuell betrachtet werden? Wie kann ich nun das Verhalten meiner Mitarbeitenden effektiv und nachhaltig verändern?


Wie verändert man das Verhalten von Menschen

McKinsey entwickelte das «Influence Model», bestehend aus vier Blöcken, welches hilft, die Einstellung und das Verhalten von Mitarbeitenden zu beeinflussen. Dieses Modell kann als Grundlage hinzugezogen werden, wenn es darum geht, Massnahmen zu entwerfen.

Die vier Pfeiler des «Influence Models» sind (McKinsey 2016):


Das «Influence Model» mit seinen vier Bausteinen der Veränderung


Förderung des Verständnisses und der Überzeugung
Verstehen die Mitarbeitenden das «Warum» einer Veränderung und sind sie damit einverstanden, hilft dies bei der Veränderung des Verhaltens. Damit das Verständnis und die Akzeptanz für eine Veränderung entstehen kann, muss das Ziel und das Warum der Veränderung klar kommuniziert werden. Eine Möglichkeit sieht McKinsey darin, die Transformation innerhalb einer Veränderungsgeschichte zu kommunizieren. Es wird erklärt, wo die Firma durch die Veränderung hinmöchte, was sich ändern soll und weshalb die Veränderung wichtig ist.

Bestärkung der Veränderungen durch formale Mechanismen
Schaffen Sie positive Anreize für die Mitarbeitenden, die ihr Verhalten ändern. Dabei ist jedoch zu beachten, dass die Anreize nicht durch Angst gefördert werden. So soll beispielsweise die Meldung einer Phishing Mail Feedback darüber geben, ob es sich um eine solche Mail handelt oder nicht und nicht Schwierigkeiten für einen Mitarbeitenden, wenn er auf eine Phishing-Mail hereinfällt.

Entwicklung von Talent und Fähigkeiten
Fördern Sie die Entwicklung neuer Fähigkeiten und Talente und ermutigen Sie Ihre Mitarbeitenden mit Selbstverantwortung und Kompetenz, neue Fähigkeiten anzuwenden. Dies erhöht die Chance, dass ein verändertes Verhalten auch umgesetzt wird. Haben die Mitarbeitenden das Gefühl, die neuen Fähigkeiten bringen ihnen nichts und verändern Ihre Situation nicht, bleiben sie höchstwahrscheinlich in Ihrem Verhalten passiv und verändern es nicht.

Vorbildfunktion
Ein wichtiger Aspekt ist das Vorleben von gewünschtem Verhalten. Vorbilder werden bewusst und unbewusst wahrgenommen. Daher ist es wichtig, Vorbilder in der Organisation zu finden, welche das gewünschte Verhalten vorleben und vorantreiben. Besonders auch Führungspersonen sollten ein sicherheitsbewusstes Verhalten leben und dadurch ihre Mitarbeitenden ermuntern, ihrem Beispiel zu folgen. Denn weshalb soll ich ein bestimmtes Verhalten annehmen, zum Beispiel meinen Mitarbeiterausweis sichtbar tragen, wenn mein Vorgesetzter/meine Vorgesetzte dies nicht macht?

Bei der Vorbildfunktion zeigt sich auch die Macht der Gruppe. Je mehr Personen sich sicher verhalten, desto eher werden neue Personen zu ebendiesem Verhalten ermutigt.

Das Verhalten mit Awareness Massnahmen ändern
Bei der Entwicklung von Security Awareness Massnahmen ist es ratsam, einerseits die oben erwähnten Veränderungsmechanismen im Kopf zu behalten und andererseits die Massnahmen und Trainings nach einem gleichen Prinzip aufzubauen. Eine gute Möglichkeit hierbei bietet die Taxonomie nach Bloom. Bloom entwickelte 6 Taxonomiestufen, um die Lernziele einzuteilen und zu kontrollieren. Dadurch kann ein Training erfolgreich aufgebaut und durchgeführt werden.


Die Taxonomiestufen nach Bloom

 

  1. Wissen: Faktenwissen, Kennen
    Die Mitarbeitenden geben das Gelernte wieder (Bloom, B. S. et.al.).
    Beispiel: Ich weiss, um was es sich bei Phishing handelt

  2. Verständnis: Verstehen, mit eigenen Worten begründen
    Die Mitarbeitenden können das gelernte in einem anderen Kontext wiedergeben.
    Beispiel: Ich kann die Merkmale einer Phishing-Mail aufzählen

  3. Anwendung: Umsetzung eindimensionaler Lerninhalte, Beispiele aus der Praxis
    Die Mitarbeitenden können das Gelernte anwenden.
    Beispiel: Ich kann eine Phishing-Mail identifizieren

  4. Analyse: Zerlegen in Einzelteile, Fallstudien
    Die Mitarbeitenden sind in der Lage, verschiedene Komponenten miteinander zu kombinieren und in ihre Bestandteile zu zerlegen und sie erkennen Zusammenhänge.
    Beispiel: Ich verstehe, wie Angreifer bei einer mehrstufigen Spear-Phishing-Attacke vorgehen.

  5. Synthese: Vernetzen und optimieren, fachübergreifend darstellen, Projektaufgaben
    Die Mitarbeitenden können verschiedene, unbekannte Komponenten zusammenfügen und dabei neues erstellen.
    Beispiel: Ich bin in der Lage, neuartige Phishing-Attacken zu erkennen.

  6. Beurteilung: Entspricht Stufe 4 mit zusätzlicher Bewertung durch die Mitarbeitenden
    Die Mitarbeitenden können einen Sachverhalt auf dessen Zweckmässigkeit beurteilen. Sie bilden sich ein Urteil, um die Aufgabe richtig zu lösen.
    Beispiel: Ich kann Verbesserungsvorschläge machen, wie die Firma sich besser vor Phishing schützen kann.

Quelle: treesolution.com
Experte Dr. Thmas Schlienger auf Security-Finder Schweiz
TreeSolution Consulting GmbH auf Security-Finder Schweiz

 

Literatur:
ENISA (2018): “Cybersecurity Culture Guidelines: Behavioural Aspects of Cybersecurity”. Authors: A. Joinson, A Sasse und T. Schlienger. www.enisa.europa.eu/publications/cybersecurity-culture-guidelines-behavioural-aspects-of-cybersecurity
McKinsey (2016): “The four building blocks of change”. www.mckinsey.com/business-functions/organization/our-insights/the-four-building-blocks--of-change
Bloom, B. S.; Engelhart, M. D.; Furst, E. J.; Hill, W. H.; Krathwohl, D. R. (1956). Taxonomy of educational objectives: The classification of educational goals. Handbook I: Cognitive domain. New York: David McKay Company.
TreeSolution (2019): Whitepaper - So erreichen Sie eine echte und nachhaltige Verhaltensveränderung.
Michie, S., Van Stralen, M. M., & West, R. (2011): The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation science, 6(1), 42.
Fogg, B. J. (2009, April): A behavior model for persuasive design. In Proceedings of the 4th international Conference on Persuasive Technology (p. 40). ACM.


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security Competences

Calendar Security Suisse

Fachkurs Corporate Risk Management; Luzern
27.08.2020 - 01.09.2020

ISSS Berner Tagung
18.11.2020

Security-Finder Schweiz: Newsletter