:quality(80)/p7i.vogel.de/wcms/c0/61/c061c4903f5939bdb57ac73db841a4ed/0115551488.jpeg "Bei der zehnten Auflage des Summits stellte OVHcloud gleich mehrere Neuerungen vor. Unter dem Motto „Innovation für Freiheit“ waren mehr als 1.500 Personen in Paris. (Bild: Canva/Lucas Schmidt)")
:quality(80)/p7i.vogel.de/wcms/fa/53/fa53ebbb46b8f04be229a6568ab2c999/0115573400.jpeg "Die Gründer und Geschäftsführer von ITgration Sven Budde (l.) und Patrick Menne mit Netgo CEO Oliver Mauss (r.) (Bild: Netgo Group)")
:quality(80)/p7i.vogel.de/wcms/50/42/5042f408384ea90217b6c01599c8c1e3/0115567231.jpeg "Proofpoint ernennt Sumit Dhawan zum CEO. (Bild: Proofpoint)")
:quality(80)/p7i.vogel.de/wcms/05/6f/056f59d4ad7cb0c59dd1895a3c448139/0115544426.jpeg "Es gibt viele Klischees rund um die Arbeitsmoral der unterschiedllichen Generationen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b3/b1/b3b1c545087e5544523b46969a2e83d6/0115187787.jpeg "Der Purple Knight Report 2023 zeigt Risiken auf, mit denen Unternehmen bei der Sicherung ihrer Identitätssysteme konfrontiert sind. (Bild: Semperis)")
:quality(80)/p7i.vogel.de/wcms/b2/fa/b2fab5c4c3b387c0e11070075e2674f7/0115483489.jpeg "Die Folgen von Cyberangriffen beschränken sich nicht nur auf das Finanzielle. Um es gar nicht so weit kommen zu lassen, sind gute Vorsorgemaßnahmen wie ein umfassender XDR-Ansatz hilfreich. (Bild: Oleksii - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/64/9264a933a9cc168b2abb7e4914e8f97c/0115242686.jpeg "Orange Business und VMware möchten das Kundenerlebnis durch Digitalisierung und Automatisierung vereinfachen. (Bild: Gorodenkoff Productions OU)")
:quality(80)/p7i.vogel.de/wcms/42/40/4240e6229fb6dbcb223ed56189cce2e4/0115510227.jpeg "Auf der AWS re:Invent 2023 in Las Vegas zeigt der Hyperscaler, wo die Cloud-Reise hingeht. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/20/53/205381c738a485ade3c153491bd5359d/0115141074.jpeg "Der LevelOne Hilbert GES-2216 ist ein mit 16 Gigabit-Ports ausgestatteter Switch für KMU-Umgebungen. (Bild: Digital Data Communications)")
![Der Poweredge XE9680 arbeitet mit zwei Intel-Sapphire-Rapids-CPUs und acht H100-SXM5-Modulen von Nvidia. Damit ist ein leistungsstarker GPU-Server für Dell Validated Design for Generative AI . (Bild: bagotaj - stock.adobe.com, Dell / [M] Klaus Länger)](https://cdn1.vogel.de/CYaLa9lNKMh5HmNtGWhfWBfNWSE=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/a6/7d/a67d80d8261c4f4ebbd7e154cf659130/0115544530.jpeg "Der Poweredge XE9680 arbeitet mit zwei Intel-Sapphire-Rapids-CPUs und acht H100-SXM5-Modulen von Nvidia. Damit ist ein leistungsstarker GPU-Server für Dell Validated Design for Generative AI . (Bild: bagotaj - stock.adobe.com, Dell / [M] Klaus Länger)")
:quality(80)/p7i.vogel.de/wcms/10/18/1018c366386451773ef4e41460d37b15/0115485172.jpeg "Die Nano-Brix-Fanless-Rechner von Aquado nutzen Mobile-Prozessoren von Intel und AMD. Deren Abwärme wird über das mit Kühlrippen versehene Gehäuse abgeleitet. Die Mini-PCs warten zudem mit vier Display-Ausgängen auf. (Bild: Aquado)")
:quality(80)/p7i.vogel.de/wcms/a9/a5/a9a5bbaee092f8db0ac0a41cf14db5f3/0115442133.jpeg "Minimalistisches Design: Das kabelgebundene, mechanische Business-Keyboard KC 200 MX von Cherry. Für Stabilität sorgt die eloxierte Metallplatte unter den lasergravierten Tastenkappen der MX2A-Schalter. (Bild: Cherry)")
:quality(80)/p7i.vogel.de/wcms/1c/29/1c2904b6e84ecdb64874189948288513/0115302904.jpeg "HP hat neue Team-zertifizierte Geräte und Apps der Poly-Reihe vorgestellt. Dazu gehört auch das Poly Voyager Surround 85 UC Headset, das ohne Mikrofonarm auskommt. (Bild: Poly)")
:quality(80)/p7i.vogel.de/wcms/60/15/6015f49dd52608f16119d5b550ba7ab5/0115584368.jpeg "Klimaneutral seit 2019 (Bild: Online USV Systeme)")
:quality(80)/p7i.vogel.de/wcms/d1/d1/d1d13863e0297efef3e470865fd13c3c/0115143731.jpeg "(Bild: Trend Micro)")
:quality(80)/p7i.vogel.de/wcms/71/63/71634c3664fb1b5c20ce69064fc89f01/0115335107.jpeg "(Bild: Boston)")
Behavioral Security Digital sicher dank Lernpsychologie
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/61/c3/61c340dc60368/sosafe-logo-black.jpeg "sosafe-logo-black (SoSafe)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134757/65.jpg "Logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/132900/132945/65.jpg "Logo_AfB_sgIT_400x400px.jpg ()")
Gesellschaftliche Entwicklungen, neue Tools, neue Methoden – der Bereich Informationssicherheit muss sich immer wieder neu erfinden und weiterentwickeln. Mit lernpsychologischen Methoden sollen Mitarbeiter in der hybriden Arbeitswelt vor Cybervorfällen geschützt werden.
Die Cyber-Bedrohungslage verschärft sich zusehends. Das Bundeskriminalamt verzeichnete für 2021 einen neuen Höchstwert bei Straftaten im Cyberspace. Ausgeklügelte Ransomware- und Lieferkettenangriffe haben im vergangenen Jahr regelmäßig für Schlagzeilen gesorgt. Auch weiterhin starten viele Angriffe beim Faktor Mensch, meist mit einer Phishing-Mail. Denn Mitarbeiter lassen sich auch trotz starker technischer Infrastruktur immer ähnlich angreifen – über emotionale Manipulation. Vor allem in gesellschaftlich unsicheren Zeiten, wie zuletzt während der Corona-Pandemie und des Angriffskrieges auf die Ukraine, ergeben sich für Cyberkriminelle optimale Erfolgschancen.
Warum hybride Arbeitswelten neue Lernmethoden notwendig machen
Hybride Arbeitsmodelle machen gerade Phishing-Angriffe besonders einfach: Der Austausch mit Kolleginnen und Kollegen fehlt, Netzwerke sind schlechter abgesichert und Mitarbeitende im Homeoffice über verschiedene Kommunikationskanäle angreifbarer. Das setzt Organisationen unter Druck: Sie müssen ihre Mitarbeitenden für die Gefahren dieser Arbeitsumgebung sensibilisieren – denn rein technisch können schädliche von unschädlichen Nachrichten kaum noch unterschieden werden.
Die üblichen Schulungsmethoden werden der neuen hybriden Arbeits- und Lernrealität allerdings nicht mehr gerecht. Die meisten Security Awareness Trainings finden zwar schon lange online statt – E-Learning-Plattformen sind der Standard und können auch aus dem Homeoffice jederzeit abgerufen werden. Dafür hakt es an anderer Stelle: Der pädagogische Aspekt kommt bei diesen Plattformen zu kurz.
Security Awareness sollte mehr als nur Regularien erfüllen
Das Problem vieler traditioneller Security-Awareness-Trainings liegt darin, dass sie nicht auf den Menschen ausgerichtet sind. Stattdessen sollen sie Regularien erfüllen, damit Zeit bleibt, um die technische Infrastruktur weiterzuentwickeln oder Sicherheitslücken zu patchen. So geht es bei vielen Awareness-Lösungen statt interaktiver Lernerfahrungen nur um reine Wissensvermittlung, damit Häkchen hinter Compliance-Forderungen gesetzt werden können.
Dieser Ansatz ist jedoch kurzsichtig. Denn mit dem richtigen Training können Mitarbeitende von Zu-Beschützenden zu Schützern werden – und Unternehmen schon präventiv und langfristig vor Sicherheitslücken, Datenvorfällen und kostspieligen Cyberangriffen bewahren. Gerade die komplexe Thematik rund um Informationssicherheit bedarf lernpsychologisch fundierter Methoden – nur so wird sie (auch für fachfremde Mitarbeiter) zugänglich und die Ergebnisse der Maßnahme nachhaltig sichtbar. Das Training ist also, wenn ihm die nötige Aufmerksamkeit geschenkt wird, ein wichtiger Business-Faktor.
Psychologisch fundiertes Security-Awareness-Training sichert Organisationen digital ab
Menschen streben nach Belohnung und Anerkennung. Sie sind neugierig, lieben Unterhaltung und möchten sich weiterentwickeln. Und Menschen sind soziale Wesen, die anderen helfen, aber auch mit einbezogen werden möchten. Diese Erkenntnisse sollten für effektive Security-Awareness-Trainings eingesetzt werden.
Im Human Risk Review 2022 schlüsselt Security-Awareness-Anbieter Sosafe auf, worauf es beim Stärken der IT-Security-Awareness in Organisationen ankommt. Das „Behavioral Security Model“ veranschaulicht, dass in der IT-Sicherheit vier Faktoren ins Spiel kommen: Wissen, Kontext, Motivation und Verhalten. Diese Faktoren hängen eng miteinander zusammen. Ziel von Security-Awareness-Maßnahmen ist es demnach nicht nur, Wissen zu vermitteln, sondern auch Mitarbeitende dabei zu unterstützen und zu motivieren, ihr Verhalten zu reflektieren und sichere Routinen einzuüben. Daten aus der Sosafe Awareness-Plattform zeigen, dass mithilfe systematischer, auf den Menschen fokussierter Schulungsmaßnahmen die Cyberrisiken um bis zu 90 Prozent minimiert werden können.
Behavioral Security
Bei jeder der Dimensionen dieses Modells rücken andere lernpsychologische Methoden in den Vordergrund, die die Bedürfnisse der Lernenden in den Mittelpunkt stellen. So kann die Motivation der Mitarbeitenden beispielsweise mit Gamification nachhaltig erhöht werden – laut der Analysen von Sosafe um etwa 53 Prozent. Die Übertragung spieltypischer Elemente in spielfremde Kontexte funktioniert gut, weil die Trainings den natürlichen Spieltrieb des Menschen ansprechen, der uns auch über die Kindheit hinaus erhalten bleibt. Typische Elemente aus Computerspielen werden in den Lernprozess integriert, erhöhen den Spaßfaktor und motivieren zum kontinuierlichen Lernen.
Auch „verteiltes Lernen“ und kontinuierliche Lernstupser (sogenanntes „Nudging“) sind psychologisch sinnvoll: Wird Wissen regelmäßig wiederholt, kann das Erlernte besser verinnerlicht und leichter angewendet werden. Geschieht dies nicht, zeigt sich schnell der gegenteilige Effekt: Mitarbeitende können Phishing-Mails schon nach einer Lernpause von vier Wochen weniger gut erkennen – Daten von Sosafe zeigen, dass die Klickraten im Schnitt um 31 Prozent steigen.
Um den Lernenden ein gewinnbringendes Lernerlebnis anzubieten, bietet es sich außerdem an, die Lerninhalte an die Vorkenntnisse und Kompetenzen der Mitarbeitenden anzupassen, damit sie regelmäßige Erfolgserlebnisse haben. Kurze und prägnante Lerneinheiten lassen sich außerdem leicht in den Arbeitsalltag integrieren – auch in durch Online-Meetings zunehmend zerstückelte Kalender.
Mit lernpsychologischen Methoden die Sicherheitskultur nachhaltig stärken
Nur wenn es Organisationen gelingt, alle Mitarbeiter zu sensibilisieren, können sie die Informationssicherheit langfristig gewährleisten. Der Einsatz von lernpsychologisch fundierten Methoden im Awareness-Training kann dabei den entscheidenden Unterschied machen. Die Trainings setzen dann genau dort an, wo das größte Potenzial liegt: beim Menschen selbst. Fühlen sich Mitarbeitende abgeholt und entwickeln Spaß am Lernen, absolvieren sie die Trainings gerne und behalten die Inhalte langfristig und nachhaltig im Gedächtnis. Das hilft Organisationen dabei, ihre Informationssicherheit zu erhöhen und das Risiko, Opfer eines Cyberangriffs zu werden, nachhaltig zu senken. Laut Human Risk Review 2022 haben mehr als 90 Prozent der Sicherheitsverantwortlichen genau das im kommenden Jahr vor.
Über den Autor: Dr. Niklas Hellemann ist Diplom-Psychologe, langjähriger Unternehmensberater und Geschäftsführer der Firma Sosafe. Als Experte für Social Engineering und Security Awareness beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.
Auf der ISX2022 IT-Security Conference ist Sosafe Premium-Partner mit Sessions in Hamburg und am 6. Juli in Garching & Digital! Jetzt noch schnell anmelden um dabei sein zu können!
(ID:48432579)
:quality(80)/p7i.vogel.de/wcms/90/f1/90f159133dccd90c0a1132fe7c9fb55a/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei Floyt Mobility und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3b/4f/3b4f36d9f55d11a8848d16710c7efe94/0112223473.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")