teissTalk: Erhalt und Aufbau einer Sicherheitskultur in einer hybriden und mobilen Arbeitswelt

In verschiedenen Studien bestätigen Arbeitgeber und Arbeitnehmer, dass die Zukunft der Arbeit hybrid sein wird. Dies bedeutet einen weiteren Ausbau der Nutzung digitaler Werkzeuge und eine hohe Eigenverantwortung in der Nutzung der Werkzeuge. Was bedeutet dies für die IT-Sicherheit und Cybersecurity-Awareness?

 

Sandra Aengenheyster möchte von Sascha Maier wissen: „Wie seid ihr während Corona mit den Herausforderungen in Bezug auf Cybersicherheit und Homeoffice umgegangen?“

 

Sascha Maier antwortet: „Wir haben Awareness schon lange betrieben, seit 10 Jahren. Wenn jemand mitten in der Pandemie damit angefangen hat, ist das schwierig, da die Leute mit anderen Themen beschäftigt waren. Die Challenge am Anfang der Pandemie war, die Leute zu erreichen. Viele Mitarbeiter mussten plötzlich ins Homeoffice, wir mussten auf Teams oder Skype umstellen, das war hektisch. Wir waren es bisher auch gewohnt, dass die Awareness-Aktivitäten in einem on- und offline-Mix durchgeführt wurden, also Newsletter und Lunch&Learn (physisch), das mussten wir auf online umstellen. Die Themen haben wir angepasst und spannender für die Leute daheim gestaltet. Wir haben angefangen zu bloggen, kurze Themenblöcke, die interessant sind, z.B. Tipps & Tricks für das Homeoffice und ein Livehacking durchgeführt. Wir haben festgestellt, dass wir die Frequenz unserer Aktionen erhöhen müssen, pro Aktion aber weniger Content verpacken. Awareness muss spannend sein, gut gemacht und gut erzählt, nicht nur einmal im Jahr ein Phishing schicken und die Leute mit E-Learning nerven.

 

Wie erhaltet Ihr Rückmeldung?

 

Sascha Maier erklärt: „Wir haben ein Social Intranet und sehen das an den Klickraten, Kommentaren und Fragen. Wir haben 10 Jahre Erfahrung und KPIs, wir wissen, was die Leute wollen. Emotionale Themen oder angesagte Themen gehen immer durch die Decke. Der Vorteil bei Lunch&Learn ist, dass wir keine physische Limitierung mehr haben und hohe Teilnahmezahlen bei den Online-Events haben. Wir werden das zukünftig sicherlich auf hybrid umstellen.“

 

Er ergänzt: „Bei vielen Firmen werden die Vorfälle verschwiegen, man redet nur hypothetisch darüber, das zieht nicht. Man muss transparent sein und über Vorfälle sprechen. Wir reden über Angriffe, Vorfälle, wir klären auf, warum das passiert ist, wir erzählen, was wir dagegen tun. Aber der Trick liegt auch darin, dass ich den Leuten Tipps und Tricks für ihre private Umgebung mitgebe. Wir zeigen, wie private Accounts abgesichert werden können. Wir laden Speaker, Hacker und Pentester ein, die dann den Leuten alles erklären.“

 

Warum haben immer noch so viele Menschen kein Grundlagenwissen, was Cybersecurity betrifft, Beispiel Passworte?

 

Christine Deger vermutet, dass viele Menschen Angst haben, Fragen zu stellen und sich mit der Technik auseinanderzusetzen. Generell sei das Thema auch nicht sehr attraktiv. Es werde immer als Bedrohung empfunden. Deshalb sei es toll, wenn das Thema attraktiv, greifbar und erlebbar gemacht wird. Auch in ihren Awareness-Trainings zeige sie den Mehrwert für den privaten Umgang mit Gefahren im Internet auf. Das sei ein Benefit, den die Menschen in ihren Alltag integrieren können.

 

Was sollten Unternehmen beim Onboarding von neuen Mitarbeitern beachten. Was sollen sie schulen und vermitteln?

 

Christine Deger antwortet: „Gut ist es, wenn Trainings vorhanden sind oder ein Blog, in dem man Sachen nachlesen kann. Für kleinere Unternehmen oder im Mittelstand empfehle ich ein Paten-Prinzip, eine Begleitung in der ersten Zeit. Jemand aus dem Team nimmt den neuen Mitarbeiter an die Hand, dieser kann Fragen stellen. Cybersicherheit muss integraler Bestandteil im Team sein und im Onboarding-Prozess, z.B. welche Policies gibt es, was sind die Dos and Dont’s.

 

Gibt es einen Unterschied in der Awareness für Mitarbeiter, die vor Ort sind und für Mitarbeiter im Homeoffice?

 

Christine Deger antwortet, dass es im Homeoffice noch mehr Dinge zu beachten gibt. Man sei leichter abgelenkt und man muss wissen, auf das Homeoffice bezogen, was man darf und was man besser unterlassen sollte.

 

Sascha Maier fügt hinzu: „Wir haben einen Welcome-Day, an dem die neuen Mitarbeiter durch alle Abteilungen geführt werden, auch durch unsere. Wir erklären dann in 15 Minuten, um was es geht mit coolen Beispielen, danach gibt es E-Learning.