Die aktuelle COVID-19 Pandemie-Situation ist für viele Unternehmen und vor allem deren Mitarbeiter herausfordernd. Dies gilt umso mehr für Schulungen, Weiterbildungen und Trainings, die von internen oder externen Experten durchgeführt werden. Darunter droht auch das immer wichtiger werdende Thema Security Awareness zu leiden, denn oftmals wird diese Art der Fortbildung per Frontalunterricht betrieben.

Aufgrund der sich stärker auf den Einzelnen ausrichtenden Cyber-Attacken muss sich ein Security Awareness-Trainer ein Stück weit neu erfinden, um seine Schüler zu erreichen und seine Trainings an die veränderte Arbeitsweise der Mitarbeiter und des Unternehmens anpassen. Zunächst gibt es zahlreiche zusätzliche Risiken, die eine veränderte Bedrohungslandschaft für Remote Worker mit sich bringt.

Dazu zählen Ablenkungen in der Homeoffice-Situation zum einen familiär bedingt, zum anderen aufgrund der eigenen intrinsischen Motivation, die letztlich zu einer hohen Anfälligkeit für Phishing führen. Fehlende soziale Kontrolle durch Mitarbeiter ist ebenfalls keine zu unterschätzende Fehlerquelle. Damit entsteht eine Nachlässigkeit bei der Einhaltung von Sicherheitsverfahren, es entsteht Langeweile aufgrund sozialer Isolation, die zu weniger Wachsamkeit führt. Im schlimmsten Fall führt das zu einer Vermischung von (vertraulichen) Unternehmensdaten in einem ungesicherten Homeoffice-Netzwerk.

Aktuelle Tipps für Homeoffice-Schulungen

Wenn also die veränderten Umstände des täglichen Arbeitens das Risiko erfolgreich gephisht zu werden sogar erhöht, dann muss sich ein Security Awareness-Trainer auf die neuen Gegebenheiten einstellen. Hier sind einige Tipps, mit denen sich auch Homeoffice-Mitarbeiter erreichen und letztlich mitnehmen lassen:

  • Bieten Sie Schulungen überall, jederzeit und auf jedem Gerät an.
  • Trainieren Sie Anhand von Beispielen, die die aktuelle Situation widerspiegeln.
  • Kombinieren Sie Unternehmenssicherheitsthemen mit Verbraucherthemen (beispielsweise Compliance aber auch das Thema Passwortmanager).
  • Schaffen Sie menschliche Interaktion und Engagement, indem Sie den Teamleiter oder die verantwortliche Führungskraft einbeziehen, um mit den Mitarbeitern über dieses Thema und das Training zu sprechen.
  • Verstehen Sie als Trainer die schwierigen Umstände der Situation und lassen Sie Nachsicht walten, wenn es nötig ist (aber stellen Sie sicher, dass sie die Schulung trotzdem durchführen).
  • Nutzen Sie ein Trainingsprogramm mit Zeitplänen und vorgegebenen Inhalten, damit der Anwender weiß, was von ihm erwartet wird und wann.
    Belohnen Sie den Benutzer (noch mehr als in einer normalen Situation) für seine harte Arbeit (arbeiten Sie mit der Personalabteilung zusammen, um ein Dankeschön in Form von Süßigkeiten, einem Care Paket oder ähnliches zu schicken).

Lerninhalte müssen abwechslungsreich sein

Ein anderer wichtiger Aspekt sind die Schulungsinhalte, denn im Vergleich zu Fokusgruppen, Frontalunterricht oder Fragestunden müssen die Materialien so aufbereitet werden, dass Mitarbeiter auch in der heimischen Umgebung neben der Arbeit und dem Privatleben sowohl genug Motivation als auch Konzentration aufbringen können. Die Powerpoint-Präsentation über ein Video-Konferenz-System geteilt, mit möglichst vielen Mitarbeitern zu einer festgesetzten Uhrzeit kann nicht die Lösung, sondern wird eher kontraproduktiv sein.

Deshalb sind abwechslungsreiche Inhalte wichtig, die von jedem Mitarbeiter zu seiner gewünschten Uhrzeit abgerufen und konsumiert werden können. Wichtig ist hierbei die Lernkontrolle, die über ein zentrales Portal erfolgt, damit die Lernziele auch individuell oder zumindest auf Team-Ebene verfolgt werden können. Hier geht es nicht darum Mitarbeiter zu gängeln, sondern zu erfassen, wer welche Inhalte angesehen, bearbeitet und die entsprechenden Tests wie bestanden hat. Im Zweifel müssen Wiederholungen und natürlich von Zeit zu Zeit Auffrischungen erfolgen, um einen möglichst gleichbleibenden Effekt zu erzielen.

Die Lerninhalte wiederum müssen sich mit Sicherheitsproblemen auseinandersetzen, mit denen die Mitarbeiter tagtäglich konfrontiert sind. Das beste Training bleibt in den Köpfen hängen, wenn es Spaß macht – auch der Gamification-Aspekt ist nicht zu unterschätzen. Wenn ein Mitarbeiter Kinder im Schulpflichtigen Alter im Home Schooling neben der Arbeit betreuen muss, macht es Sinn, Lerninhalte zur Verfügung zu stellen, die auch für die Kinder ansprechend aufbereitet und verständlich sind.

Gemeinsames Lernen fördert in diesem Fall das Verständnis der Informations- und IT-Sicherheit und macht Lust auf mehr und vermittelt ein positives Gefühl, dass das eigene Unternehmen die Lebenssituation verstanden hat, was wiederum positive Effekte auf die Motivation auf die eigentliche Arbeit hat. Andere Inhalte sind natürlich ähnlich der Inhalte, wie sie auch in einer Büroumgebung wichtig wären, so dass auch nach einer Rückkehr in die gewohnte Unternehmensumgebung das gelernte anwendbar bleibt.

Das Homeoffice, darin sind sich die Experten weltweit einig, wird bleiben. Damit muss klar sein, dass eine Umstellung der Vermittlung von Security Awareness dieser Entwicklung Rechnung tragen muss. Der Security Awareness-Trainer, der einmal im Jahr einen Frontalunterricht mit Fragestunde leitet, gehört der Vergangenheit an. Vielmehr geht es darum ein Programm mit abwechslungsreichen Inhalten zusammenzustellen und über eine zentrale Plattform auszuspielen.

Die Lernkontrolle lässt sich so individuell, auf Teams- oder Abteilungs-Ebene herunterbrechen und damit eine effektivere Steuerung des Security Awareness-Programms insgesamt erreichen. Nur dann lassen sich die Herausforderungen der Homeoffice-Situation und der sich stetig verändernden Cyberbedrohungslandschaft meistern und das eigene Unternehmen auch aus dem Homeoffice heraus schützen.

Jelle Wieringa ist Security Awareness Advocate bei KnowBe4.

KnowBe4