[datensicherheit.de, 23.08.2021] KnowBe4, Anbieter einer weltweit verfügbaren Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, hat anlässlich des Cybersecurity Awareness Month im Oktober ein Ressourcenpaket veröffentlicht.

Kostenlose Schulungsvideos

Das KnowBe4-Ressourcenpaket für den Cybersecurity Awareness Month enthält einen Leitfaden für das Paket und Kampagnenideen, die IT-Administratoren den Einstieg erleichtern. Zudem einen wöchentlichen Schulungsplan, zwei kostenlose Schulungsvideos, Infografiken, Tippblätter und Desktop-Hintergründe. Die beiden kostenlosen Schulungsvideos – „Your Role: Internet Security and You“ und „2021 Social Engineering Red Flags“ – sind in verschiedenen Sprachen verfügbar.

Foto: KnowBe4

„Diese Cybersecurity-Ressourcen, die wir IT-Administratoren anbieten, sollen sie bei ihren Schulungsplänen und anderen Initiativen zur Förderung des Sicherheitsbewusstseins im Oktober unterstützen“, sagt Stu Sjouwerman, CEO von KnowBe4. „Böswillige Akteure lassen bei ihren Angriffen auf alle Bereiche – von kritischen Infrastrukturen bis hin zu kleinen Unternehmen – nicht nach. Daher müssen Unternehmen ihre Mitarbeiter schulen, indem sie sie über die neuesten Bedrohungen und Angriffsvektoren aufklären. Der Cybersecurity Awareness Month ist eine Initiative, bei der wir unsere Bemühungen auf den Monat Oktober konzentrieren können, während wir gleichzeitig das ganze Jahr über unsere Organisationen besser schützen.“

Motto des Cybersecurity Awareness Month 2021: „Do Your Part. #BeCyberSmart“

Das Thema des diesjährigen Cybersecurity Awareness Month 2021 der National Cybersecurity Alliance lautet „Do Your Part. #BeCyberSmart“. Das Thema soll Einzelpersonen und Organisationen ermutigen, eine entscheidende Rolle beim Schutz ihres Teils des Cyberspace zu spielen. Jeder kann seinen Teil dazu beitragen, unsere vernetzte Welt für alle sicherer und widerstandsfähiger zu machen, indem er stärkere Sicherheitspraktiken einführt, das Bewusstsein der Gemeinschaft schärft, gefährdete Zielgruppen aufklärt oder Mitarbeiter schult.

Weitere Informationen zum Thema:

KnowBe4
Ressourcenpaket für den Cybersecurity Awareness Month 2021

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt

Von unserem Gastautor Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

[datensicherheit.de, 14.06.2019] Es gibt in der Cybersicherheit etwas, das sich nicht lernen lässt, schon gar nicht durch irgendwelche Online-Kurse: Erfahrungswerte. Im Allgemeinen werden Meetings, Webinare, Mittagessen und Lernen, Teamaktivitäten oder sogar alltägliche Interaktionen mit einer Technologie als ereignisbasierte Erfahrung betrachtet. Der Schlüssel ist, dass dies Situationen sind, in die Menschen ein- und aussteigen.

Besprechungen, Präsentationen und Lunch-and-Learnings

In der Regel gibt es keinen Bildschirm, der den Referenten von den Teilnehmern trennt. Die Formate sind offener und interaktiver, so dass im Veranstaltungsraum ein größeres Gefühl von Emotion und geteilter Empathie entsteht. Inhalte wie Erfahrungen können direkt geteilt werden, aber der Referent hat auch den Vorteil, dass er direkt mit seinem Publikum interagiert. Dies kann dazu beitragen, ein Vertrauensverhältnis zwischen den Mitarbeitern und dem IT-Sicherheitsteam zu fördern. Dies sind großartige Foren zum Geschichten erzählen, Fragestunden, Austausch über aktuelle Themen und vieles mehr.

Bild: KnowBe4

Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

Gespräche mit Referenten sind immer gut, aber nicht immer notwendig. Eine Führungskraft aus dem eigenen Unternehmen kann auch darüber referieren, wie wichtig die IT-Sicherheit für den Erfolg des Unternehmens ist. Darüber hinaus können IT-Sicherheitsmitarbeiter kurze Vorträge über Sicherheitsvorfälle halten, die entweder erfolgreich waren und in der Öffentlichkeit präsent sind oder aber eigenen, die das Team vereiteln konnte. Das Wichtigste bei alledem ist, die Menschen einzubeziehen.

Der Vorgesetzte kann (und sollte) auch Wege finden, Sicherheitsereignisse und -themen in regelmäßig stattfindende Meetings zu integrieren, an denen er oder sie möglicherweise nicht selbst teilnehmen kann.

Tabletop-Übungen

Tabletop-Übungen (TTXs) sind äußerst flexibel. Tabletop-Übungen können ganz einfach erstellt werden. Sie dauern zwischen ein paar Minuten bis hin zu einem ganzen Tag. Im Wesentlichen handelt es sich dabei um Denkübungen, die um ein „Was wäre wenn“-Szenario herum aufgebaut sind.

Einer der besten Vorteile eines TTX ist, dass er es den Mitarbeitern ermöglicht, ihre Reaktionen auf Szenarien zu einem Zeitpunkt zu üben, an dem die Anforderungen nicht hoch sind. Ihre Reaktionen und Antworten können untersucht werden, und die Trainer oder Führungskräfte können entscheiden, wie sie die Trainings-, Nachrichten- und Spielbücher am besten ergänzen können, basierend auf was sie gesehen und gehört haben.

Innerhalb von nur wenigen Minuten auf Google, merkt man, dass es eine Menge guter Ressourcen gibt, wie man Tabletop-Übungen erstellt. Und viele von ihnen kommen aus dem Bereich der Notfallvorsorge, weil dieser Bereich immer wieder Pläne und Prozesse entwickeln muss, wie man mit dem nächsten großen „Was wäre wenn“ umgehen kann. Trainer und Führungskräfte können diese Materialien als Modell für die Erstellung personalisierter Cybersicherheits- und physischer Sicherheitsszenarien verwenden.

Rituale

Rituale existieren, um die Kulturen des Unternehmens zu verkörpern und zu erhalten, kann es von Vorteil sein, einen Teil der sicherheitsrelevanten Botschaften oder Aktivitäten in vorher festgelegte Unternehmensrituale zu integrieren. Wenn jeden Morgen ein Treffen stattfindet, sollten Anstrengungen unternommen werden, um Sicherheitsupdates zu integrieren. Rituale dienen auch dazu, organisatorische Werte wie den Service zu kodifizieren. Kann ein Security Messaging in bereits bestehende Service-Rituale integriert werden? Oder könnten vielleicht sogar neue Rituale geschaffen werden, die sich an populären Ritualen innerhalb des Unternehmens orientieren?

Spiele

Sicherheitsthemenspiele sind gut geeignet, um den Mitarbeitern zu helfen, Sicherheitsthemen durch eine andere Perspektive zu betrachten. Die lustigen, herausfordernden und variablen Belohnungen, die mit Spielen verbunden sind, helfen komplexe Botschaften zu transportieren. Beispiele für Spiele können computerbasierte oder physische Spiele wie Gefahrenerkennung, Rätsel lösen, Kartenspiele mit Szenarien und so weiter sein. Vor allem aber sollen die Spiele Spaß machen, aus dem Alltäglichen gemacht werden und lohnend sein.

Dies sind nur einige wenige Beispiele, wie man so etwas wie Erfahrungen anderer Dritter nutzen kann, um die Sicherheitskultur in einem Unternehmen positiv zu beeinflussen. Auf Grundlage der Organisationskultur können Wege gefunden werden, um immersive, ansprechende Erfahrungen zu schaffen, die bei den Mitarbeitern ankommen und sie in eine menschliche Firewall verwandeln.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2019
Kulturträger: Wege das Sicherheitsbewusstsein im Unternehmen zu stärken

datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

Von unserem Gastautor Perry Carpenter, Chief Evangelist & Strategy Officer bei KnowBe4

[datensicherheit.de, 15.04.2019] Bei der Bemühung im Unternehmen eine Verhaltensveränderung auf Seiten der Mitarbeiter herbeizuführen, gibt es verschiedene Möglichkeiten diese zu einer Art menschlichen Firewall zu trainieren. Doch das ist erst der erste Schritt. Ein weiterer Schritt ist das Konzept der Kulturträger.

In einem organisatorischen Kontext ist ein Kulturträger: „Jemand, der die Unternehmenswerte genau kennt und eine intelligente Diskussion darüber führen kann, warum das Unternehmen tut, was es tut. Sie sind Botschafter ihres Unternehmens und setzen sich mit Leidenschaft für die Förderung der Unternehmenswerte im täglichen Umgang mit Kunden und Mitarbeitern ein.“ Eine Möglichkeit, den Einfluss von Sicherheitswerten zu erhöhen, besteht darin, Kulturträger zu nutzen.

Konzept der Kulturträger effektiv

Das Konzept der Kulturträger ist effektiv, weil es skalierbar und kostengünstig ist, aus hoch engagierten Personen besteht und Unternehmen im Wesentlichen ihr eigenes Kommunikationsnetzwerk aufbauen. Verantwortliche sollten darüber nachdenken – anstatt nur eine Person zu haben, die eine Nachricht überbringt, haben sie viele im gesamten Unternehmen, die helfen, diese Nachricht zu verstärken. Auch die finanziellen Kosten sind minimal, um diese Art von Programm umzusetzen: Die größten Kosten sind natürlich der Zeitaufwand. Diese Botschafter verstehen sowohl die Herausforderungen als auch die Kulturen ihrer Abteilungen und machen ihre Kommunikation mit ihnen viel effektiver als die Kommunikation von jemand anderem.

In vielerlei Hinsicht schaffen Unternehmen bei der Entwicklung von Kulturträgern ein eigenes Kommunikationsnetzwerk. Nicht nur, dass diese wichtigen Informationen in der gesamten Organisation weitergeben, die das Unternehmen verbreiten möchte, sondern sie sammeln auch wichtige Informationen von den Trägern.

Bild: KnowBe4

Kulturträge sind Surround-Soundsysteme

Kulturträger können mit einem Surround-Soundsystem verglichen werden. Eine Stereoanlage ist relativ einfach, sie leitet den Klang von vorne auf den Hörer zu. Eine Stereoanlage ist wie die Arbeit von oben nach unten in einem Unternehmen. Mit einer einfachen Stereoanlage können sie das Gefühl haben, dass der Klang gerade auf den Hörer zukommt. Wenn jedoch einige Komponenten des Surround-Sounds hinzugefügt werden, verbessert sich das gesamte Hörerlebnis. Große Surround-Soundsysteme geben einem das Gefühl, dass man in den Klang eingetaucht ist, im Gegensatz zu dem Klang, der gerade auf den Hörer zukommt.

Kulturträger sind wie Surround-Sound-Lautsprecher. Wenn Unternehmen Surround-Sound haben, werden die Botschaften, Werte und Verhaltensweisen von mehreren Punkten aus verstärkt, was zu einem immersiven Erlebnis führt.

Unternehmen sollten einen Moment darüber nachdenken, wie die Idee eines Kulturträgers in einem Sicherheitskontext aussehen könnte. Sie müssen sich vorstellen, in der Firma gibt es Gruppen von Personen in Regionen, Abteilungen und auf allen Ebenen des Unternehmens, die die Sicherheitswerte genau kennen und positives Sicherheitsverhalten modellieren; sie können diskutieren, warum diese Werte und Verhaltensweisen relevant und wichtig sind. Unternehmen sollten sich dann vorstellen, wie die Kraft und der Einfluss sein könnten, den sie mitbringen würden. Wenn daran investiert wird, die Unternehmenswerte zu fördern, mit anderen Menschen zu interagieren, Projekte zu unterstützen, Neueinstellungen zu begleiten und anderen Mitarbeitern in ihrer Umgebung zu helfen. Diese Gruppe von Mitarbeitern wird zu einem Kraftmultiplikator für andere Mitarbeiter und das größere Unternehmen.

Kulturträger als Vorbilder für Security Awareness

Indem sie die Kultur auf diese Weise verbreiten, schafft das Security Awareness-Programm einen kritischen Rahmen für Nachhaltigkeit. Die verteilte Natur der Kulturträger ermöglicht es, dass Sicherheitsinhalte und -werte verschiedene Abteilungen und Regionen des Unternehmens erreichen. Das System von Kulturträgern und die Methoden, mit denen Unternehmen deren Wert und Unterstützung anerkennen, sind alles Faktoren für ihre Nachhaltigkeit.

Diese Gruppe von Kulturträgern, Botschaftern oder wie auch immer man sie nennen möchte, sollten von allen Ebenen des Unternehmens und in so vielen Abteilungen und Regionen wie möglich kommen, um die Verbreitung und Diversifizierung ihrer Sicherheitsnachrichten deutlich zu unterstützen. Menschen können sich bewerben, um Kulturträger zu werden, Manager können nominieren, andere Mitarbeiter können nominieren oder Umfragen können helfen, einflussreiche Personen zu identifizieren. Im Idealfall sollten Sicherheitskulturträger bereits respektiert und einflussreiche Personen innerhalb der Abteilungen und Peer-Gruppen sein. Dieses Konzept ist am effektivsten, wenn die Personen wirklich an das Programm glauben.

Fazit

Es ist auch wichtig, Anreize mit den Erfolgen des Programms zu verknüpfen. Unternehmen sollten überlegen, was sie tun können, damit sich ihre Kulturträger besonders und geschätzt fühlen. Dass muss keine monetären Belohnungen bedeuten – es kann Anerkennung, das Gefühl, über Insiderwissen zu verfügen, usw. sein. Die wichtige Sache ist zu erkennen, dass die Kulturträger ihnen einen wertvollen Dienst erweisen, und deshalb sollten sie ihnen einen gewissen Wert zurückgeben. Insgesamt sind Kulturträger eine der effektivsten Kommunikationstaktiken, um die Kernbotschaften eines Security Awareness-Programms zu verbreiten. Sie sind eine Verstärkung der Botschaft. Unternehmen und Sicherheitsverantwortliche sollten diesen entscheidenden Schritt bei der Entwicklung eines effektiven Security Awareness-Programms nicht übersehen, sondern für sich ausnutzen.

Weitere Informationen zum Thema:

datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen