Brot und Spiele – das gilt auch bei der IT-Security-Fortbildung

Technologie

Der November ist in vielen Ländern der Welt „National Cyber Security Awareness Month“ (NCSAM),  und auch in Deutschland bekommt die Aktion immer mehr Anhänger. Das offizielle Motto ist „Our Shared Responsibility“, also geteilte Verantwortung. Das klingt zwar im ersten Moment etwas banal, aber gerade daran hakt oftmals die Kommunikation zwischen IT-Sicherheitsexperten und den Nutzern. Immer wieder hört man Geschichten, in denen die Angestellten die IT- oder Sicherheitsabteilung als Gegner Nummer 1 am Arbeitsplatz sehen. Dann ist es dringend Zeit, die Inhalte von Trainingseinheiten, Präsentationen oder Infomails zu überdenken und  genau jene im NCSAM beworbene, geteilte Verantwortung in den Vordergrund zu schieben.

Nehmen wir einmal an, Sie müssen ein Training darüber abhalten, wie Mitarbeiter Malware bekämpfen können. Klassischer Weise tauchen dann folgenden Fragen auf und werden mehr oder weniger gut beantwortet: Was ist Malware? Welche Varianten gibt es? Wo kommt Malware her? Wie kann einer Infektion vorgebeugt werden? Versetzten Sie sich nun in einen Kursteilnehmer, der wahrscheinlich schon zum wiederholten Male dabei ist und folglich nur wenig Motivation mitbringt. Ihn erwartet eine weitere, staubtrockene Abhandlung über Malware und die unvermeidliche To-Do-Liste, um die Sicherheitslage im Unternehmen zu verbessern. Mal ehrlich: Hier springt für die Teilnehmer so gut wie Nichts heraus und als reiner Informationsempfänger wir er auch keinerlei Verantwortung übernehmen.

Wie wäre es stattdessen mit folgendem Trainingsansatz, der das Ganze etwas unterhaltsamer verpackt und zugleich Verantwortung verteilt: Ziehen Sie das Training als Walkthrough durch eine reale oder zumindest simulierte Malware-Attacke auf Ihr Unternehmen durch. Während diese „Anatomy of an Attack“ können Sie kurz erklären, was die IT tut, um den einzelnen Stadien der Attacke vorzubeugen (z.B. die Installation eines Web-Filtering-Systems, um Drive-by-Downloads zu verhindern) und wo in diesen Segmenten der Anwender helfen kann (z.B. unbekannte Dateien nicht einfach zu öffnen).

Die Trainingserfahrung wird höchstwahrscheinlich auf diese Weise ein ganz andere sein, da den Teilnehmern etwas Neues und vor allem kein trockener Stoff präsentiert wird – eine reale Attacke weckt sehr viel mehr die Neugier als das Dozieren aus einem angestaubten Virenkompendium. Durch das Einbinden in aktuelle Sicherheitsvorkehrungen wächst zudem das Verantwortungsbewusstsein, und die sonst abstrakten Regeln werden in einen praktischen Kontext gesetzt. Letztendlich haben wir Menschen alle eine soziale Triebfeder – es hilft also weitaus mehr, die „Wir schaffen das alle gemeinsam“-Schiene als die „Das wird jetzt so gemacht, weil ich es sage“-Schiene zu fahren. Probieren Sie es doch mal aus!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.