9 Tipps für mehr IT-Sicherheit: So sensibilisieren Sie Ihre Mitarbeitenden

Der Faktor Mensch ist die größte Sicherheitslücke, die Organisationen haben können. Denn: Die beste Sicherheitstechnik nützt nichts, wenn Mitarbeitende auf Phishing-Links klicken oder ihre Passwörter auf ein Post-it schreiben und an den Bildschirm heften.

Nicht ohne Grund sehen 75 % der Führungskräfte und Politiker:innen das größte IT-Sicherheitsleck im leichtfertigen Umgang von Mitarbeitenden mit Daten.

Umso wichtiger ist es, die Mitarbeitenden bei ihrem aktuellen Kenntnisstand abzuholen und sie praxisnah in den Bereichen, die sie tatsächlich für ihren Arbeitsalltag benötigen, zu sensibilisieren. So können Organisationen ein Bewusstsein für IT-Sicherheit und eine Akzeptanz der dafür benötigten Maßnahmen schaffen.

Doch wie gelingt die Sensibilisierung der Mitarbeitenden? Was gibt es zu beachten? Wir geben neun Tipps für mehr IT-Sicherheit. 

Um überhaupt zu wissen, zu welchen Themen Sie (priorisiert) schulen sollten, bietet es sich an, im ersten Schritt eine Bedarfsanalyse durchzuführen. Welchen spezifischen Bedrohungen und Risiken ist Ihr Unternehmen ausgesetzt? Und mit welcher Wahrscheinlichkeit treten diese ein?

Schauen Sie sich auch den aktuellen Kenntnisstand und das Bewusstsein Ihrer Mitarbeitenden für IT-Sicherheitsfragen an. Was wissen sie vielleicht schon? Und wo bestehen Lücken? Unter Umständen können Sie den Wissensstand auch mit einem Quiz abfragen. Um keinen Druck aufzubauen, kann das Quiz durchaus anonym sein. 

Auf Basis Ihrer Bedarfsanalyse können Sie im nächsten Schritt konkrete Ziele festlegen. Das kann z. B. die Reduzierung von Phishing-Angriffen, der Schutz von Passwörtern oder die sichere Handhabung von sensiblen Daten sein. Definieren Sie Ihre Ziele so konkret wie möglich. Dann können Sie im Laufe der Zeit überprüfen, ob und inwiefern Ihre Sensibilisierungsmaßnahmen zielführend sind.

Beziehen Sie Schulungen stets auf die jeweilige Situation – individuell je nach Zielgruppe und Organisation. Mitarbeitende in der Produktion benötigen beispielsweise andere Inhalte als die Personalabteilung. Thematisieren Sie daher vor allem, wie sich die jeweiligen Mitarbeitenden am Arbeitsplatz verhalten sollen, wo sie weiterführende Informationen, Richtlinien und Notfallpläne finden und an wen sie sich wenden können. Besprechen Sie außerdem, wie Ihre Belegschaft Sicherheitsvorfälle oder beispielsweise Phishing-Mails erkennen kann und wie sie damit umgehen soll. Hier sollten Sie auf Ihre organisationsspezifischen Prozesse und das konkrete Vorgehen im Arbeitsalltag eingehen.

Machen Sie zudem die jeweiligen Zwecke und Ziele der Maßnahmen klar. Wenn Mitarbeitende die möglichen Folgen von Cyberangriffen und Sicherheitslücken verstehen, entsteht ein Sicherheitsbewusstsein und sie sind eher bereit, die Maßnahmen auch im Arbeitsalltag umzusetzen. 

Nichts ist langweiliger als in einer Schulung zu sitzen und fünf Stunden am Stück einer Person bei einem Monolog über IT-Sicherheit zuzuhören. Und was viel schlimmer ist: So bleibt bei Ihren Mitarbeitenden von den Inhalten nichts hängen. Halten Sie daher Schulungen so kurz wie möglich und gehen Sie nur auf die jeweils relevanten Punkte – je nach Zielgruppe – ein. Für die Mitarbeiterin in der Fertigung sind nicht die gleichen Inhalte relevant wie für die Buchhaltung.

Versuchen Sie zudem, die Schulungen etwas „aufzupeppen“. Wie in vielen anderen Bereichen kann auch hier Gamification – also die Anwendung spieltypischer Elemente – helfen, Inhalte interessanter zu verpacken und so langfristiger im Gedächtnis zu verankern. Lassen Sie beispielsweise Ihre Mitarbeitenden in Teams bei einem Quiz gegeneinander antreten, simulieren Sie Phishing-Angriffe oder lassen Sie die Inhalte im Rahmen von einem Escape Room selbst erarbeiten.

Außerdem ist es wichtig, die „Sprache“ Ihrer Mitarbeitenden zu sprechen. Nicht alle verfügen über dasselbe Hintergrundwissen. Versuchen Sie, alle abzuholen und über- bzw. unterfordern Sie die einzelnen Mitarbeitenden dabei nicht. 

Vor allem bei Präsenzschulungen kann es sich unter Umständen anbieten, verwandte Themen wie Datenschutz oder die Wahrung von Betriebsgeheimnissen zu ergänzen. Achten Sie allerdings darauf, dass die Schulung nicht zu lang wird. Nach einer gewissen Zeit lässt die Aufnahmefähigkeit deutlich nach.

Aus den Augen aus dem Sinn – das gilt auch für Schulungsinhalte, wenn sie nur einmal gehört und dann nie genutzt werden. Sie sollten Ihre Mitarbeitenden also nicht nur bei Arbeitsbeginn, sondern auch danach in regelmäßigen Abständen schulen. Spätestens, wenn sich in Ihrer Organisation Änderungen in den Prozessen, Anwendungen oder Systemen ergeben, sollten Sie Ihr Team erneut schulen.

Am besten legen Sie einen spezifischen Turnus fest, in dem Sie Sensibilisierungs-Maßnahmen durchführen wollen. Halten Sie dies in Ihrem Sicherheitskonzept fest. 

Um die Zeit bis zur nächsten Schulung zu überbrücken und Inhalte wieder ins kollektive Gedächtnis zu rufen, können Sie zudem weitere Schulungsmaterialien einsetzen. Von regelmäßigen themenbezogenen E-Mails, über Poster, Selbsttests oder Spiele – Ihrer Kreativität sind keine Grenzen gesetzt. Wie auch die Schulungen selbst sollte das Material möglichst interessant gestaltet sein, damit die eigentlichen Inhalte besser hängen bleiben. Für einen möglichst großen Lernerfolg sollten Sie zudem die eingesetzten Materialien an Ihre Organisation sowie die jeweiligen Zielgruppen anpassen.

Erreichen Sie mit den aktuellen Sensibilisierungs-Maßnahmen die Ziele Ihres Sicherheitskonzepts? Was können Sie tun, um IT-Sicherheitsthemen noch besser zu vermitteln? Um das herauszufinden, sollten Sie Ihre Maßnahmen regelmäßig evaluieren und den Lernerfolg in Ihrer Belegschaft abfragen. Das können Sie beispielsweise durch Quizze oder Tests herausfinden. Außerdem sollten Sie Ihre Mitarbeitenden direkt fragen, wie sie die Maßnahmen bewerten und welche Verbesserungsvorschläge sie haben. Auf Basis dessen können Sie Ihr aktuelles Schulungs- und Sensibilisierungsangebot evaluieren und optimieren.

Achtung: Wenn Sie eine Leistungsüberprüfung durchführen möchten, sollten Sie bereits im Vorfeld die Personalvertretung einbeziehen. 

Alle Sensibilisierungs-Maßnahmen bringen nichts, wenn IT- und Datensicherheit nicht aktiv gelebt und vorgelebt werden. Führungskräfte und Teamleitungen sollten hier mit positivem Beispiel vorangehen. Auch sie sollten geschult werden und von Anfang an in den Sensibilisierungsplan eingebunden werden. Das zeigt den Mitarbeitenden, dass die Maßnahmen nicht sinnlos oder willkürlich sind und erhöht so die Akzeptanz. 

Auch für Führungskräfte gilt also: Sperren Sie immer Ihren Bildschirm, lassen Sie keine sensiblen Dokumente im Drucker liegen und heften Sie keine Zettel mit Passwörtern an Ihren Bildschirm.

Selbst hier gibt es Möglichkeiten, solch alltäglichen Maßnahmen spielerisch besser durchzusetzen. Gibt es beispielsweise Probleme damit, dass Mitarbeitende ihre Bildschirme nicht sperren, können Sie es zur Aufgabe der anderen machen, darauf zu achten. Werden Kolleg:innen „erwischt“, darf man in deren Namen eine Nachricht ins Intranet/den eigenen Teams-Kanal schreiben. Die Kolleg:innen, die nicht aufgepasst haben, müssen dann einen Kuchen für das gesamte Team backen. Solche vergleichsweise banalen Maßnahmen können die Awareness in der Belegschaft deutlich erhöhen. 

Im ersten Schritt ist das Aufsetzen eines umfassenden Sensibilisierungsplans aufwendig und frisst Zeit und personelle Ressourcen. Auf lange Sicht kann die Sensibilisierung von Mitarbeitenden allerdings dazu beitragen, organisationsinterne Sicherheitslücken zu schließen und das Risiko von Sicherheitsvorfällen nachhaltig reduzieren.

Vorausgesetzt, Sie gehen auf die individuellen Bedürfnisse Ihrer Organisation und vor allem Ihrer Mitarbeitenden ein. Je relevanter und interessanter die Inhalte für die einzelnen Zielgruppen sind, desto eher bleiben sie hängen und desto wahrscheinlicher werden die Maßnahmen auch im Arbeitsalltag umgesetzt. 

Bundesamt für Sicherheit in der Informationstechnik (2022): „IT-Grundschutz-Kompendium“, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2022.pdf?__blob=publicationFile&v=3#download=1.

Bundesamt für Sicherheit in der Informationstechnik (o. J.): „3 Tipps für mehr IT-Sicherheits-Awareness“, Allianz für Cyber-Sicherheit, https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Faktor-Mensch/Awareness/3-Tipps-fuer-mehr-IT-Sicherheits-Awareness/3-tipps-fuer-mehr-it-sicherheits-awareness_node.html, letzter Zugriff am 12. Juli 2022.

Nier, Hedda (2017): „Sicherheitsrisiko Mitarbeiter“, Statista, 18. Dezember 2017, https://de.statista.com/infografik/12314/groesste-it-risikofaktoren-in-unternehmen/, letzter Zugriff am 12. Juli 2022.