Wie Sie Security Awareness Training zur Chefsache machen

Dieser Post basiert in weiten Teilen auf dem Whitepaper “Obtaining and Maintaining Executive Support for Security Awareness Training Programms“.

Damit Maßnahmen zur Cybersicherheit in Unternehmen effektive Verbesserungen herbeiführen können, muss die Sicherheit zur Chefsache gemacht werden. Dies gilt insbesondere auch für Awareness Maßnahmen, die Risiken aus menschlichen Verhaltensweisen adressieren.

Für die Effektivität von Cybersicherheitsmaßnahmen ist das Engagement der Geschäftsführung entscheidend, insbesondere wenn es um Awareness-Maßnahmen geht. Ein bloßes Budget reicht nicht; die Leitung muss sich aktiv beteiligen, um die Unternehmenskultur und das Wertesystem anzupassen. Dies beeinflusst die gesamte Organisation, nicht nur die finanziellen Aspekte.

Führungskräfte sind Vorbilder und ihre Verhaltensweisen beeinflussen die gesamte Belegschaft. Daher sollte die Geschäftsführung die Sicherheitsinitiativen nicht nur unterstützen, sondern auch vorleben. Dies fördert eine Kultur der Wachsamkeit und Verantwortung.

Die Wirkung der Maßnahmen ist oft langfristig und nicht sofort im Betriebsergebnis sichtbar. Ein umfassendes Verständnis der Geschäftsführung für die Ziele und den Zeithorizont der Sicherheitsmaßnahmen ist daher für ihren Erfolg unerlässlich. Nur so kann eine nachhaltige Sicherheitskultur etabliert und die allgemeine Sicherheit der Organisation verbessert werden.

Wie diskutiert die Geschäftsführung untereinander?

Sehr wahrscheinlich wird der Security Awareness Experte oder gar Informationssicherheitsbeauftragte nicht immer im Raum sein, wenn die Leitung die Notwendigkeit der Maßnahme diskutiert. Bei der Vorbereitung der Präsentation gilt es, die folgenden Fragen zu beantworten:

• Storytelling – Wie erklärst Du und rechtfertigst Du Investitionen in die Security Awareness? Welche Kernideen soll die Leitungsebene mit dem Programm in Verbindung bringen?
• Bist Du Dir der Notwendigkeit für das Security Awareness Programm selber bewusst? (Formuliere Deine Antwort aus)
• Hast Du eine schlüssige Story und zeigst einen klaren Mehrwert auf? (Macht die Story für Dich selber Sinn?)

Überlasse nichts dem Zufall. Biete keinen Interpretationsspielraum. Vermittle klar Botschaften und vereinfache die Zahlen, Graphen und Folien so weit irgendwie möglich. Die Leitungsebene wird von Informationen immerzu überflutet.

Dabei kommt es auf die richtige Geschichte an

Der Schlüssel liegt in der richtigen Erzählung. Fokus auf die Story, nicht nur auf Daten und Zahlen. Veranschauliche die Wichtigkeit von Security Awareness Training durch eine eingängige Geschichte, die SAT als unverzichtbaren Pfeiler der Cybersicherheitsstrategie deiner Organisation positioniert.

Zahlen und Fakten sollten immer im spezifischen Kontext des Unternehmens präsentiert werden. Ohne diesen Kontext verlieren sie ihre Bedeutung. Lasse keinen Raum für alternative Interpretationen, damit die Entscheidungsträger ein klares und unverfälschtes Bild der Situation erhalten.

Folgender Drei-Schritt hilft, die Argumente zu strukturieren.

• Was? – alle Zahlen und Statistiken in der Präsentation müssen auf zwei Wegen interpretierbar sein
  • Was folgt? – Was bedeutet die Zahl?
  • Was tun? – Welche Schritte folgen aus der Zahl?

Konzentriere dich auf die Kernaussage deiner Geschichte. Obwohl Grafiken, Charts und Folien hilfreich für die Illustration sein können, sollte die zentrale Botschaft stets im Vordergrund stehen. Formuliere diese deutlich und unmissverständlich. Andernfalls besteht die Gefahr, dass Entscheidungsträger die vorbereiteten Informationen vor dem Meeting überfliegen, annehmen, sie hätten die Essenz bereits erfasst, und eine Entscheidung fällen, bevor du deine Präsentation überhaupt begonnen hast. Beantworte die Frage nach der Moral der Geschichte klar und wiederholt.

Die Aufmerksamkeit des Executive Team bekommen

1. Um die Unterstützung des Executive Boards für Security Awareness Training zu erhalten, sollten die Vor- und Nachteile im Kontext ihrer persönlichen Ziele dargelegt werden.
   • Negative wie auch positive Nachrichten können hierbei wirksam sein. Auf der negativen Seite könnten Argumente wie potenzieller Reputationsschaden, das Risiko von Mitarbeiterabwanderung oder sogar persönliche Haftungsfragen bei mangelhafter Cybersicherheit ins Feld geführt werden. Dies sind Aspekte, die jede Führungsperson direkt betreffen und die ein hohes Gewicht in der Entscheidungsfindung haben können.
   • Auf der positiven Seite stehen Verbesserungen, die durch ein gut durchgeführtes Security Awareness Training erzielt werden können. Dazu gehören die Steigerung der organisatorischen Resilienz gegenüber Sicherheitsvorfällen, die Schaffung einer positiven Arbeitsumgebung durch gestärktes Sicherheitsbewusstsein und letztlich auch die gesteigerte Produktivität durch weniger sicherheitsbedingte Ausfälle.
   • Der Schlüssel zum Erfolg liegt darin, diese Vorteile und Konsequenzen in Beziehung zu den persönlichen Zielen der Mitglieder des Executive Boards zu setzen. Wenn es gelingt, den konkreten Mehrwert des Security Awareness Trainings im Kontext ihrer individuellen Anliegen und Ambitionen deutlich zu machen, erhöht dies die Wahrscheinlichkeit, dass sie das Programm aktiv unterstützen und fördern.
2. Eine klare Kommunikation ist entscheidend, um die Führungsebene für Security Awareness Training zu gewinnen. Zeige direkt auf, wie die Trainingsmaßnahmen den Zielen der Executives dienen – sei es bei der Umsetzung organisatorischer Maßnahmen, neuen Projekten oder der Erfüllung regulatorischer Anforderungen. Je mehr Berührungspunkte es zwischen den Trainingsergebnissen und den Unternehmenszielen gibt, desto höher ist die Wahrscheinlichkeit, dass die Führungsebene das Programm unterstützt.
3. Nutzen Sie klare Messwerte und packendes Storytelling, um die Dringlichkeit eines Security Awareness Trainings zu unterstreichen. Erklären Sie, welche Kennzahlen wichtig sind und wie sie zur “Moral der Geschichte” beitragen, zum Beispiel: “Untätigkeit könnte zu Reputationsverlust führen.” Verwenden Sie Emotionen gezielt und transparent, ohne zu Manipulation oder übermäßigem Einsatz von Angst, Unsicherheit und Zweifel zu greifen.

Weitere Herausforderungen

Überzeugung durch Personalisierung

Die Geschäftsführung selbst ist ein attraktives Ziel für Cyberkriminelle. Ein persönlicher Ansatz kann dabei helfen, die Führungsebene von der Notwendigkeit einer verbesserten Cybersicherheit zu überzeugen. Folgende Beispiele dienen der Illustration:

• CFO – Ist an einer Risikoreduzierung und einer damit verbundenen Kosteneinsparungen interessiert.
• CHRO – Ist am Wohl der Mitarbeitenden interessiert. Hier gilt es um langfristige Bindung und Kündigungen aus Scham zu vermeiden.
• CEO – Strategische Ausrichtung und Geschäftsfähigkeit. Die Person Ist für die Unternehmenskultur verantwortlich und muss die Sicherheitskultur tragen.

Unterschiedliche Wahrnehmung

Business und IT haben oft unterschiedliche Sichtweisen auf Cybersicherheit. Während die Geschäftsseite sie als notwendigen Kostenfaktor sieht, betrachtet die IT sie oft nur als Compliance-Aufgabe.

Geschäftsführung bevorzugt Resilienz

Nach aktuellen Studien scheut sich die Geschäftsführung davor, sicherheitsrelevante Entscheidungen zu treffen und delegiert diese lieber. Zudem spricht die Leitung eher über Resilienz als über Verteidigung. Ein vertrauensvolles Verhältnis zum Informationssicherheitsbeauftragten oder CISO muss das Ziel sein.

Für ein kontinuierliches Engagement mit der Leitungsebene

Um die Aufmerksamkeit des Teams zu erhalten, können die folgenden Maßnahmen ergriffen werden.

• Den Bezug zu Compliance/Regulatorischen Anforderungen – Industrie und Landesweite Regulierungen herstellen
• Meldungen zu ähnlichen Organisationen hervorheben. Erkennt die Leitung den Ernst der Lage im Kontext der eigenen Verantwortung, ist die Unterstützung gesichert.
• Verbindungen zu Standards und Regularien aufzeigen – Es ergeben sich Bezugspunkte zu IT-Grundschutz, ISO270001, NIST und/oder anderen Industriestandards.

Rechtliche Aspekte und Fürsorgepflicht:

• Die Geschäftsleitung ist durch nationale und europäische Gesetze wie die NIS2-Richtlinie rechtlich zur Cybersicherheit verpflichtet. Geschäftsführer in NIS2 regulierten Unternehmen haften zudem persönlich.
• Die Geschäftsführung hat eine Fürsorgepflicht gegenüber den Mitarbeitern, die auch die Cybersicherheit umfasst.
• Aus der DSGVO lässt sich ebenfalls die Notwendigkeit zur Mitarbeiterschulung ableiten. Security Awareness Training ist eine technische und organisatorische Maßnahme zum Schutz personenbezogener Daten, für deren Durchführung eine persönliche Verantwortung der Geschäftsleitung im Gesetz verankert ist. Unter Umständen kann daraus sogar eine persönliche Haftung der Geschäftsleitung entstehen.¹“Nach objektiven Sorgfaltsmaßstab ist es den Organen und Aufsichtsräten bzw. Beiräten untersagt, sich mit der mangelnden Fähigkeit zur Verhinderung von Social Engineering-Angriffen zu entschuldigen. Dies widerspricht der Sorgfalt eines ordentlichen Geschäftsmannes einer Gesellschaft mit beschränkter Haftung (GmbH) nach § 43 Abs. 1 GmbHG bzw. nach § 93 Abs. 1 AktG bei Aktiengengesellschaften sowie Kommanditgesellschaften auf Aktien der Sorgfaltspflicht der Vorstandsmitglieder. Eine Aufklärungspflicht zur präventiven Verhinderung von Gesetzesverstößen wird abgeleitet aus § 130 Gesetz über Ordnungswidrigkeiten, bei Kapitalgesellschaften aus §§ 76, 93 Aktiengesetz bzw. § 43 Gesetz betreffend die Gesellschaften mit beschränkter Haftung. Bei Nachlässigkeit kann unter Umständen nach § 93 Abs. 2 Aktiengesetz ein persönliches Haftungsrisiko für die Führungsebene gegenüber der Gesellschaft entstehen.[2]  Zum Ausschluss dieses Risikos ist es notwendig, die Mitarbeitersensibilisierung zum Social Engineering nicht weiter stiefmütterlich zu behandeln.” – https://www.datenschutz-notizen.de/social-engineering-pflichten-der-geschaeftsfuehrung-und-des-betriebsrats-4519034/

Verwende smarte Ziele

Ein Plan ist nur dann gut, wenn er auch in die Tat umgesetzt werden kann. Dies gilt es gegenüber der Leitung zu beweisen. Eine klar kommunizierte Intention zur Umsetzung mit klarer Struktur und geplanter Vorgehensweise steigern die Erfolgschancen.

Dazu gilt es messbare Ziele zu verwenden und Frameworks zur Erfolgskontrolle heranzuziehen. Der Fortschritt wird greifbar und messbar. Das Vorhaben somit für die Leitungsebene tragbar.

Zielsetzungen sollten möglichst smart sein:

• Specific – spezifisch
• Measurbale – messbar
• Actionable – umsetzbar
• Relevant – relevant
• Tme-keyed – zeitlich begrenzt

Beispiel

Zum Beispiel, “wir wollen die Phish-Prone Percentage in den nächsten 3-4 Monaten von 30% auf ca. 15% senken”.

Zeige den Bezug zu den Zielen der Organisation auf

Viele Organisationen verwenden Objective and Key Results (OKR) als Framework. Viele Entscheidungsträger sind damit vertraut und verstehen den Mehrwert. Somit sprichst du ihre Sprache. OKR setzen spezifische Ziele, die anhand verschiedener Kernergebnisse gemessen werden können.

OKR Beispiel

Objective (O): Die Durchfallquote für Phishing Tests in den nächsten 12 Monaten von 22% auf 2% reduzieren

• Key Result (KR): Baseline Test um den Status Quo zu bestimmen
• Key Result (KR): Mit den zuständigen Teams die Tests planen
• Key Result (KR): Just-in-time Training mit den Tests verbinden, sodass schnelle Follow-Ups erfolgen können
• Key Result (KR): Auf Mitarbeitergruppen fokussieren, die beständig schlechter abschneiden
• Key Result (KR): Entwickle Gamifizierung, Erfolgsvergütung und Anerkennungsprogramme für positive Energie und positiven sozialen Zwang

Brainstorming für Management Support

Jeder Executive arbeitet und denkt anders. Du brauchst einen Plan für jede Person. Verstehe, was die Person motiviert, was ihnen wichtig ist und was ihrem Verantwortungsbereich hilft. Verstehe den Mehrwert der Maßnahme für den Geschäftsbereich und wie du ihnen helfen kannst diesen Mehrwert zu erreichen. Nutze die Gelegenheit, um den Personen das Thema Cybersicherheit näherzubringen und persönlichen Rapport zu bilden.

Dabei ist es insbesondere auch wichtige, existierende Bedenken aufzugreifen und Frage zu beantworten. Darauf basierend kann eine Übersicht erstellt werden.

Beispielhafte Tabelle mit Informationen zur Cybersicherheit

• Name
• Titel und Geschäftsbereich
• Primäre Motivatoren und Bedarfe
• Potentielle Bedenken, Fragen etc.
• Vorteile für den Geschäftsbereich
• Vorteile für den Executive
• Weitere Notizen und Kommentare

Schlussfolgerung

Um die Leitungsebene von der Notwendigkeit des Security Awareness Training zu überzeugen, müssen die folgenden Punkte kommuniziert und adressiert werden.

• Sicherheit muss als Prozess verstanden werden – es ist eine fortlaufende Maßnahme, um die Herausforderungen des Risikofaktors Mensch zu adressieren. 
• Zeitlicher Aufwand und konstantes Engagement sind notwendig – die Erfolge werden sich dann mit der Zeit einstellen. Es geht um kulturelle Veränderungen, die Geduld erfordern
• Storytelling und Analogien sind sehr starke Methoden, um Menschen zu überzeugen – Zum Beispiel werden sich regelmäßige Investitionen langfristig auszahlen, analog zum Gewinn durch Zinseszinsen. Einmalige Investitionen sind wie Lotterietickets. Sie führen in der Regel zu Verlusten.
• Resultate müssen zielspezifisch und messbar sein. Beispielsweise kann die Phish Prone™ Percentage verwendet werden. Weitere Informationen aus existierenden Systemen eignen sich auch, um andere Verhaltensweisen mit Statistiken zu erheben.
• Konsistenz ist der Schlüssel. Sei ein realistischer Optimist. Spreche über die Vorteile, diskutiere diese auf einem individuellen Level, erzähle Geschichten und spreche über die langfristigen Vorteile des Programms.

Nachtrag praktischer Hinweise

Eine Initiative zur Security Awarenes steht auch immer im Kanon übriger Sicherheitsmaßnahmen. Daher müssen weitere Punkte bei der Vorbereitung der Initiative beachtet werden, damit die Leitung Ihnen auch effektiv zuhört.

• Sicherstellen, dass bestehende Technologie und Maßnahmen gut funktionieren und eine positive Wirkung aufzeigen.
• Sicherstellen, dass die notwendigen Personalressourcen vorhanden sind.
• Entscheidungen datenbasiert, treffen und kommunizieren.
• Konkrete Umsetzungspläne vorlegen.
• Einsparungspotenziale aufzeigen.
• Lösungen am Markt vergleichen.

Quellen und Ressourcen

• Obtaining and Maintaining Executive Support for Security Awareness Training Programms – https://info.knowbe4.com/wp-obtaining-maintaining-executive-support-security-awareness 
• We asked CEOs about cybersecurity and resilience: Here’s what Information Security Officers must know – https://www.weforum.org/agenda/2023/07/3-things-cisos-need-to-know-about-their-ceo-before-the-next-cyberattack-strikes/ 
• 10 Tips to Get Buy-in From Your CFO for Security Projects –  https://xmcyber.com/blog/10-tips-to-get-buy-in-from-your-cfo-for-security-projects/?utm_source=cyfluencer&utm_medium=influencer_library

• 1
  “Nach objektiven Sorgfaltsmaßstab ist es den Organen und Aufsichtsräten bzw. Beiräten untersagt, sich mit der mangelnden Fähigkeit zur Verhinderung von Social Engineering-Angriffen zu entschuldigen. Dies widerspricht der Sorgfalt eines ordentlichen Geschäftsmannes einer Gesellschaft mit beschränkter Haftung (GmbH) nach § 43 Abs. 1 GmbHG bzw. nach § 93 Abs. 1 AktG bei Aktiengengesellschaften sowie Kommanditgesellschaften auf Aktien der Sorgfaltspflicht der Vorstandsmitglieder. Eine Aufklärungspflicht zur präventiven Verhinderung von Gesetzesverstößen wird abgeleitet aus § 130 Gesetz über Ordnungswidrigkeiten, bei Kapitalgesellschaften aus §§ 76, 93 Aktiengesetz bzw. § 43 Gesetz betreffend die Gesellschaften mit beschränkter Haftung. Bei Nachlässigkeit kann unter Umständen nach § 93 Abs. 2 Aktiengesetz ein persönliches Haftungsrisiko für die Führungsebene gegenüber der Gesellschaft entstehen.[2]  Zum Ausschluss dieses Risikos ist es notwendig, die Mitarbeitersensibilisierung zum Social Engineering nicht weiter stiefmütterlich zu behandeln.” – https://www.datenschutz-notizen.de/social-engineering-pflichten-der-geschaeftsfuehrung-und-des-betriebsrats-4519034/