Im November 2024 durfte ich für eine Gruppe von Studierenden der Cybersicherheit einen Vortrag über Cybersicherheits-Awareness, also Sensibilisierung zur Cybersicherheit halten.
Auf der Suche nach einer interaktiven Einleitung habe ich folgendes kleines Experiment gemacht:
– Zunächst: Denke an eine Zahl zwischen 1 und 365
– Dann denke an den Geburtsnamen Deiner Mutter
– Und nun, woran denkst Du bei dem Begriff „Awareness oder Sensibilisierung zur Cybersicherheit“?
Wer jetzt, ebenso wie die Studierenden, an „Schulungen“ gedacht hat, liegt nicht ganz falsch und ist in guter Gesellschaft.
Schulungen im klassischen Sinne allein reichen jedoch nicht aus, um die Cybersecurity Awareness von Mitarbeitenden nachhaltig zu fördern. Der Hauptgrund dafür liegt in der Natur von Cyberangriffen und menschlichem Verhalten:
Kurzfristigkeit des Lerneffekts
Viele traditionelle Schulungen sind einmalige oder sporadische Veranstaltungen. Ohne regelmäßige Wiederholung und Praxis verflüchtigt sich das Gelernte schnell, besonders bei komplexen Themen wie Cybersicherheit, die nicht in den Alltag vieler Mitarbeitenden integriert sind.
Abstrakter Bezug
Klassische Schulungen vermitteln oft theoretisches Wissen, das für viele Mitarbeitende abstrakt bleibt. Wenn sie nicht wissen, wie Cyberbedrohungen in ihrem Arbeitsalltag auftreten können, unterschätzen sie das Risiko oder vergessen die Schutzmaßnahmen.
Fehlende Emotionalisierung
Ein rein technisches Training adressiert nicht die emotionale Ebene der Teilnehmenden. Es fehlt häufig an realitätsnahen Szenarien, die zeigen, welche Konsequenzen ein unbedachtes Verhalten haben kann.
Mangelnde Anpassung an Zielgruppen
Mitarbeitende haben unterschiedliche technologische Kompetenzen. Eine universelle Schulung berücksichtigt diese Unterschiede oft nicht und verfehlt so die Zielgruppe. Mitarbeitende in der Buchhaltung, im Vertrieb oder der IT haben unterschiedliche Bedürfnisse, Kenntnisstände und Arbeitsrealitäten. Sie sollten daher auf unterschiedliche Art und Weise angesprochen werden.
Passivität statt Interaktivität
Traditionelle Schulungsformate, wie Vorträge oder Webinare, fördern häufig eine passive Rolle der Teilnehmenden. Doch nachhaltige Awareness entsteht durch aktives Lernen und spielerische Elemente, z. B. durch Tools wie das Cybersicherheits-Bingo, das komplexe Themen auf verständliche Weise näherbringt und zur Interaktion anregt.
Eine nachhaltige Cybersecurity Awareness benötigt kontinuierliche, interaktive und alltagsnahe Ansätze. Dabei helfen praktische Werkzeuge wie Gamification, Simulationen und regelmäßige Erinnerungen in Form von z. B. Checklisten oder Notfallkarten.
Awareness ist keine einmalige Maßnahme, sondern ein Prozess der Sensibilisierung, der ständig erneuert werden muss.