Startseite > Security > Teilnehmerpräferenzen als Erfolgsfaktor

Security Awareness Trainings

Teilnehmerpräferenzen als Erfolgsfaktor

19. August 2024, 12:30 Uhr | Autor: Martin J. Krämer / Redaktion: Diana Künstler

Geht es um die Anhebung der Security Awareness der eigenen Mitarbeiter, drehen sich unternehmensinterne Diskussionen oft nur um die Wahl der zu vermittelnden technischen Inhalte. Die Trainingspraxis bleibt mitunter liegen. Ein Fehler, denn der Lernantrieb eines jeden Einzelnen ist ebenso wichtig.

Der Artikel liefert unter anderem Antworten auf folgende Fragen:

Warum ist die Lernmotivation der Teilnehmer bei Security Awareness Trainings so wichtig?
Welche Rolle spielen individuelle Lernpräferenzen in Security Awareness Trainings?
Welche häufigen Sicherheitsrisiken gehen von Mitarbeitern aus?
Wie lässt sich die Motivation der Teilnehmer steigern?
Was sind intrinsische und extrinsische Motivationsarten?
Wie können Trainer die Motivation der Teilnehmer erkennen?
Wie können Unternehmen sicherstellen, dass ihre Security Awareness Trainings erfolgreich sind?

Geht es um die Anhebung der Security Awareness der eigenen Mitarbeiter, drehen sich unternehmensinterne Diskussionen zur „richtigen“ Konzeption, Planung und Umsetzung der entsprechenden Trainings meist nur um eines: die Wahl der zu vermittelnden technischen Inhalte. Die Vermittlungsleistung – die Trainingspraxis – hingegen, bleibt in den Diskussionen in aller Regel ausgespart. Ein echter Fehler, denn: Noch stärker als beim Ziel der reinen Wissensvermittlung muss beim Ziel der Bewusstseinsänderung die Lernmotivation – der Lernantrieb – jedes einzelnen Teilnehmers eine angemessene Berücksichtigung erfahren. Jeder Mensch hat eine eigene Persönlichkeit, einen eigenen Charakter und eben auch: eine eigene Lernpräferenz. Bei manchen genügt schon ein einmaliges Training. Andere benötigen regelmäßige Wiederholungen des Lehrstoffs. Auch die Formattypen, über die Inhalte vermittelt werden, spielen eine Rolle. Manche Menschen lernen besser visuell, andere akustisch, einige im Frontalunterricht, andere durch das praktische Durchspielen von Praxisbeispielen im Team. Soll die Aufmerksamkeit möglichst vieler Mitarbeiter eines Awareness Trainings für den Lehrstoff so umfassend wie möglich aktiviert – mittel- und langfristig auch gehalten werden – ist es für Trainingsanbieter deshalb unerlässlich, die Lernpräferenzen ihrer Teilnehmer in die Konzeption, Planung und Umsetzung ihrer Trainings miteinfließen zu lassen.

Dies gilt für Awareness-Trainings im Allgemeinen, für Security-Awareness-Trainings aber auch im Besonderen. Wiegen die Folgen einer erfolglosen Bewusstseinsänderung hier doch noch einmal wesentlich schwerer. Schon ein unachtsamer Klick auf eine Phishing-Mail genügt, um erhebliche Folgeschäden zu provozieren – für sich selbst, die eigenen Kollegen und das Unternehmen als Ganzes. Gerade bei Trainings für Mitarbeiter, denen ein zu risikoreiches Verhalten nachgewiesen werden konnte – die beispielsweise häufig unbedacht auf verdächtige Phishing-Mails geklickt haben – ist es eine absolute Notwendigkeit, an der Stellschraube „Präferenzen“ zu drehen, Trainingsformate, -intervalle und vieles mehr individuell anzupassen. Anders wird es nicht gelingen, ihnen nachhaltig zu vermitteln, dass sie ihr Verhalten ändern müssen, um Risiken für sich, ihre Kollegen und ihr Unternehmen auf ein absolutes Minimum zurückzufahren.

Ein erster Schritt: Sie müssen sich darüber klar werden, welches Mitarbeiterverhalten die Risikolage für ihr Unternehmen bedeutend verschlechtert. Nach den Forschungserkenntnissen von KnowBe4 zählt zu den derzeitigen Top-10 der durch Mitarbeiter verursachten Sicherheitsrisiken:

der Besuch von Unterhaltungs-/Streaming-Diensten,
der Besuch von Spiele-Webseiten,
die Öffnung von Graymail,
der Besuch von Erwachsenen-Webseiten,
die Ausführung von unerlaubten oder bösartigen Anwendungen,
die Erkundung riskanter Webseiten,
die Nutzung unerlaubter Wechselmedien,
die Weitergabe persönlicher Informationen (PII),
der Aufruf von Cloud-Backups und Cloud-Speichern sowie
das Öffnen von bösartigen E-Mail-Anhängen.

Haben alle Mitarbeiter – auch die stark risikoanfälligen – das volle Gefahrenpotenzial solch risikobehafteten Verhaltens erst einmal verstanden und verinnerlicht, ist ein erster, entscheidender Schritt getan. Nun muss dieses Wissen aber auch verbreitert und in eine nachhaltige Verhaltensänderung überführt werden.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Intrinsische und extrinsische Motivation

Entscheidenden Anteil am Erfolg oder Misserfolg einer Verhaltensveränderung hat die Motivation – der Antrieb – der Trainingsteilnehmer, ihr jeweiliges Security Awareness-Training zu einem erfolgreichen Abschluss zu führen. „Erfolg“ definiert jeder Teilnehmer dabei für sich anders. Für die einen zählt der olympische Gedanke. Die Teilnahme an sich ist für sie schon ein Erfolg. Andere bemessen Erfolg an der Menge des neu Dazugelernten. Wieder andere müssen sich, um motiviert zu sein, mit anderen messen können. Trainer von Security-Awareness-Trainings müssen sich Gedanken darüber machen, wie sie diese unterschiedlichen Zielstellungen innerhalb einer Trainingsgruppe in Einklang bringen und am Ende einen weitgehend einheitlichen Bewusstseinsänderungsstandard zustande bekommen. Dabei sehen sie sich mit zwei übergeordneten Motivationstypen konfrontiert: dem intrinsischen und dem extrinsischen Motivationstyp. Menschen mit einer intrinsischen Motivation sind von vornherein bereit, neues Wissen aufzunehmen, sich an neue Voraussetzungen anzupassen. Sie stecken sich ihre Ziele selbst. Menschen mit extrinsischer Motivation dagegen, müssen von außen Ziele vorgesetzt bekommen. Sie wollen sich mit anderen in einer Wettkampfsituationen, beispielsweise einem Wissensquiz, messen, sich vor ihren Kollegen profilieren.

Der Schlüssel eines erfolgreichen Security-Awareness-Trainings einer Gruppe liegt dementsprechend darin, schon im Vorfeld den Motivationstyp jedes Teilnehmers richtig zu bestimmen. Erfahrene Trainer finden in Gesprächen schnell heraus, welcher Teilnehmer eine intrinsische und welcher eine extrinsische Motivation mit sich bringt. Dieses Wissen hilft ihnen dann, auf den zu Trainierenden individuell einzugehen und so die Chance zu erhöhen, dass die gewünschte Verhaltensveränderung am Ende auch tatsächlich herauskommt.

So in ihrem individualisierten Awareness-Training vorbereitet, können die Teilnehmer dann die vier Stadien der Kompetenz – vom mangelnden Bewusstsein bis hin zum geschulten Studium – durchlaufen und anschließend erfolgreich ihr frisch erworbenes Wissen im Arbeitsalltag zur Anwendung bringen.

Die vier Stadien der Kompetenz:

Mangelnde Bewusstheit – Unbewusste Inkompetenz oder auch „Ich weiß nicht, dass ich etwas nicht weiß“. Man ist sich seines Unwissens nicht bewusst und das eigene Verhalten spiegelt dies auch wider.
Bewusstheit – Bewusste Inkompetenz oder auch „Ich weiß, dass ich etwas nicht weiß“. Man erkennt, dass man nicht über alles Wissen verfügt, das man benötigt.
Schritt für Schritt – Bewusste Kompetenz oder auch „Ich weiß etwas, aber ich muss zunächst noch einmal darüber nachdenken“. Man muss bewusst auf Wissen zugreifen, seine Optionen abwägen und dann eine Entscheidung treffen.
Geschultes Stadium – Unbewusste Kompetenz oder auch „Ich weiß etwas so gut, dass ich nicht mehr darüber nachdenken muss“. Man kann unbewusst auf Wissen zugreifen. Entscheidungen werden routiniert – und damit ohne größeren Zeitverlust – getroffen.

Die Frage nach dem Wie

Security Awareness Trainings gelingen oder scheitern nicht allein aufgrund der in ihnen vermittelten Inhalte. Ebenso wichtig wie die Frage nach dem „Was“ ist die Frage nach dem „Wie“. Jeder Teilnehmer hat einen individuellen Lerntyp, der vom Trainingsexperten ermittelt werden kann und muss, um optimale Ergebnisse zu erzielen.

Unternehmen, die nicht über erfahrene Trainer verfügen, sollten sich die erforderliche Expertise von außen dazuholen. Erfahrene Trainer wissen, wie oft, mit welchen Formaten und auf welche Weise Fähigkeiten geschult werden können und müssen, um bei der größtmöglichen Zahl der Trainingsteilnehmer die gewünschte Verhaltensveränderung herbeizuführen.