Awareness jenseits der End-User-Perspektive verstehen und fördern
Tabletop Exercises als effektives Tool
02.10.2024 / Lea Müller und Prof. Dr. Stefan Sütterlin
aus dem Netzwerk Insider Oktober 2024
„The security aspect of cyber is very, very tough, and maybe it’s hardly doable.“ (ehem. US-Präsident Donald J. Trump, Okt. 2016)
Der Faktor Mensch
Die Tatsache, dass ein Großteil erfolgreicher Cyberangriffe auf menschliche Schwächen und insbesondere auf Social Engineering zurückzuführen ist, ist in der IT-Sicherheitsbranche längst bekannt. Zahlreiche Studien von Unternehmen wie Purplesec, IBM Security und Verizon bestätigen immer wieder, dass – je nach Zählweise und Quelle – sogar bis zu 98% aller erfolgreichen Cyberangriffe durch die Ausnutzung von menschlichem Verhalten, wie etwa Phishing oder anderen Manipulationstechniken, durchgeführt werden. Trotz dieser eindrucksvollen Statistiken hält sich die Fehlannahme, dass Cybersicherheit primär ein technisches Problem sei, das ausschließlich durch technische Lösungen wie Firewalls, Virenscanner oder Intrusion Detection Systeme gelöst werden könne. Dieser technikzentrierte Ansatz ignoriert jedoch die zentrale Rolle des „menschlichen Faktors“ und die damit verbundenen Risiken.
Die Relevanz des menschlichen Faktors hat dazu geführt, dass branchenübergreifend eine stark wachsende Nachfrage nach effektiven Security Awareness Trainings besteht. Diese Schulungen und Kampagnen zielen darauf ab, das Bewusstsein für potentielle Bedrohungen zu schärfen und den Mitarbeitenden die nötigen Fähigkeiten an die Hand zu geben, um Angriffe frühzeitig zu erkennen und richtig darauf zu reagieren. Der Markt für solche Trainings wächst kontinuierlich, da Unternehmen vermehrt in präventive Maßnahmen investieren, um Sicherheitslücken zu schließen, bevor sie überhaupt entstehen. Doch trotz aller Anstrengungen haben traditionelle Schulungsansätze oft mit erheblichen Herausforderungen zu kämpfen. Ein häufig kritisiertes Problem ist die mangelnde Langzeitwirkung: Viele Teilnehmende empfinden herkömmliche Schulungen als monoton und verlieren schnell das Interesse. Dies führt dazu, dass das vermittelte Wissen oft nicht verinnerlicht wird und schon nach kurzer Zeit in Vergessenheit gerät.
Um diesen Problemen entgegenzuwirken, werden zunehmend spielerische und interaktive Ansätze entwickelt, die das Thema Cybersicherheit greifbarer und praxisnäher gestalten sollen. Ein vielversprechender Ansatz sind sogenannte Tabletop Exercises (TTX), bei denen Mitarbeitende in realitätsnahen Szenarien geschult werden. Diese Übungen simulieren verschiedene Bedrohungslagen wie beispielsweise Ransomware-Infektionen und deren Folgen und fordern die Teilnehmenden dazu auf, im Team Lösungen zu erarbeiten und Entscheidungen unter Druck zu treffen. Solche Übungen helfen nicht nur dabei, das technische Wissen zu vertiefen, sondern fördern auch die Zusammenarbeit und Kommunikation im Ernstfall. Zudem können durch diese simulationsbasierten Trainings Schwachstellen in bestehenden organisatorischen Prozessen aufgedeckt und gezielte Verbesserungsmaßnahmen eingeleitet werden.
Tabletop Exercises (TTX)
Bei Tabletop Exercises (TTX) handelt es sich um einen Trainingsansatz, bei dem die Teilnehmer versuchen, im Rahmen einer Diskussion und unter Repräsentation ihrer tatsächlichen Rollen und Verantwortlichkeiten gemeinsam eine Lösung für ein simuliertes Problem zu erarbeiten. Das National Institute of Standards and Technology (NIST) definiert TTX als “Diskussionsveranstaltungen, bei denen Mitarbeiter mit Rollen und Verantwortlichkeiten in einem bestimmten IT-Plan in einem Klassenzimmer oder in Arbeitsgruppen zusammenkommen, um ihre Rollen während eines Notfalls und ihre Reaktionen auf eine bestimmte Notfallsituation zu diskutieren”. TTX werden häufig verwendet, um Personen auf die Reaktion auf Notfälle oder Cybersicherheitsvorfälle (Cybersecurity Incident Response) vorzubereiten.
Die Durchführung von TTX erfolgt unter Verwendung hypothetischer Szenarien, welche sich an den zu trainierenden Abläufen und Vorschriften orientieren. Die Auswahl der Trainingsszenarien kann sich dabei sowohl auf die Reaktion auf Cybersicherheitsvorfälle im Allgemeinen als auch auf die Auseinandersetzung mit spezifischen Vorfällen, wie beispielsweise Ransomware-Angriffen, fokussieren. Das Ziel einer Tabletop Exercise besteht darin, dass die Teilnehmer mögliche Reaktionen auf das präsentierte Szenario diskutieren und auf Basis dessen gemeinschaftlich potentielle Strategien zur Lösung eines Problems erarbeiten.
Im Wesentlichen umfasst eine TTX mindestens zwei verschiedene Rollen: einen Moderator, der die Tabletop Exercise vorbereitet und durchführt, sowie mehrere Teilnehmer, die das präsentierte Szenario besprechen. Die Funktion des Moderators umfasst die Leitung der Übung, die Vornahme von Änderungen am Szenario (diese Änderungen werden als Injects bezeichnet) sowie die Auflösung von Unklarheiten. Sofern erforderlich, kann der Moderator zudem kleinere Rollen im Szenario einnehmen, beispielsweise wenn die Diskussion die Kommunikation mit unternehmensexternen Parteien erfordert. Die Teilnehmer übernehmen eine aktive Rolle in der Diskussion und agieren dabei in der Regel in derjenigen Rolle, welche sie im Unternehmen innehaben und in welcher sie daher auch bei einem realen Zwischenfall agieren würden. Falls im Szenario Lücken vorhanden sind, wie beispielsweise das Erfordernis einer Kommunikation mit externen Stellen, wie anderen Unternehmen oder Behörden, können die Teilnehmer jedoch auch andere Rollen einnehmen.
Die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ergänzt die zuvor genannten Rollen um zwei weitere: Beobachter, welche keine aktive Rolle einnehmen, die Diskussion jedoch durch das Einbringen von Fragen oder Expertenwissen unterstützen können, sowie einen Protokollanten, welcher bewertet, ob die innerhalb der Übung durchgeführten Handlungen mit existierenden Plänen übereinstimmen. Diese Rollenverteilung impliziert, dass sowohl der Moderator als auch der Protokollant über fundierte Kenntnisse bezüglich existierender Prozesse und Pläne sowie zu erreichender Ziele verfügen sollten.
Bei der Auswahl der Teilnehmer einer TTX ist darauf zu achten, dass die für das gewählte Szenario relevanten Rollen berücksichtigt werden. Zudem ist es empfehlenswert, dass sich die Teilnehmer aus verschiedenen Bereichen und Ebenen des Unternehmens zusammensetzen, um eine effektive Zusammenarbeit und Koordination verschiedener Unternehmensbereiche und -ebenen bei der Bewältigung von Zwischenfällen zu gewährleisten. Das Szenario wird den Teilnehmern zu Beginn der Übung mittels einer Anleitung präsentiert, wobei gegebenenfalls zusätzliche Erläuterungen durch den Moderator erfolgen. Im Anschluss an die Einführung und Erläuterung des Szenarios, welche auch die Ziele der Übung hervorheben sollten, initiiert der Moderator die Diskussion unter den Teilnehmern mithilfe einer einleitenden Frage. Auch während der Übung kann der Moderator durch das Stellen von Fragen die Diskussion verbessern und in bestimmte Richtungen lenken. Auf diese Weise kann gewährleistet werden, dass die mit der Übung verbundenen Ziele erreicht werden. Des Weiteren kann der Moderator durch Injects Änderungen am Szenario vornehmen, wodurch neue Informationen oder veränderte Sachlagen in das Szenario integriert werden können. Im Anschluss an die Diskussion sollte eine Nachbesprechung der Übung stattfinden, um etwaigen weiteren Trainingsbedarf sowie Verbesserungspotentiale hinsichtlich Prozesse und Pläne zu identifizieren.
Die interaktive und experimentelle Natur von TTX fördert das Verständnis spezifischer Prozesse und Pläne, beispielsweise von Incident-Response-Plänen. Zudem werden die Teilnehmer mit ihren jeweiligen Verantwortlichkeiten sowie den trainierten Plänen vertraut gemacht. Es ist dabei nicht von oberster Relevanz, dass die Teilnehmer perfekt auf das vorgegebene Szenario reagieren, sondern vielmehr, dass die Teilnehmer zusammenarbeiten und somit in „Friedenszeiten“ eine gute Zusammenarbeit im Team etablieren, welche in der Zukunft eine effektive Reaktion auf Zwischenfälle ermöglicht. Des Weiteren können durch die Analyse fehlerhafter Entscheidungen Verbesserungspotentiale identifiziert werden, welche eine Optimierung sowohl von Prozessen und Abläufen als auch von individuellen Fertigkeiten und Verhaltensweisen ermöglichen.
Die Effektivität von Tabletop Exercises ist am größten, wenn sie nicht als isolierte Maßnahme, sondern im Anschluss an ein kürzlich stattgefundenes Training durchgeführt werden. Dadurch kann sichergestellt werden, dass die Teilnehmer sich der ihnen zugewiesenen Rollen und Verantwortlichkeiten in einem bestimmten Szenario oder gemäß einer bestimmten Vorschrift bewusst sind. Laut NIST sollten TTX regelmäßig sowie nach organisatorischen Veränderungen oder der Aktualisierung beziehungsweise Neueinführung von Plänen oder Prozessen durchgeführt werden. Dies gewährleistet, dass die Teilnehmer über potentielle Änderungen in ihren Rollen und Verantwortlichkeiten informiert werden und potentielle Verbesserungen an neu eingeführten Änderungen oder Plänen frühzeitig erkannt werden können.
Tabletop Exercises als eine Form von spielbasiertem Lernen
Tabletop Exercises lassen sich als eine Form sogenannter Serious Games klassifizieren. Der Begriff Serious Games beschreibt eine Form des spielbasierten Lernens, welches das Erlernen von Wissen auf Basis eines Spiels bezeichnet. Serious Games sind folglich Spiele, die nicht primär der Unterhaltung dienen sollen, sondern vielmehr den Zweck verfolgen, die Spielenden weiterzubilden und zu trainieren, indem auf effektive Weise neues Wissen vermittelt und bestehendes Wissen vertieft wird. Hierbei stehen das Lösen von Problemen und eine Steigerung der Lernleistung im Vordergrund. Dennoch ist es von Bedeutung, dass die Übung, obwohl nicht primär zur Unterhaltung konzipiert, von den Teilnehmenden als unterhaltsam oder erheiternd empfunden wird. Dies soll durch das Fördern von Interaktivität sowie durch für Spiele typische Elemente, wie eindeutig festgelegte Regeln, erreicht werden. Durch den Gebrauch von Serious Games als Trainingsmethode soll durch Interaktivität und Erlebbarkeit des Trainingsinhalts eine Erhöhung von Kenntnissen, Fertigkeiten und Verhaltensweisen erreicht werden, indem Teilnehmer neben potentiell existierenden extrinsischen Motivationen auch solche entwickeln, die intrinsischer Natur sind.
Die Self-Determination Theory, welche sich mit dem Zustandekommen verschiedener Arten von Motivation befasst, geht davon aus, dass Menschen von Natur aus zum Lernen, zur Aneignung von Kompetenzen und zur Verbundenheit mit anderen Menschen neigen. Diese proaktive menschliche Neigung kommt jedoch nicht gänzlich ohne äußere Einflüsse zustande, sondern kann durch geeignete Maßnahmen unterstützt werden. Von zentraler Bedeutung sind hierbei die psychologischen Bedürfnisse der Kompetenz, der sozialen Eingebundenheit sowie der Autonomie, deren Erfüllung zu einer gesteigerten Selbstmotivation führen kann. Spielbasierte Ansätze versuchen, diese menschlichen Bedürfnisse zu befriedigen und so extrinsische Motivationen um eine intrinsische Schicht zu erweitern.
Der Begriff der extrinsischen Motivation bezeichnet Verhaltensweisen, die nicht aus innerer Überzeugung heraus oder aufgrund ihres zufriedenstellenden Charakters ausgeführt werden. Dabei kann innerhalb des Begriffs der extrinsischen Motivation eine weitere Unterteilung gemäß dem Autonomiegrad vorgenommen werden. Diese reicht von einem geringen Grad an Autonomie, wie er beispielsweise durch Belohnungen oder Bestrafungen erreicht wird, bis zu einem hohen Grad an Autonomie, bei dem der Wert einer Aktivität nicht nur erkannt und verinnerlicht wird, sondern auch mit anderen Interessen und Werten übereinstimmt.
Demgegenüber bezeichnet intrinsische Motivation Verhaltensweisen, die aus innerem Interesse heraus und aufgrund des erfreulichen oder unterhaltsamen Charakters der Aktivität ausgeführt werden. Intrinsisch motivierte Verhaltensweisen sind nicht auf externe Anreize angewiesen und treten insbesondere im Kontext von spielerischen oder neugierig machenden Aktivitäten auf. Es kann angenommen werden, dass intrinsische Motivation das menschliche Lernen auch über einen langen Zeitraum hinweg fördert.
Im Kontext des spielbasierten Lernens sind sowohl intrinsische als auch extrinsische Motivationen von ausschlaggebender Bedeutung. Beide Formen der Motivation tragen dazu bei, dass Aktivitäten freiwillig ausgeführt werden. Im Falle intrinsischer Motivation erfolgt die Handlung durch die Freude an der Aktivität selbst, im Falle extrinsischer Motivation hingegen durch die Erkenntnis des Werts der Aktivität, auch wenn diese möglicherweise nicht als erfreulich empfunden wird. Spielbasierte Ansätze nutzen diese Prinzipien, indem sie beispielsweise Misserfolge anhand eines unmittelbaren Feedbacks aufzeigen oder auf potentielle Konsequenzen der eigenen Verhaltensweisen hinweisen. Auch die von den Nutzern erfahrene Autonomie spielt in diesem Kontext eine bedeutsame Rolle. Die innerhalb der Übung gemachten Erfahrungen sind abhängig von den eigenen Handlungsentscheidungen. Dadurch erfahren sich die Teilnehmer als Gestalter statt nur als Konsumenten.
Vorteile von Tabletop Exercises im Vergleich zu traditionellen Trainingsformaten
Durch den Vergleich verschiedener Trainingsmethoden, wie traditionelle Unterrichtseinheiten, Quizze oder Tabletop Exercises, und die Bewertung der jeweiligen Vor- und Nachteile, kann die Effektivität dieser Ansätze beim Vermitteln relevanter Inhalte untersucht und bewertet werden. Im Vergleich zu traditionellen Methoden weisen TTX insbesondere die nachfolgenden Vorteile auf: Förderung eines besseren Verständnisses von Prozessen und Plänen, Förderung der Zusammenarbeit zwischen den Teilnehmern, Entwicklung praktischer Fähigkeiten, Flexibilität von TTX sowie geringe Kosten, die mit der Planung und Durchführung verbunden sind. Diese Vorteile werden im Folgenden näher erläutert.
Die Diskussion und Bewertung von Aktionen im Rahmen einer Tabletop Exercise trägt zu einem besseren Verständnis von Prozessen und Plänen bei. Im Rahmen des Szenarios treffen die Teilnehmer strategische Entscheidungen, welche zu einer vertieften Einsicht in die Abläufe sowie einer zielgerichteteren Koordination derselben im Falle eines Zwischenfalls führen. Das verbesserte Verständnis von Abläufen kann dazu beitragen, dass die Teilnehmer ein gesteigertes Maß an Selbstsicherheit und sogenannter Situational Awareness entwickeln, um im Falle eines Zwischenfalls schnell und effektiv reagieren zu können. Zudem bietet es die Möglichkeit, existierende Pläne zu validieren und gegebenenfalls zu aktualisieren, um sicherzustellen, dass Prozesse und Abläufe im Einklang mit den Unternehmenszielen und -vorschriften stehen.
Eines der zentralen Ziele von TTX ist es, die Zusammenarbeit zwischen einzelnen Mitarbeitern zu stärken und so ein Team zu etablieren, welches im Falle eines realen Zwischenfalls durch ein effektives Zusammenwirken gekennzeichnet ist. Die Förderung von Kommunikation sowie der Austausch von Wissen und Fertigkeiten unter den Teilnehmern sind wesentliche Elemente zur Erreichung dieses Ziels. Die soziale Interaktion der Teilnehmer ist in diskussionsbasierten Trainingsansätzen wie Tabletop Exercises ein wesentlicher Bestandteil, wodurch die Kommunikation und Zusammenarbeit zwischen den einzelnen Teilnehmern gefördert wird. Durch den Austausch von Wissen und Fertigkeiten von Personen mit unterschiedlichen Rollen und Verantwortlichkeiten wird zur Findung einer gemeinsamen Lösung beigetragen. Die gemeinschaftliche Entwicklung von Problemlösungsstrategien in einem bedrohungsfreien Umfeld ermöglicht den Teilnehmern, von den Handlungen anderer Teilnehmer zu lernen und direktes Feedback zu eigenen Handlungen zu erhalten. Ein weiterer Vorteil dieses kollaborativen Charakters besteht darin, dass die Teilnehmer die Möglichkeit erhalten, sich mit den Strukturen und Ansprechpartnern vertraut zu machen, an die sie sich im Falle eines realen Vorfalls wenden können.
Die Teilnehmer einer TTX repräsentieren in der Regel ihre eigenen Rollen und führen somit auch Aktionen aus und treffen Entscheidungen, welche sie im Falle eines realen Zwischenfalls ausführen beziehungsweise treffen würden. Dadurch erhalten die Teilnehmer direktes und unmittelbares Feedback, welches ihnen die Möglichkeit zur Reflexion eigener Entscheidungen und zur Identifikation potentieller Lücken im eigenen Wissen und den eigenen Fertigkeiten bietet. Infolgedessen entwickeln die Teilnehmer ein Verständnis für bestimmte Abläufe, werden mit den eigenen Verantwortlichkeiten innerhalb des Unternehmens vertraut und können Lösungen ausprobieren, ohne dass daraus reale Konsequenzen resultieren. Dieser Ansatz erlaubt die Entwicklung der für bestimmte Rollen relevanten Fertigkeiten und ermöglicht den Teilnehmern, sich durch praktisches Lernen auf veränderliche Szenarien einzustellen.
Der Vorteil spielbasierter Trainingsansätze, die sich hypothetischer Szenarien bedienen, besteht in einem bedrohungsfreien Umfeld, in welchem die Teilnehmer ihre Aktivitäten ausführen und Strategien entwickeln können. Die Durchführung des Trainings in einer sicheren und spielerischen Atmosphäre ermöglicht den Teilnehmern die Aufstellung von Hypothesen und deren Test, das Experimentieren mit neuen Ansätzen und Strategien sowie das Eingehen von Risiken, ohne dass aus möglichen Fehlern reale Konsequenzen entstehen. Dies gestattet den Teilnehmern, die Konsequenzen der eigenen Entscheidungen zu erkennen und auf diese Weise erfolgreiche und weniger erfolgreiche Strategien zu identifizieren.
Ein weiterer Vorteil von TTX stellt deren hohe Flexibilität dar, sowohl in Bezug auf die Gestaltung der Übungsszenarien als auch auf ihre Dauer und Komplexität. So können Tabletop Exercises für eine Zeitspanne von wenigen Minuten bis zu mehreren Stunden konzipiert werden, wobei die Szenarien sowohl an der Reaktion auf Cybersicherheitsvorfälle im Allgemeinen als auch an ganz spezifischen Situationen orientiert werden können. Darüber hinaus kann der Moderator das Szenario auch während der Diskussion durch Injects modifizieren. Dies kann durch die Bereitstellung neuer Informationen für die Teilnehmer oder die Hinzufügung unerwarteter Herausforderungen erfolgen. Dies ermöglicht dem Moderator eine Anpassung der Übung an die individuellen Bedürfnisse und Anforderungen der Teilnehmer, eine Betonung der Ziele der Übung sowie eine Steuerung der Diskussion in eine bestimmte Richtung. Die hohe Flexibilität trägt dazu bei, dass die Teilnehmer lernen, mit Situationen umzugehen, in denen mehrdeutige oder unvollständige Informationen vorhanden sind. Zudem lernen sie, auf neue und veränderte Situationen zu reagieren. Dies entspricht dem Charakter realer Vorfälle, bei denen den Betroffenen etwa unvollständige Informationen vorliegen oder sich beim Lösen eines Problems weitere Herausforderungen ergeben können.
Im Vergleich zu traditionellen Trainingsformaten zeichnen sich Tabletop Exercises auch durch eine kostengünstige Entwicklung und Durchführung aus. So ist etwa die Planung einer TTX mit einem geringeren Arbeitsaufwand verbunden als dies bei klassischen Unterrichtseinheiten der Fall ist, und für die Durchführung sind lediglich wenige Ressourcen erforderlich. In der Konsequenz erweisen sich TTX als eine kosteneffiziente Methode zur Schulung, Verifizierung und Optimierung von Abläufen und Plänen, zur Vorbereitung von Mitarbeitern auf potentielle Zwischenfälle sowie zur Evaluierung von Handlungsstrategien.
Beispiele und weiterführende Quellen
Für Unternehmen, die die Durchführung von Tabletop Exercises in Erwägung ziehen, steht eine Vielzahl kostenfreier Quellen und Anleitungen zur Verfügung, die das Planen, Erstellen und Durchführen von TTX erleichtern können. So wird beispielsweise vom NIST eine Anleitung zur Erstellung eigener, auf die Bedürfnisse des Unternehmens zugeschnittener TTX auf der Webseite des NIST bereitgestellt (Special Publication 800-84: Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities). Diese Anleitung unterstützt bei der Identifikation von Themen und Zielen der durchzuführenden TTX, der Entwicklung der benötigten Trainingsmaterialien inklusive eines Beispielsszenarios sowie der Durchführung und Auswertung der Übung.
Die CISA und das Center for Internet Security (CIS) stellen neben Anleitungen und Hinweisen zur Durchführung von Tabletop Exercises auch einige Beispielsszenarien unterschiedlicher Komplexität und Dauer zur Verfügung. Eines der vom CIS bereitgestellten Beispiele, welches sich mit den Risiken von Insider-Bedrohungen befasst, die aus einem unzureichenden Patch-Management resultieren können, lautet wie folgt:
„Joe, Ihr Netzwerkadministrator, ist überarbeitet und unterbezahlt. Er hat seine Koffer gepackt und ist bereit für einen Familienurlaub in Disney World, als er mit der Installation eines wichtigen Patches beauftragt wird. Um seinen Flug noch zu erreichen, erstellt Joe schnell eine Installationsdatei für den Patch und installiert sie, bevor er seine Reise antritt. Als nächstes erhält Sue, die diensthabende Service-Desk-Technikerin, Anrufe, dass sich niemand einloggen kann. Es stellt sich heraus, dass für den kürzlich installierten kritischen Patch keine Tests durchgeführt wurden. Was ist Ihre Reaktion?“ (CIS, 2018)
Die durch die initial gestellte Frage eingeleitete Diskussion kann während der Übung durch den Moderator mit weiteren Fragen ergänzt werden, wie beispielsweise „Verfügt Ihr Service-Desk-Techniker über das nötige Fachwissen, um diesen Vorfall zu bewältigen? Wenn nicht, gibt es definierte Eskalationsprozesse?“ oder „Verfügt Ihr Unternehmen über die Möglichkeit, Patches im Falle unvorhergesehener negativer Auswirkungen rückgängig zu machen?“. Durch diese Fragen soll die Diskussion optimiert und in bestimmte Richtungen gelenkt werden, um die Ziele der Übung zu erreichen sowie die der Übung zugrundeliegenden Pläne und Abläufe zu trainieren und zu validieren. Das hier präsentierte Szenario kann als relativ einfaches Übungsbeispiel charakterisiert werden, wobei der Komplexitäts- und Schwierigkeitsgrad von TTX sowie die für die Übung veranschlagte Zeit an die gegebenen Anforderungen und Bedürfnisse flexibel angepasst werden können.
Die CISA stellt eine Reihe von sogenannten Tabletop Exercise Packages bereit, welche eine Vielzahl unterschiedlicher Bedrohungssituationen umfassen und bei der Planung und Durchführung von TTX unterstützen können. Die einzelnen Pakete können an die spezifischen Anforderungen angepasst werden und enthalten beispielhafte Ziele, Szenarien sowie Fragen, die eine konstruktive Diskussion fördern.
Weitere Beispiele sowie Anleitungen, Hinweise und Tipps zur Erstellung eigener, unternehmensspezifischer Tabletop Exercises werden beispielsweise von der CISA, dem CIS oder dem NIST zur Verfügung gestellt und können auf deren jeweiligen Webseiten abgerufen werden.
Effektive Trainings zur Erhöhung von Awareness und Cyberresilienz
Die Relevanz des menschlichen Faktors in Cyberangriffen und der Verhinderung beziehungsweise Abmilderung derselben unterstreicht die Notwendigkeit von Awareness-Trainings, die nicht nur das Bewusstsein für Risiken schärfen, sondern den Teilnehmern auch die nötigen Fertigkeiten und Verhaltensweisen vermitteln, um Angriffe frühzeitig zu erkennen und richtig darauf zu reagieren. Von besonderer Relevanz ist dabei, dass die durchgeführten Awareness-Trainings einen langfristigen Effekt erzielen.
Hier können spielbasierte Trainingsmethoden, wie Serious Games, einen wichtigen Beitrag leisten. Diese Form des spielbasierten Lernens bedient sich spielerischer Aktivitäten, um den Teilnehmenden auf effektive Weise neues Wissen zu vermitteln oder bestehendes Wissen zu vertiefen. Das in diesem Artikel thematisierte Trainingsformat der Tabletop Exercise ist eine Form von Serious Games, welche sich hypothetischer Szenarien bedient, um die Teilnehmer auf bestimmte Situationen vorzubereiten. Ein besonderer Vorteil ist hierbei die Stärkung von Zusammenarbeit und Kommunikation zwischen verschiedenen Unternehmensbereichen und -ebenen, ein zentraler Aspekt bei der schnellen und effektiven Reaktion auf Cybersicherheitsvorfälle. Neben der Mitarbeiterschulung bieten Tabletop Exercises zudem die Möglichkeit, organisatorische Prozesse zu validieren und gegebenenfalls zu optimieren.
Effektive Awareness-Trainings, die bei den Teilnehmern auch einen langfristigen Lerneffekt erzielen und diese mit wichtigen Fähigkeiten ausstatten, sind für die Prävention von und Reaktion auf Cybersicherheitsvorfälle von zentraler Bedeutung. Im Rahmen des Seminars „Cybersecurity: Vom Social Engineering zu erfolgreichen Awareness-Trainings“ werden Fragen rund um die Effektivität verschiedener Awareness-Trainings adressiert. Dabei stehen typische Herausforderungen und Probleme sowie die psychologischen Grundlagen andauernder Verhaltensänderungen im Fokus. Zudem werden bewährte Trainingsmethoden und Qualitätsmerkmale von Awareness-Trainings thematisiert.