Cybersecurity-Awareness-Trainings: Notwendiges Übel oder sinnvolle Investition?

Der Boom der Awareness-Trainings

“A company can spend hundreds of thousands of dollars on firewalls, intrusion detection systems and encryption and other security technologies, but if an attacker can call one trusted person within the company, and that person complies, and if the attacker gets in, then all that money spent on technology is essentially wasted.” (Kevin Mitnick, 1963-2023)

Die Beobachtung, dass Cyberangriffe zu einem überwiegenden Teil durch Ausnutzung menschlicher Schwächen, nämlich durch Social Engineering, durchgeführt werden, ist ein seit Langem anerkannter Fakt. Verschiedene Berichte von Purplesec, IBM Security, Verizon und anderen weisen konstant darauf hin, dass bis zu 98 % aller erfolgreichen bzw. bekannten Cyberangriffe auf diese Weise erfolgen. Trotz dieser eindrucksvollen Statistiken gibt es nach wie vor eine verbreitete Meinung, dass Cybersicherheit ausschließlich ein technisches Problem sei und dementsprechend nur technische Lösungen erfordere („einer klickt doch immer“). Diese Sichtweise verkennt jedoch das nachgewiesene Potenzial von IT-Security-Awareness-Schulungen, die sich als rasch wachsender Markt einer überproportional rasch wachsenden Nachfrage gegenübersehen. Diese Schulungen zielen darauf ab, bei den Nutzern ein Bewusstsein für grundlegende IT-Sicherheitskompetenzen zu schaffen und risikominimierende Verhaltensweisen zu vermitteln.

Die Notwendigkeit dieser Schulungen wird angesichts der steigenden Anzahl von Cyberangriffen, die Social Engineering nutzen, immer deutlicher. Die Verbesserung technischer Schutzmaßnahmen gegen Netzwerk-Kompromittierungen als Teil eines Wettrüstens zwischen Cyberkriminellen und ihren potenziellen Opfern, wie etwa durchdachte Authentifizierungsverfahren oder KI-gestützte Phishing-Filter, führt paradoxerweise dazu, dass alternative Social-Engineering-Techniken zunehmend attraktiver werden. So kann beispielsweise eine gezielte Spearphishing-Mail an einen Chief Information Security Officer (CISO) viele Schwierigkeiten und Herausforderungen bei der Durchdringung technischer Sicherheitsvorkehrungen „ressourcenschonend“ umgehen.

Ein anschauliches Beispiel für die Sicherheitskonzepte komplementierende Rolle des „human factor“ ist eine Studie des MIT zum sogenannten Prevalence Paradox. Die Studie zeigte, dass technische Verbesserungen von Phishing-Filtern, die zu einer spürbaren Reduktion von Phishing-Mails führten, paradoxerweise zu einer höheren Risikoexposition der Organisation führen können. Dies liegt daran, dass durch die reduzierte Exposition gegenüber Phishing-Mails und das Vertrauen in technische Abwehrmechanismen die Nutzer weniger auf potenzielle Bedrohungen aufmerksam werden. Als Folge werden Phishing-Mails, die die verbesserten Filter überlisten können, seltener erkannt und gemeldet. Eine technische Innovation und objektive Verbesserung führen also in diesem Fall zu einem insgesamt höheren Sicherheitsrisiko. Die Lehre aus dieser Studie ist, dass sich Technik und User nicht als vollständig getrennte Domänen begreifen und behandeln lassen, sondern dass es sich um soziotechnische Systeme mit Interaktionen zwischen beiden Domänen handelt. Dementsprechend müssen die technischen Innovationen von Trainings (in diesem Beispiel: kontinuierlich stattfindende Simulationen) ergänzt werden, um ihr Potenzial zu entfalten. Der renommierte IT-Sicherheitspionier Bruce Schneier fasste diese Eigenschaft soziotechnischer Systeme treffend in seinem Zitat zusammen: „If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.“

Die Implikation dieser Erkenntnisse ist, dass IT-Sicherheit auf IT-Experten angewiesen ist, die den menschlichen Faktor in ihrer Arbeit berücksichtigen. Zudem ist es von entscheidender Bedeutung, Experten aus den Bereichen Psychologie und (Erwachsenen-)Pädagogik einzubeziehen, die IT-Sicherheitsprobleme konzeptuell verstehen und ihre Expertise zur Verhaltensänderung einbringen können. Um eine effektive und nachhaltige Sicherheitskultur zu etablieren, ist es unabdingbar, dass beide Seiten in der Lage sind, voneinander zu lernen und miteinander zu kommunizieren. Der Preis für das ansonsten ungenutzte Potenzial dieser denkbar fruchtbaren Zusammenarbeit birgt die Gefahr und das häufige Problem unausgereifter Schulungskonzepte, unausgeschöpfter Verbesserungspotenziale, ineffektiver Ressourcennutzungen und resultierender „box-ticking exercises“ ohne nachhaltige Effekte. Um dem etwas entgegenzustellen, entwickelte die Hochschule Albstadt-Sigmaringen als einer der wenigen Anbieter von IT-Security-Studiengängen auf Bachelor- und Masterniveau Kurse und Schulungsangebote, welche Studierenden der IT-Sicherheit neben technischem Know-how auch cyberpsychologische Aspekte vermitteln, interdisziplinäre Perspektiven ermöglichen und zukünftige Informatiker und IT-Security-Spezialisten auf die Anforderungen im Bereich der Schulung und Qualifikation Mitarbeitender vorbereitet. Die zukünftigen Informatiker und IT-Sicherheitsspezialisten werden auf diese Weise auf die Anforderungen im Bereich der Schulung und Qualifikation von Mitarbeitern vorbereitet.

Das Phänomen rasch steigender Nachfrage auf dem IT-Awareness-Markt resultiert aus einer Reihe von Faktoren, einschließlich der gesteigerten Aufmerksamkeit für Cyberbedrohungen, regulatorischer Veränderungen und psychologischer Prozesse. Die Gründe des Booms spiegeln einerseits ein zunehmendes Bewusstsein für die praktische Notwendigkeit von Cybersicherheit wider. Die Medienberichterstattung über prominente Cyberangriffe auf große Unternehmen und Regierungsinstitutionen hat dazu beigetragen, das Bewusstsein für das Risiko und die potenziellen Auswirkungen solcher Vorfälle zu schärfen. Wichtiger als Appelle nationaler Behörden sind dabei eigene schmerzhafte Erfahrungswerte durch selbst erfahrene Angriffe. Dieser Effekt, erst aus Schaden klug zu werden, findet sich in der psychologischen Theorie der sogenannten Verfügbarkeitsheuristik. Diese Theorie besagt, dass Menschen eher dazu neigen, Ereignisse als wahrscheinlich einzuschätzen, wenn sie sich leicht Beispiele dafür vorstellen können. Je detaillierter diese Beispiele vorstellbar sind, desto höher wird das Risiko eingeschätzt. In diesem Fall führt die gestiegene Berichterstattung über Cyberangriffe dazu, dass Unternehmen und Einzelpersonen die Wahrscheinlichkeit eines solchen Vorfalls in ihrer eigenen Organisation höher, das heißt i.d.R. realistischer, einschätzen. Neben eigenen Erfahrungen und Medienberichten dienen insbesondere geteilte Erfahrungen vergleichbarer Unternehmen der gleichen Branche, Größe oder geographischen Nähe als relevante Einflussfaktoren. Berater machen sich dies zunutze, indem sie anstatt abstrakter Eventualitäten möglichst konkret Beispiele von betroffenen Unternehmen schildern, welche von den Adressaten als „ähnlich“ wahrgenommen werden. Schlussfolgerung: „Dann könnte uns das auch passieren“. Dieses „stellvertretende Lernen am Modell“ beeinflusst die individuelle Risikobewertung und verstärkt den Drang, auch präventive Maßnahmen zu ergreifen. Dies erhöht wiederum die Nachfrage nach Schulungen.

Abgesehen vom steigenden Bewusstsein, der öffentlichen Vermittlung derselben und der veränderten Risikobewertung wird die Nachfrage auch durch erhöhte regulatorische Anforderungen und Kundenanforderungen getrieben. Beispielsweise erfordern Zertifizierungen wie ISO 27001 und die mittelfristig in nationales Recht umzusetzenden und von der EU Ende 2022 verabschiedeten NIS-2-Richtlinien, dass Unternehmen bestimmte IT-Sicherheitsstandards erfüllen, welche explizit Mitarbeiterqualifikationen einschließen. Zudem üben Kunden und Lieferanten Druck auf Unternehmen aus, um sensitive Daten und Intellectual Property zu schützen, was die Nachfrage nach entsprechenden Schulungen ebenfalls erhöht.

Diese in den letzten Jahren rasch gestiegene Nachfrage nach IT-Sicherheitsschulungen hat zu einer Marktverzerrung geführt, bei der die Nachfrage das Angebot übersteigt. Dies hat lange Wartezeiten für Schulungen und steigende Preise hervorgerufen, da die Anbieter versuchen, die hohe Nachfrage zu bedienen. Trotz – oder gerade wegen – dieser Angebotslücke besteht ein Mangel an systematischer Forschung in Bezug auf die Wirkmechanismen und Effekte von IT-Sicherheitsschulungen und damit einhergehend ein Problem der Qualitätssicherung. Da der Markt stark nachfragegetrieben ist, konzentrieren sich Anbieter erwartbar eher auf die Quantität der angebotenen Schulungen als auf deren Qualität. Der Mangel an systematischer und (!) öffentlich zugänglicher Evaluationsarbeit von Maßnahmen wird durch ein nur geringes Interesse an öffentlich finanzierter und damit transparenter und „neutraler“ Forschung auf akademischer Seite verschärft. In den Informatikfakultäten deutscher Hochschulen fehlt in der Regel sowohl das Interesse als auch die methodische Qualifikation, um verhaltenswissenschaftlichen Fragen der Gewohnheitsänderung bei End-Usern bzw. klassischen Fragen der Personalentwicklung und Erwachsenenbildung auf die Spuren zu kommen. Berührungspunkte zwischen der geisteswissenschaftlich und methodisch ausgebildeten Community und dem Bereich der IT-Security sind ebenfalls rar und in Studienplänen in aller Regel nicht vorgesehen. Im Ergebnis werden Schulungsmaßnahmen angeboten, die zu einem Großteil methodisch nicht stringent evaluiert und dadurch auch nicht datenbasiert optimiert werden. Insbesondere Unternehmen, welche hauptsächlich technische IT-Sicherheitsberatung anbieten und Schulungsmaßnahmen wie Awareness-Trainings lediglich als „Nebenschauplatz“ „mit anbieten“, um ihr Produktportfolio um dieses aus o.g. Gründen stark nachgefragte Produkt zu ergänzen, bieten häufig Produkte an, welche mit an Sicherheit grenzender Wahrscheinlichkeit nur eine sehr geringe und auch nur kurzfristige Wirkung auf der Verhaltens- und Gewohnheitsebene erwarten lassen.

Die oben genannten Gründe für das rasche Wachstum des Awareness-Trainings-Marktes werden weiterhin gelten und lassen weiterhin deutliche Wachstumsraten vermuten. Darüber hinaus ist damit zu rechnen, dass insbesondere aus der Versicherungswirtschaft weitere Impulse zu erwarten sind. Dies nicht nur in Bezug auf die Quantität von Angeboten, sondern durchaus auch mit Hinblick auf die Qualitätsanforderungen und entsprechende Schulungsangebote. Versicherungsunternehmen haben ein direktes Interesse an der Effektivität von IT-Sicherheitsschulungen, da diese direkt mit den Risiken verbunden sind, die sie in Bezug auf Cyber-Versicherungspolicen eingehen. So sind sie daran interessiert, das Risikoprofil ihrer Kunden zu minimieren, um potenzielle Verluste zu reduzieren. Die Effektivität von IT-Sicherheitsschulungen könnte demnach Auswirkungen auf die Prämienberechnung haben. Wenn Schulungen als effektiv eingestuft werden, könnten Versicherer diese als Faktor bei der Bewertung des Risikoprofils eines Kunden berücksichtigen. Unternehmen, die regelmäßig an effektiven Schulungen teilnehmen, welche nachweislich effektiv sind, könnten folglich niedrigere Prämien zahlen als andere Unternehmen, welche keine oder nichtzertifizierte durchführen. Dementsprechend kann das Verständnis der Effektivität von IT-Sicherheitsschulungen dabei helfen, spezifischere Produkte und Dienstleistungen zu entwickeln. So könnten Versicherer beispielsweise Cyber-Versicherungspakete anbieten, die Schulungen einschließen, oder Rabatte für Kunden, die an nachweislich effektiven Schulungen teilnehmen. Letztlich könnten Versicherer auch ihre Rolle bei der Förderung der IT-Sicherheit als Alleinstellungsmerkmal nutzen. Indem sie sich aktiv in die Forschung einbringen und effektive Schulungen fördern, könnten sie sich als Unternehmen positionieren, das nicht nur Versicherungsschutz bietet, sondern auch dabei hilft, Risiken zu vermeiden. Insgesamt kann die Forschung zur Effektivität von IT-Sicherheitsschulungen dazu beitragen, fundierte Entscheidungen zu treffen, Risiken zu minimieren und gleichzeitig Kundenservice sowie Produktangebote zu verbessern. Es ist aus diesen Gründen damit zu rechnen, dass die wirtschaftlichen Anreize aus der Versicherungswirtschaft die Weiterentwicklung von Awareness-Trainings in Richtung einer qualitätsabhängigen Zertifizierung und Best-Practice-Empfehlungen beschleunigt.

Evidenzlage zum Nutzen von Awareness-Trainings

Bezüglich des Nutzens von Awareness-Trainings sind objektive Daten – das heißt, solche, die nicht von Marktakteuren mit eigenen finanziellen oder strategischen Interessen stammen, sondern wissenschaftlich begutachtet und publiziert wurden – eher selten. Betrachtet man jedoch die vorhandenen Studien, so berichten diese von durchaus beachtlichen Effekten. Eine Reduktion der Vulnerabilität zwischen 20 % und 80 % legen diese Studien nahe. Interessanterweise zeigt diese Bandbreite auf, dass neben dem enormen Potenzial zur Vulnerabilitätsreduktion durch Awareness-Trainings auch ein beträchtliches Potenzial für Ressourcenverschwendung besteht.

Die Forschungslücke wird besonders offensichtlich, wenn es um die Nachhaltigkeit der Auswirkungen von Awareness-Trainings geht. Es mangelt an Längsschnittstudien, die den optimalen, für eine Organisation relevanten Zeitpunkt für eine erneute oder intensivierte Trainingsinitiative bestimmen könnten. Ferner bleibt unklar, in welchem Ausmaß das durch IT-Sicherheitsschulungen vermittelte Wissen tatsächlich in Handlungen umgesetzt wurde und ob diese sich nachhaltig in veränderte Gewohnheiten, also in eine „Sicherheitskultur“, umgewandelt haben.
Häufig finden sich als Formen der von externen Beratern angebotenen „Evidenz“ für Schulungserfolge Ergebnisse von Wissensabfragen, selbstberichtete Verhaltensweisen (also Fragebögen) und auf Verhaltensebene die Reduktion von Clickrates oder Click-through-rates bei Phishing-Simulationen. Diese Outcome-Variablen erfassen allerdings lediglich das Ausmaß des Erfolgs einer Intervention. Was diese Daten jedoch nicht liefern können, sind Erklärungen für das Nichtverhalten, welches in medizinischen Studien als „Non-Responder“ bezeichnet wird. Erst wenn die Gründe für eine Nichtteilnahme oder ausbleibende Trainingseffekte klar identifiziert und verstanden sind, können Verbesserungen am Beratungs- oder Trainingsprodukt vorgenommen werden. Ferner fällt bei einer Betrachtung von Qualitätsbeteuerungen zahlreicher Anbieter auf, dass nicht selten Input- und Output-Variablen, also Trainingsbemühungen und deren Effekte, miteinander vermischt werden, um den Eindruck von Empirie und Quantifizierbarkeit aufrechtzuerhalten. Beispielsweise wird die Anzahl von durchgeführten In-Room-Trainings, Online-Schulungen und Live-Hacks als Indiz für eine verbesserte Awareness gesehen und zu einem „Security Culture Index“ zusammengefasst. Die Konstruktvalidität eines solchen Indexes ist jedoch häufig zweifelhaft. Es wird deutlich, dass weitere, umfassendere Untersuchungen in diesem Bereich notwendig sind, um ein klares Bild der Effektivität und des Nutzens von Awareness-Trainings zu erhalten.

Risiken und Nebenwirkungen

Die Auseinandersetzung mit den Nebenwirkungen von schlecht implementierten oder mangelhaft geplanten IT-Sicherheitstrainings führt zu dem Ergebnis, dass die Maxime, wonach ein wenig Training immer besser sei als gar kein Training, nicht zwangsläufig zutreffend ist. Insbesondere in Situationen, in denen sich ein Training als halbherzig, wenig durchdacht und nicht angemessen fokussiert erweist, und folglich nicht den gewünschten Wirkungsgrad erreicht, kann das Risiko eines Schadensereignisses signifikant steigen. In einem solchen Fall ist es wahrscheinlich, dass es schwieriger wird, das Argument für höhere Ausgaben und weitergehende Maßnahmen vorzutragen, da aus Sicht der Geschäftsführung offensichtlich durch kleinere Aktivitäten keinerlei messbare Wirkung erzielt wurde. So kann es passieren, dass sich die Trainierten zwar geschult fühlen und sich an einige Fakten erinnern, diese Information jedoch nicht ausreichend ist, um nachhaltige Verhaltensänderungen zu bewirken. Diese selbsteingeschätzten Kompetenzen führen dennoch fast zwangsläufig zu einem geringeren Engagement. Dieser Effekt wird durch Studien gestützt, die keinen oder sogar einen negativen Zusammenhang zwischen der Selbsteinschätzung von IT-sicherheitsrelevanten Fähigkeiten und dem tatsächlichen Verhalten zeigen. Es zeigt sich konsistent, dass hohe selbsteingeschätzte Fähigkeiten häufig mit geringem Engagement und besonders risikoreichem Verhalten korrelieren. Mit anderen Worten, unvollständige, unzureichend durchdachte und konzeptuell defizitäre Schulungen führen zu einem trügerischen Gefühl der Sicherheit. Dies kann sich konkret messbar niederschlagen, beispielsweise in der freiwilligen Teilnahme an Schulungsangeboten oder in Clickrates bei Phishing-Simulationen und ähnlichen Messgrößen. Die offenkundige Konsequenz ist daher, dass die Gestaltung und Implementierung von Trainingsmaßnahmen mit größter Sorgfalt erfolgen müssen, um diese Fallstricke zu vermeiden.

Erkenntnisse der Cyberpsychologie

Cyberpsychologie befasst sich mit prinzipiell allen Aspekten der Mensch-Computer-Interaktion bzw. menschlichem Erleben und Verhalten innerhalb der Cyberdomäne. Im Bereich der IT-Sicherheitsforschung werden die unter dem Begriff „human factors“ zusammengefassten, in der menschlichen Natur liegenden Verhaltensphänomene untersucht, die individuelle und organisationale IT-Sicherheit mit beeinflussen. Während eine erschöpfende Diskussion des Themas hier weder möglich ist noch zielführend wäre, seien in Kürze einige wenige Beispiele genannt, welche für die Entwicklung wissenschaftlich fundierter Schulungskonzepte relevant sind.

Repeat-Clicker: Der Begriff „Repeat-Clicker“ bezeichnet eine spezielle Gruppe von Benutzern, die trotz mehrmaliger Teilnahme an Sicherheitsschulungen und ohne jegliche schädlichen Absichten immer wieder bei Phishing-Simulationen scheitern. Diese Personen fallen insofern besonders auf, als sie wiederholt auf bösartige Links klicken oder sensible Informationen preisgeben, obwohl sie bereits mehrere Schulungen durchlaufen haben, die sie auf die Risiken und Gefahren solcher Aktionen aufmerksam machen sollten. Jüngste Forschungsergebnisse, die auf besonders umfangreichen Stichproben beruhen, haben gezeigt, dass etwa einer von zwanzig Usern als ein solcher Repeat-Clicker identifiziert werden kann. Obwohl diese Gruppe nur einen relativ kleinen Teil der Gesamtbenutzer ausmacht, ist sie für ein außerordentlich hohes Maß an fehlerhaftem Verhalten verantwortlich: Die Repeat-Clicker waren in diesen Studien für insgesamt ein Drittel des beobachteten Fehlverhaltens in Phishing-Simulationen verantwortlich. Daher wird deutlich, dass diese Benutzergruppe von den herkömmlichen Schulungen in der Regel kaum profitiert. Es erfordert individuell angepasste Maßnahmen – darunter auch technische Sicherheitsvorkehrungen – um das Risikoverhalten dieser Benutzergruppe effektiv zu minimieren und die damit verbundenen potenziellen Schäden einzudämmen. Daraus ergibt sich eine wichtige Implikation für die Konzeption und Umsetzung von IT-Sicherheitsmaßnahmen: Eine Vernachlässigung dieser Tatsache, beispielsweise durch eine einseitige Konzentration auf Mittelwerte, die die Besonderheiten und Anomalien innerhalb der Benutzerpopulation übersehen, kann sich als höchst ineffektiv erweisen. Eine zielgerichtete, auf die spezifischen Bedürfnisse und Verhaltensweisen der unterschiedlichen Benutzergruppen abgestimmte Herangehensweise an die IT-Sicherheit ist daher entscheidend, um die durch Phishing und ähnliche Angriffe entstehenden Risiken wirksam zu reduzieren.

Meldeverhalten: Das Meldeverhalten nach dem Erhalt von Phishing-Simulations-E-Mails wurde in statistischen Analysen untersucht. So hat sich in Untersuchungen gezeigt, dass ein erheblicher Prozentsatz der Benutzer die Aufforderungen zum Melden verdächtiger E-Mails ignoriert. Fast 50 % der Teilnehmer führen solche Meldungen nicht durch. Dieses Verhalten stellt eine unnötige Sicherheitslücke dar, da das Melden verdächtiger E-Mails ein zentraler Bestandteil der Reaktionsstrategien auf Phishing-Angriffe ist. Trotz des hohen Bewusstseins für die Bedrohung durch Phishing-Angriffe und der allgemeinen Anerkennung der Notwendigkeit eines proaktiven Handelns zur Eindämmung solcher Angriffe ist die Nichtbeachtung von Meldungsanforderungen ein weitverbreitetes Phänomen. Gründe für diese Diskrepanz sind unter anderem die Wahrnehmung, dass das Melden verdächtiger E-Mails zu kompliziert oder zeitaufwändig ist, oder dass die Meldung keinen wirklichen Unterschied macht. Es ist jedoch wohlbekannt, dass die Kombination aus einer starken Kommunikationsstrategie und dem Bereitstellen von leicht zugänglichen Meldemechanismen – wie zum Beispiel einem „Meldebutton“ mit entsprechender Rückmeldung – diesen Prozentsatz erheblich reduzieren könnte. Durch die Verbesserung der Meldungsprozesse und die Betonung ihrer Bedeutung in der IT-Sicherheitskommunikation könnten Organisationen die Melderate von verdächtigen E-Mails signifikant erhöhen.

Metakognition: Umfassende Literaturübersichten zu Phishing-Simulationen offenbaren ein überraschendes Phänomen. So ist bemerkenswert, dass Personen mit IT-Hintergrund – entgegen der weitverbreiteten Annahme, sie würden über ein verstärktes Bewusstsein und daher über verbesserte Abwehrstrategien verfügen – in solchen Simulationen nicht zwangsläufig besser abschneiden als ihre Kollegen ohne professionelle IT-Kenntnisse. Noch bemerkenswerter ist, dass IT-Fachleute sogar schlechtere Ergebnisse erzielen, wenn die Durchführung einer Phishing-Simulation im Voraus angekündigt wird. Dies mag auf den ersten Blick kontraintuitiv erscheinen, doch es gibt durchaus plausible Erklärungen für dieses Phänomen. Psychologische Theorien, oft übersehen in rein technisch orientierten Betrachtungsweisen, erweisen sich als nützliche Instrumente bei der Vorhersage von Verhaltensmustern im Kontext der IT-Sicherheit. Ein grundlegendes Beispiel hierfür sind die sogenannten „Elaboration-Likelihood-Modelle“. Diese Modelle, die auf den ersten Blick trivial erscheinen mögen, dienen der systematischen Erforschung von Bedingungen, unter denen Informationen entweder analytisch-rational oder oberflächlich-heuristisch kognitiv bearbeitet werden. Eine kritische Variable in diesem Kontext ist die Selbstwahrnehmung der eigenen Fähigkeit, eine bevorstehende Herausforderung zu bewältigen. Eine überhöhte Selbstwahrnehmung führt dazu, dass das tatsächliche Engagement in der Praxis abnimmt. Diese Beziehung zwischen Selbstwahrnehmung und Engagement haben wir in eigenen Studien zur Erkennung von Deepfakes an umfangreichen Stichproben nachgewiesen. Es stellte sich heraus, dass bei Personen ohne IT-Hintergrund eine Selbstüberschätzung von etwa 20 % vorlag, was vorwiegend auf männliche Teilnehmer zurückzuführen war. Bei Personen mit professionellem Hintergrund in IT-Sicherheit stieg diese Selbstüberschätzung sogar auf einen beachtlichen Faktor von 1,85 an. Diese Überschätzung um 85 % stellt ein enormes, bisher ungenutztes Potenzial zur Risikoreduktion dar. Dieser Befund ist von entscheidender Bedeutung, insbesondere weil Personen aus dem Bereich der IT-Sicherheit aufgrund ihrer weitreichenden Zugriffsrechte und Legitimationen besonders attraktive Ziele für gezieltes Social Engineering darstellen. Obwohl diese Experten sich der Gefahren des Social Engineering durchaus bewusst sind, unterstreicht das Modell die Tendenz zur Selbstüberschätzung dieser Fachleute. Ein Grund für diese Selbstüberschätzung liegt darin, dass IT-Sicherheit überwiegend als originär technische Herausforderung betrachtet wird. In dieser Sichtweise werden sowohl mit einem Payload versehene E-Mails als auch Deepfake-Videos als technisch erzeugte Produkte verstanden. Was den Empfängern jedoch oft entgeht, ist die Tatsache, dass es bei der Wahrnehmung solcher Medien weniger um deren technische Herstellung, sondern vielmehr um die Wahrnehmung des Endprodukts geht. Es handelt sich also um einen rein perzeptuellen und kognitiven, das heißt um einen psychologischen Prozess. Kenntnisse der Malware und ihrer Konsequenzen bieten dabei keinen offensichtlichen Vorteil. Es ist daher unerheblich, ob der Text einer Phishing-E-Mail oder ein Deepfake-Produkt auf einem Bildschirm, einem Pergament oder in Stein gemeißelt wahrgenommen wird. Diese Erkenntnisse unterstreichen die Bedeutung der Einbeziehung psychologischer Aspekte in die IT-Sicherheitsstrategien und -ausbildungen, um effektiv auf die wachsenden Bedrohungen der modernen digitalen Welt zu reagieren.

Kriterien zur Bewertung von IT-Sicherheitsschulungsangeboten

Wie also lassen sich qualitativ hochwertige Schulungsangebote mit nachhaltigen Effekten auf die Cyberresilienz eines Unternehmens von solchen Angeboten unterscheiden, die sich bestenfalls für das Abhaken notwendiger Übel zur Erfüllung von Minimalanforderungen (z.B. ISO-Zertifizierung) eignen? Die hierfür geeigneten Kriterien entsprechen einer „Checkliste“, die in der Realität nicht als erreichbar zu gelten hat. Sowohl auf Anbieter- als auch Kundenseite können praktische Gegebenheiten etliche der zu nennenden Punkte in ihrer Umsetzung verhindern. Dennoch sollen diese im Sinne eines Best-Practice-Ansatzes als Orientierung für Kunden dienen, welche sich entweder mit der Beauftragung externer Dienstleister zur Durchführung von Sicherheitsschulungen auseinandersetzen, oder mit der eigenständigen Entwicklung und/oder Implementierung von Schulungen befassen.

Neun Beispiele als Kriterien nachhaltig wirksamer Schulungen:

• Fragen Sie den Anbieter nach einem „Nachhaltigkeitskonzept“ der angebotenen Schulungen: Haben sich die Entwickler der Schulungskonzeption mit der Dauer der zu erzielenden Effekte jemals auseinandergesetzt? Existieren Daten bzw. wurde vorhandenes Material daraufhin ausgewertet? Wird bei Aussagen zur Wirkdauer empirisch argumentiert oder mit subjektiven Meinungen? Besteht eine Arbeitsdefinition von „Sicherheitskultur“ und auch eine Metrik, die den Grad der Annäherung an eine solche verdeutlicht?
• Werden Gewohnheiten etabliert? Ein Kriterium von herausragender Wichtigkeit ist die Frage, inwiefern das Schulungskonzept zu einer nachhaltigen Verhaltensänderung führen kann. Zertifizierungen wie nach ISO27k erfordern hauptsächlich niederschwellige Nachweise über Schulungsaktivitäten, keinen Wirkungsnachweis. Wenn Sie an einer langfristigen Wirkung interessiert sind, ist weder vorhandenes Wissen noch die Absicht ausschlaggebend, sich in Sachen IT-Sicherheit als User sicherer zu verhalten. Vorhandenes Wissen muss mit der Intention einer Verhaltensänderung verknüpft sein, und diese wiederum mit tatsächlichem Verhalten, welches längerfristig zutage tritt. Diese Wirkungskette von Awareness->Intention->Verhalten->Gewohnheit muss durch Schulungsmaßnahmen vollständig abgedeckt werden. Es kann gute Gründe geben, dass ein Problembewusstsein nicht zu einer Intention cybersicheren Verhaltens führt (z.B. Zeitnot, Konflikte mit dem Ziel produktiv zu sein). Verhaltenswissenschaftler beschäftigen sich schon seit langer Zeit mit der sogenannten Intentions-Verhaltens-Lücke und haben Rezepte für deren Minimierung. Wo diese Kette unvollständig ist und vor dem Erreichen neuer Gewohnheiten abgebrochen wird, ist kein nachhaltiger Effekt zu erwarten. Dort, wo lediglich Wissen vermittelt und Verhalten nicht mehr als nur punktuell überprüft wird, ist selbst dieser kurzzeitige Effekt nicht vorhanden, und es entsteht lediglich die Illusion gewonnener Kompetenzen. In der Cyberpsychologie der Hochschule Albstadt-Sigmaringen beraten wir Unternehmen auch zu Möglichkeiten, ihren Fortschritt innerhalb dieser Wirkungskette quantitativ und verlässlich mit bewährten Messinstrumenten zu erfassen.
• Richten sich die Schulungsangebote nur an End-User und haben sie einen eher niederschwelligen Charakter, was die vorausgesetzten Technikkenntnisse angeht? Wie empirische Forschung konsistent immer wieder zeigt, ist selbsteingeschätzte Kompetenz im Bereich IT-Sicherheit ebenso irrelevant wie formelle professionelle Hintergründe, wenn es um die Vulnerabilität gegenüber Social-Engineering-Attacken geht. Mit Blick auf die besondere taktische Attraktivität von IT-Sicherheits-Personal in Unternehmen aus Sicht eines Angreifers wäre es daher nicht nachvollziehbar, IT-Personal von Schulungsmaßnahmen bzw. Simulationen von Social-Engineering-Attacken auszunehmen. Gleichwohl geschieht dies häufig dort, wo diese IT-Spezialisten in Kampagnen involviert sind, oder den Auftraggebern gegenüber externe Anbieter repräsentieren und sich nicht selbst “testen“ lassen wollen.
• Handelt es sich um eine one-size-fits-all-Intervention? Es gehört zu den trivialen Tatsachen in allen Bildungskontexten, dass die Auswahl des Schwierigkeitsgrades von Lerninhalten, die zu Verhaltensänderungen führen sollen, an die Voraussetzungen der Lernenden angepasst sein muss. Wo die Gefahr besteht, dass sich einige ob der einfachen vermittelten Lerninhalte langweilen, und andere wiederum sich u.U. immer noch überfordert fühlen, oder die Aufgaben sich nicht am Aufgabenprofil der Lernenden orientieren, kann auch keine Motivation erwartet werden. Während dies in Bildungskontexten allgemein bekannt ist, wird die Berücksichtigung einer angemessenen „Skill-Challenge-balance“ in IT-Sicherheitsschulungen häufig noch ignoriert. Je granularer die Angebote, desto höher der Aufwand und die Kosten, so das Argument. Das Ignorieren der Heterogenität der zu bildenden Gruppe führt allerdings fast zwangsläufig zu Fehlinvestitionen. Einfache Tools, die der Eingruppierung von Menschen zu den für sie geeigneten Schulungsmaßnahmen dienen, existieren im akademischen Bereich und könnten problemlos eingesetzt werden. Lassen Sie sich nicht durch Datenschutzbedenken schachmatt setzen – es gibt Möglichkeiten der Pseudonymisierung, welche individuelle Lernkurven ermöglichen, ohne Personen direkt identifizieren zu können, wo dies nicht gewünscht ist. Des Weiteren könnte argumentiert werden, dass IT-Sicherheitsverhalten sich nicht grundsätzlich von anderen Leistungen und beruflichen Qualifikationen unterscheidet und es daher keinen Grund gibt, dass eigene und für die jeweilige Tätigkeit zweifelsohne höchst relevante Leistungsniveaus vor dem im Angriffsfall in seiner Gänze betroffenen Unternehmen geheim gehalten werden müssen.
• Ist Spearphishing Teil des Schulungspakets? Weit über 90 % erfolgreicher Ransomware-Attacken beginnen mit einem Spearphishing-Angriff. Dies besonders gern bei Personen auf der Führungsebene. Spearphishing-Simulationen sind aufwendig und ggf. unbeliebt, da das Scheitern von den Betroffenen persönlich genommen wird. Den mit Abstand wichtigsten Angriffsvektoren aus einer Schulung auszulassen, ist allerdings keine geeignete Lösung und reduziert den Nutzen von vornherein.
• Werden Gründe für Noncompliance festgestellt und angegangen? Einer der wesentlichsten Hinderungsgründe für cybersichereres Verhalten von Mitarbeitern ist neben Desinteresse und mangelnder Einsicht ein wahrgenommener Widerspruch zwischen auferlegter Vorsicht und dem individuellen Ziel, produktiv und effizient zu arbeiten. Diese Produktivitäts-Ziel-Konflikte werden schon von der ENISA, der Europäischen Agentur für Cybersicherheit, als wesentliche Herausforderung bezeichnet. Diese Art von Konflikten kann durch technische Alternativen, veränderte Anreizsysteme und Prozessoptimierungen angegangen werden. Jedoch sind diese Lösungsmöglichkeiten individuell abzuklären und erfordern zusätzliche Assessment-Maßnahmen.
• Wird Meldeverhalten in den Vordergrund gerückt? Die meisten Schulungskonzepte beinhalten vor allem das Erkennen von Social Engineering auf individueller Ebene. Nicht alle Anbieter berücksichtigen die immense Wichtigkeit des Meldeverhaltens bei verdachtserregenden Situationen. Wird beispielsweise eine verdächtige E-Mail als solche an die IT gemeldet und entsprechend „entschärft“, reduziert sich bei frühzeitiger Reaktion der ersten Person ja nach Verbreitungsgrad die Exposition zahlreicher weiterer Personen, auf deren Wachsamkeit man dann nicht mehr angewiesen wäre. Meldebuttons, die durch Rückmeldungen zur Compliance motivieren, sind hier wirkungsvoll, doch in zahlreichen Kampagnen weiterhin nicht umgesetzt.
• Werden Repeat-Clicker identifiziert? Wie oben bereits angesprochen, ist diese Minderheit von Belegschaften für eine Vielzahl von Incidents verantwortlich. Diese nicht gesondert zu betrachten, um das Risiko einzudämmen, obwohl die Datenbasis prinzipiell vorliegt, reduziert die Wirksamkeit einer Kampagne massiv.
• Besteht ein Evaluationskonzept? Qualitätsorientierte Anbieter verfügen über ein überzeugendes Konzept zur Evaluation von Einzelmaßnahmen und Gesamtinterventionen. Dabei folgen sie, trotz der praktischen Herausforderungen, den wissenschaftlichen Grundsätzen der Datenerhebung und -auswertung. Die so erhobenen Ergebnisse dienen der kontinuierlichen Qualitätsentwicklung und berücksichtigen ausdrücklich Daten von Personen, die wenig oder gar nicht von den Interventionen profitiert haben. Obwohl die gewünschten Auswirkungen von IT-Sicherheitsschulungen in erster Linie auf der Verhaltensebene messbar sind, sind die Gründe für fehlenden Interventionsnutzen oft nicht sichtbar. Professionelle Anbieter erkennen diese Tatsache an und berücksichtigen in ihren Datensätzen zwingend Individuen, die nicht von den Interventionen profitiert haben, um mithilfe der hier gewonnenen (empirischen) Erkenntnisse ihr Produkt weiterzuentwickeln.

Die Notwendigkeit von Mitarbeiterschulungen zur Steigerung der Cyberresilienz wird immer dringender, sei es durch regulatorische Anforderungen, normative Verpflichtungen oder schlichte Erkenntnis. Es ist empirisch erwiesen, dass sorgfältig durchgeführte Schulungen einen immensen Nutzen stiften können, vorausgesetzt, sie dienen als Ergänzung und nicht als Ersatz für technische Sicherheitsmaßnahmen. Der stetig expandierende Markt für Beratung und Schulung zeichnet sich hinsichtlich „human factors“ durch eine hohe Nachfrage und leider auch durch eine erhebliche Qualitätsvarianz aus. Oftmals lässt die methodische Qualität vieler Maßnahmen in Bezug auf die angestrebten nachhaltigen Verhaltensänderungen zu wünschen übrig. Kriterien zur Beurteilung externer Beratungsangebote können Sie von unabhängigen Experten aus dem Bereich der angewandten Wissenschaften erhalten. Machen Sie sich diese bedeutenden Investitionen in Ressourcen sowie die Geduld Ihrer Mitarbeiter zunutze, und Sie haben die Chance, signifikante Verbesserungen in der organisatorischen Cyberresilienz zu erzielen.