Awareness messen

Wie Ihr Security-Training erfolgreich wird

Betriebsrat und Datenschutz

Erhebungen über den Erfolg von Kampagnen, bei denen beispielsweise per Phishing-Test oder Clean Desk Checks das Verhalten von Mitarbeitern am Arbeitsplatz überprüft wird, müssen oft mit dem Betriebsrat abgestimmt werden. Bei den meisten Aktivitäten ist dieses Vorgehen eindeutig von Vorteil. Erfolgt in Ausnahmefällen die Abstimmung nicht mit dem Betriebsrat, sind unbedingt das Management und der Aufsichtsrat vorab in Kenntnis zu setzen, um ein generelles Einverständnis einzuholen. Diese Instanzen können dann im Zweifel beschwichtigen oder aber die Maßnahme intern erklären und begründen.

Als grundsätzliche Maxime gilt jedoch, dass alle Erhebungen aus Datenschutzgründen und um die Interessen der einzelnen Mitarbeiter zu schützen, stets anonymisiert vorgenommen werden müssen. Wird die Einhaltung richtlinienkonformen Verhaltens der Mitarbeiter geprüft, sollte dies nicht mit "erhobenem Zeigefinger" getan werden, sondern mit einem Belohnungsaspekt für die Mitarbeiter verbunden sein. Als Mittel der Wahl zur Messung werden sehr häufig (un-)systematische Befragungen, Audits und Assessments oder Beobachtungen eingesetzt. Vor allem die tagtägliche Beobachtung ist ein probates Mittel, um Verhaltensänderungen am Arbeitsplatz festzustellen, sei es durch einen erneuten Phishing-Test oder durch einen Clean Desk Check am Ende des Bürotages.

Positive Reize

Beliebt sind vor allem teamfördernde Aktionen, bei denen zwischen den Abteilungen ein positiver Wettkampf entsteht. Mit Anreizen wie Pokalen oder Zertifikaten, die nur über eine gewisse Dauer in den Büros verbleiben und dann erneut "verteidigt" werden müssen, kann ein dauerhafter Verhaltenswandel in die gewünschte Richtung entstehen. Hier steht auch der Betriebsrat in der Regel hinter den Aktionen, weil es nicht darum geht, Schelte zu verteilen, sondern dem Einzelnen als Teil seiner Abteilung für seine Auseinandersetzung mit dem Thema zu belohnen. Natürlich ist für die Schaffung dieser positiven Anreize auch ein entsprechendes Budget sowie eine entsprechende personelle Ausstattung nötig. Dies führt dann als nächstes auch zu der Antwort auf die Frage, in welchem Abstand die Erfolgsmessung durchgeführt werden sollte.

"Für die Vorbereitung einer Awareness-Kampagne sollte mindestens ein halbes Jahr Vorlaufzeit eingeplant werden. Zwar ist es sinnvoll, die "lessons learned" aus der Kampagne sofort nach deren Ende gemeinsam zu erarbeiten und zu dokumentieren; eine erneute Messung einer Verhaltensänderung sollte aber mit einem hinreichend langen zeitlichen Abstand von beispielsweise drei Monaten zum Ende der Kampagne erfolgen, um stärkere Aussagekraft bezüglich des Standes der Bewusstseins- und Verhaltensänderung zu haben", erklärt Helisch.

Fazit

Security -wareness-Kampagnen sind ein probates Mittel, um das Verhalten von Mitarbeitern zu verändern. Allerdings sind diese Kampagnen auf einen relativ kurzen Zeitraum angelegt und das erlernte Wissen schnell vergessen. Deshalb gibt es durchaus Sinn, sich über geeignete Messinstrumente Gedanken zu machen, mit denen sich die Gewohnheiten der Mitarbeiter auch noch Monate nach der erfolgten Kampagne evaluieren lassen. Hier sind vor allem positive Anreize interessant und beliebt, um nicht nur das gewünschte Ziel des besseren Schutzes der sensiblen Unternehmensdaten von innen heraus, sondern gleichzeitig auch noch teamfördernde Effekte zu erzielen. Wichtigstes Mittel bleibt dabei die Beobachtung mit der sich, wohl protokolliert, das Verhalten über längere Zeiträume erfassen und Änderungen zielgerecht steuern lassen. (sh)