Innerhalb der meisten Organisationen gibt es einige Mitarbeiter, die stets achtsam sind und jegliche Phishing-Versuche abwehren, indem sie bedacht und aufmerksam arbeiten. Auf der anderen Seite gibt es allerdings auch Anwender, die regelmäßig Opfer von Phishing-E-Mails werden, indem sie Anzeichen von Social Engineering-Angriffen missachten oder nicht erkennen. Diese Gruppe wird als „Vielklicker“ bezeichnet.
Für Unternehmen ist es entscheidend, wenn die Achtsamkeit dieser Vielklicker gesteigert wird. Sie sollten weniger anfällig für Phishing-Taktiken werden, um Arbeitgeber und sich nicht zu gefährden. Diese Gruppe von Anwendern dazu zu bringen aufmerksam zu sein und ein zunächst vermitteltes und dann gelerntes Sicherheitsverhalten bewusst abzurufen, wenn ihnen eine Anfrage seltsam vorkommt, ist kein leichtes Unterfangen. Im Kontext der Cybersicherheit bezieht sich Achtsamkeit auf aktive Aufmerksamkeit für digitale Kommunikationen, um Sicherheitsverstöße zu verhindern.
Dabei umfasst der Begriff:
- Bewusstsein: Die Person ist sich der potenziellen Gefahren bewusst und zeigt Aufmerksamkeit für die Details jeder Kommunikation.
- Erkennung: Die Fähigkeit, Phishing-Anzeichen wie verdächtige Links oder unbekannte Absender zu erkennen.
- Fokus: Eine achtsame Person handelt nicht automatisch, sondern prüft jede Nachricht bewusst.
- Absichtlichkeit: Handlungen erfolgen bewusst und nicht impulsiv.
- Aktionsfähigkeit: Statt reaktiv zu handeln, agiert eine achtsame Person gemäß erlernten Verhaltensweisen aus Schulungen und greift auf bewährte Verfahren zurück.
Für die Verantwortlichen, die mit der Durchführung von Security Awareness-Maßnahmen betraut sind, ist es wichtig sicherzustellen, dass diese Vielklicker regelmäßig Security Awareness-Trainings durchlaufen. Darüber hinaus müssen sie darauf achten, dass diese Mitarbeiter daraus auch etwas mitnehmen und ihr Verhalten dauerhaft ändern. Sicherheitsteams sollten in Erwägung ziehen, dass Mitarbeiter, die sich dabei besonders schwertun unter Umständen individuelle Schulungen durchlaufen sollten.
Generische Inhalte, die auf die gesamte Bandbreite der Cyberbedrohungen und Social Engineering-Techniken abzielen, sind hier nicht der richtige Weg. Stattdessen gilt es ganz gezielt Inhalte auszuwählen, die einzelne Themen in den Fokus stellen, um die gewünschten Effekte zu erreichen. Security Awareness-Beauftragte sind dazu angehalten, ein genaues Verständnis zu schaffen, wie Warnsignale in Zukunft erkannt und überprüft werden, ohne dabei Risiken einzugehen.
Achtsamkeit spielt seit einigen Jahren eine wichtige Rolle in den Personalabteilungen in deutschen Unternehmen. Das Konzept findet zunehmend Anwendung in der Cybersecurityc. Beispielsweise können Techniken der Achtsamkeit (Mindfulness) die Belegschaft direkt befähigen, insofern diese durch gezielte Schulungen vermittelt werden. Oftmals sind es Ablenkungen, die durch gezieltes Planen und Fokusarbeit vermieden werden sollen.
Beispielsweise sollten Mitarbeitende Emails und andere Benachrichtigungen während dieser Zeit abstellen. Da Fokusarbeit sehr energieraubend ist, gilt es zudem ausreichend Pausen einzuplanen, mindestens 5 Minuten nach 45 Minuten Arbeit. Die wichtigste Erkenntnis ist, dass in der Langsamkeit die Geschwindigkeit liegt. Mit mehr Fokus auf weniger Tätigkeiten kann oftmals mehr erreicht werden.
Fazit
Die Befähigung der Mitarbeiter zur aktiven Teilnahme an der Cyberabwehr stellt eine Herausforderung dar. Die Erhöhung der Schulungsfrequenz und vor allem die Anpassung der Schulungsinhalte an individuelle Bedürfnisse können jedoch durchaus Erfolge zeitigen. Das stärkt nicht nur die Sicherheitskultur der Organisationen insgesamt, sondern auch das Selbstvertrauen der Betroffenen. Im besten Fall wird die Resilienz einer Organisation dadurch gesteigert, weil das Potential für Fehlklicks verringert wurde.