Wie neue Mitarbeiter sicher arbeiten
7 Tipps für Ihr Security Onboarding
Foto: Jacob Lund - shutterstock.com
"Wenn Sie ein Cyber Leader sind, werden Sie in diesem Jahr wahrscheinlich neue Talente einstellen", sagt Jerich Beason, CISO, Commercial Bank bei Finanzdienstleister Capital One. "Meine Erfahrung ist, dass die erste Woche im Unternehmen den Ton für die restliche Verweildauer der neuen Person im Betrieb angibt", schreibt er in einem LinkedIn-Post. "Nehmen Sie diese Gelegenheit nicht auf die leichte Schulter. Man hat nur eine Chance, einen ersten Eindruck zu hinterlassen." Beason schreibt außerdem, dass es zu den wichtigsten Aufgaben des Onboardings gehört, einen Überblick über die Sicherheitsvision, die Mission und die Kernwerte des Unternehmens zu geben. Darüber hinaus sollten neue Mitarbeiter durch die Sicherheitsstrategie und Security Roadmap geführt werden.
Andere CISOs stimmen den Erkenntnissen von Beason zu. Sie ergänzen, dass es wichtig ist, neue Mitarbeiter schnell und effektiv mit dem Cybersicherheitsprogramm des Unternehmens vertraut zu machen und sie in die Sicherheitsstrategie einzubeziehen. Ein Bericht von TalentLMS und Kenna Security aus dem Jahr 2021 spricht für den Bedarf an Aufmerksamkeit in diesem Bereich. Die Unternehmen befragten 1.200 Mitarbeiter zu ihren Cybersicherheitsgewohnheiten, ihrem Wissen über Best Practices und ihrer Fähigkeit, Sicherheitsbedrohungen zu erkennen. Die Analysten stellten fest, dass zwar 69 Prozent der Befragten von ihren Arbeitgebern Cybersicherheitsschulungen erhielten, 61 Prozent jedoch ein grundlegendes Quiz zu diesen Themen nicht bestanden.
Die erfahrenen Sicherheitsverantwortlichen, mit denen wir gesprochen haben, sagen, dass es viele Möglichkeiten gibt, das Sicherheitstraining besser zu gestalten – beginnend mit den ersten Tagen eines neuen Mitarbeiters. Hierfür geben sie sieben Tipps, für ein effektiveres Sicherheits-Onboarding.
Lesetipp: So überzeugen Sie Ihre Geschäftsführer von Security-Investitionen
1. Cybersicherheit ist Teil jeder Arbeit
Neue Mitarbeiter werden in ihren ersten Arbeitstagen mit Informationen bombardiert. Dabei kann es passieren, dass einige Informationen durchrutschen. "Wenn jemand an Bord kommt, ist die Person überwältigt. Sie hat einen neuen Job, eine neue Arbeitsumgebung, einen neuen Chef", sagt Lance Spitzner, technischer Direktor für das Security Awareness & Training Programm am SANS Institute. Anstatt also zu versuchen, alle erforderlichen Cybersicherheitsschulungen auf einmal durchzuführen, empfiehlt Spitzner, zu Beginn erstmal nur die Kernbotschaft zu vermitteln: alle Mitarbeiter tragen Verantwortung für die Informationssicherheit des Unternehmens.
"Wir wollen nicht, dass die Leute denken, dass eine Antivirus-Software ausreicht und dass IT-Sicherheit nur Aufgabe der Security-Abteilung ist", sagt Spitzner. Er stellt fest, dass die effektivsten Onboarding-Programme diejenigen sind, die klare Erwartungen setzen und eine Sicherheitsmentalität pflegen. "So stellen Sie sicher, dass neue Mitarbeiter wissen, dass Cybersicherheit Teil ihrer Arbeit ist, und dass sie nicht nur die Aufgabe des Cybersicherheitsteams ist, sondern alle mitverantwortlich sind."
Lesetipp: Wie Security-Kultur bei JetBlue geht
2. Die wichtigsten Informationen bereitstellen
Angesichts der überwältigenden Menge an Informationen, die auf neue Mitarbeiter zukommen, empfehlen erfahrene CISOs, mit ihnen spezielle Sicherheitssitzungen durchzuführen. Darin sollte im Rahmen des Onboardings darüber geredet werden, welche Ressourcen den Mitarbeitern zur Verfügung stehen, um ihre Arbeit IT- und datensicher zu erledigen.
"Ich habe ein Onboarding gesehen, bei dem das Sensibilisierungstraining ziemlich allgemein ist", berichtet Andrew Retrum, Managing Director in der Security and Privacy Practice bei Protiviti. Auf der letzten Seite, wenn das Training abgeschlossen ist, gebe es eine Reihe von Links zu den spezifischen Unternehmensrichtlinien, Kontaktinformationen für den Fall einer Datenschutzverletzung und einen Link zum sicheren Mitarbeiterportal. Das sei nicht sehr hilfreich. "Wenn ich ein neuer Mitarbeiter bin, deutet es auf eine schlechte Organisation hin, wenn die Details zu den Tools, die ich tatsächlich für meine Arbeit benötige, auf der letzten Folie stehen," sagt er.
Stattdessen sollte sich das Onboarding laut Retrum darauf konzentrieren, neue Mitarbeiter über die spezifischen Sicherheitsmerkmale, Funktionen und Tools sowie die Richtlinien des Unternehmens für sicheres E-Mailing hinzuweisen. Auch die ordnungsgemäße Klassifizierung von Daten, den sicheren Austausch geschützter Informationen mit Dritten und die sichere Handhabung anderer typischer Aufgaben sollten kommuniziert werden. "Diese müssen klar artikuliert werden, damit die Mitarbeiter, wenn sie mit ihrer täglichen Arbeit beginnen, wissen, wie sie sie sicher verrichten", sagt Retrum.
Lesetipp: Das kostet ein Datenschutzverstoß wirklich
3. Zeit nehmen und Vertrauen schaffen
Ein weiterer Ratschlag der CISOs: Nicht dozieren, sondern engagieren. "Wir sind alle für die Sicherheit verantwortlich und Teil des Erfolgs", formuliert Rich Lindberg, Vice President of Information Security und CISO bei JAMS Inc, die Botschaft. Daran müssten alle gemeinsam arbeiten. Aber damit diese Botschaft auch gehört und aufgenommen wird, müssen wir neuen Mitarbeitern zeigen, dass sie wichtig sind und Verbundenheit schaffen.
Um eine Beziehung zu den neuen Mitarbeitern aufzubauen, nehmen sich Lindberg oder sein Team viel Zeit, sich mit neuen Kollegen auszutauschen. "Ich könnte ein kurzes Briefing machen, ich könnte neuen Mitarbeitern einfach die Regeln geben, aber stattdessen wollen wir sie kennenlernen und uns vorstellen, damit Vertrauen entsteht." Er wolle, dass die Mitarbeiter bei Problemen und Fragen zu ihnen kommen. Er stellt sich neue Mitarbeiter als seine Kunden vor, denen er einen tollen Kundenservice bietet.
Lesetipp: 6 Wege, IT-Security-Profis abzuschrecken
4. Unternehmensspezifisches Onboarding
Ein Großteil des Messaging für neue Mitarbeiter ist in allen Organisationen standardisiert. Doch damit neue Mitarbeiter vom ersten Tag an sicher arbeiten, benötigen sie laut Jason Rader, Vice President und CISO des Technologieanbieters Insight Enterprises, mehr als ein generisches Schulungsmodul. "Ich habe festgestellt, dass je generischer die Module sind, desto nutzloser sind sie." Standardschulungsoptionen können seiner Meinung nach die Compliance-Anforderungen durchaus erfüllen. Sie würden aber neue Mitarbeiter nicht mit dem Wissen ausstatten, das sie für einen sicheren Betrieb benötigen.
Rader berichtet von Schulungen, in denen Videos verwendet werden, in denen lediglich "Befolgen Sie die Bring-Your-Own-Device-Richtlinie Ihres Unternehmens" und "Befolgen Sie die Passwortrichtlinie Ihres eigenen Unternehmens" steht, ohne die tatsächlichen Vorgaben anzugeben. Deshalb achtet der Vice President darauf, grundlegendes Onboarding-Material mit mehr Informationen zu ergänzen, die für das Sicherheitsprogramm von Insight spezifisch sind. "Ich versuche, das Onboarding sehr individuell für die Organisation zu gestalten. Dabei sprechen ich und der CIO darüber, wie das für uns am besten funktioniert."
Protiviti-Manager Retrum erinnert daran, die Trainings bei Bedarf zu aktualisieren und anzupassen. Er betont: "Risiken ändern sich, also ist das, was vor 18 Monaten wichtig war, vielleicht jetzt nicht mehr relevant, sondern ein anderes Thema." Zum Beispiel habe der Managing Director beobachtet, dass sich viele Sicherheitstrainings auf die physische Sicherheit konzentriert, ohne Smishing – Phishing über Textnachrichten – zu erwähnen, obwohl Ersteres ein geringeres Risiko darstellt und letzteres auf dem Vormarsch ist.
Lesetipp: Wenn Hacker sich als Chef ausgeben
5. Grundlagen standardisieren
Terence D. Jackson, Chief Security Advisor bei Microsoft und ehemaliger CISO, berichtet von Unternehmen, deren Sicherheits-Onboarding ad hoc durchgeführt wurden. "Die Vermittlung des Grundwissens war nicht formalisiert, es gab keine Dokumentation und keine Schulungsmaterialien", erinnert er sich. Jackson und andere CISOs warnen vor diesem Ansatz. Sie gehen zwar davon aus, dass die heutigen Arbeitnehmer ein grundlegendes Verständnis für Cybersicherheit haben. Sie betonen jedoch die Notwendigkeit, Sicherheitsgrundlagen in einem standardisierten, wiederholbaren Ansatz abzudecken. So lasse sich sicherstellen, dass jeder, unabhängig von seiner Rolle, Erfahrung und Langlebigkeit in der Belegschaft, genau weiß, was von ihm erwartet wird. "Sie können nicht erwarten, dass jemand eine Regel befolgt, von der Sie ihm nichts erzählen, die Sie nicht definiert haben", sagt Rader.
Beason berichtet, dass Capital One für das Onboarding Mitarbeiter unterschiedlicher Stufen einbindet. Kollegen, die ihren ersten Vollzeitjob in dem Unternehmen haben, langjährige Mitarbeiter, aber auch alles dazwischen. Sie können den neuen Mitarbeitern erklären, was von ihnen erwartet wird. "Wir möchten, dass alle neuen Mitarbeiter die Erwartungen kennen, die wir haben, denn IT-Sicherheit ist nicht in jeder Organisation gleich", sagt er. Bevor einem Mitarbeiter also Zugriff auf die Umgebung gewährt wird, sollte sichergestellt werden, dass er in dieser Umgebung sicher arbeiten kann sowie die Erwartungen, die das UNternehmen stellt, die Best Practices und die akzeptable Verwendung von E-Mails kennt.
Lesetipp: So begeistern Sie für IT-Sicherheit
6. Den Mitarbeiter in den Mittelpunkt stellen
Obwohl die Informationen zu grundlegenden Sicherheitselementen standardisiert sein sollten, empfehlen CISOs, die Informationen über individuelle Kanäle an die Mitarbeiter zu vermitteln. Das bedeutet, Sie sollten die Medien, die Sie für das Security Onboarding nutzen, an den jeweiligen Mitarbeiter anpassen. Jackson sagt: "Geben Sie den Arbeitnehmern die Flexibilität, um sicher zu arbeiten und gleichzeitig ihre Bedürfnisse zu erfüllen. Programme, die das tun, neigen dazu, besser zu funktionieren als solche mit strengen Einheitsperspektiven."
Jackson von Microsoft verweist auf seine jüngste Onboarding-Erfahrung, die es neuen Mitarbeitern ermöglicht, das Schulungsmaterial zu lesen, zu hören oder eine Mischung aus beidem. Er sagt, dass er es oft vorzieht, Trainingsmaterialien zu hören, aber komplexere Informationen lieber liest. Es gehe darum, die Belegschaft dort abzuholen, wo sie gerade steht. Er fügt hinzu: "Versuchen Sie, den Mitarbeiter in den Mittelpunkt zu stellen."
Lesetipp: 13 Merkmale sicherheitsbewusster Vorstände
7. Einmalige Security Onboardings reichen nicht
Ram Hegde, Senior Vice President und CISO von Genpact, einem Unternehmen für IT-Service-Management, glaubt, dass die Sicherheitsbotschaft für neue Mitarbeiter "leicht zu verstehen und effektiv" sein sollte. Wie viele andere CISOs, ist auch er der Meinung, dass Menschen, die einen neuen Job beginnen, nicht alle Informationen behalten können, die sie in den ersten Wochen bekommen. "Die Anfangszeit ist also wahrscheinlich nicht die beste Zeit, um sie mit Infos zu bombardieren, ihnen viele zusätzliche Aufgaben zu geben, die mit dem Security Onboarding in Zusammenhang stehen und für tiefergehende Schulungen einzuplanen. Denken Sie an das Basistraining und konzentrieren Sie sich zu Beginn auf die größten Risiken", sagt Hegde.
Er selbst verwendet ein interaktives Online-Schulungsportal. Es ermöglicht neuen Mitarbeitern, sich schnell durch das Material zu klicken, das sie bereits kennen und so mehr Zeit mit neuen Informationen sowie Lerneinheiten zu verbringen. "Das Portal stellt sicher, dass die Neuen bekommen, was sie brauchen, aber es hält sie nicht länger auf als nötig", sagt er. Zu dem Material, das er zuvor verwendete, habe er das Feedback bekommen, dass es zu ausführlich, langweilig und redundant sei. All dies veranlasste seinen Arbeitgeber dazu, auf die kürzeren und ansprechenderen Inhalte umzusteigen. "Wir wollten sicherstellen, dass wir zuerst die wichtigsten Aspekte auswählen, indem wir eine Vielzahl von Hintergründen unserer Mitarbeiter berücksichtigen. Und dann haben wir eine gezieltere Schulung basierend auf dem Profil dieser Mitarbeiter entwickelt", erklärt Hegde.
Wie viele andere CISOs, betont auch Spitzner von SANS, dass Schulungen für mehr Sicherheitsbewusstsein keine einmalige Übung sind. "Man kann in 30 Minuten kein realistisches Sicherheitsverhalten entwickeln, egal wie interaktiv das Training ist", sagt Spitzner. Der Schlüssel, damit neue Leute sicher arbeiten, bestehe in der kontinuierlichen Weiterbildung während ihrer gesamten Karriere. "Wenn sie also an Bord kommen, sagen Sie ihnen, dass die IT-Sicherheit in ihrer Verantwortung liegt, und solange Sie hier sind, werden Sie kontinuierlich in Bezug auf Cybersicherheit geschult. Diese andauernde Schulung ist es, die eine nachhaltige Sicherheitskultur wirklich aufbaut," resümiert er. (ms)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.