Cybershaming kann definiert werden als jede Handlung, jedes Verhalten oder jede Äußerung, die darauf abzielt, andere Menschen auf elektronischem Wege zu beschämen und zu demütigen, um sich zu rächen, zu bestrafen oder auch nur, um sie in ernsthafte Verlegenheit zu bringen; deshalb wird es als eine hinterhältige Form des Cyber-Mobbings betrachtet.
Aus Cyber-Sicherheitssicht handelt es sich vor allem um ein zumeist vernachlässigtes Problem. Wenn Mitarbeitende beispielsweise einen falschen Klick auf eine Phishing-E-Mail getätigt haben und dies verheimlichen. Für die IT-Sicherheitsverantwortlichen ist ein Verschweigen und Zurückhalten von Problemen auf dem eigenen Rechner oder anderen Geräten ein riesiges Sicherheitsrisiko.
Sie verfügen nicht immer über die geeigneten Mittel, um unvorhergesehenes Verhalten technisch zu erfassen und nachverfolgen zu können. So bleiben in der Folge Cyber-Angriffe unerkannt und Schäden erhöhen sich, weil Cyber-Kriminelle zu viel Zeit in den Firmennetzwerken eingeräumt bekommen.
Das Schweigen, das Cybershaming, führt dazu, dass selbst aus einem kleinen Fehler ein für das Unternehmen existenzbedrohendes Problem entsteht. Die Frage stellt sich, warum Mitarbeiter diese Vorfälle nicht melden. Die Antwort lässt sich zumeist in der Unternehmenskultur finden. Ist diese durch eine Fehlerkultur geprägt, werden Mitarbeiter mehr Angst vor den internen als vor den externen Folgen haben.
Warnung vor Cybershaming durch negative Fehlerkultur
Neben der psychologischen Komponente ist es außerdem auch ein wirtschaftlicher Faktor, wenn Mitarbeiter abgemahnt werden, sind sie weniger motiviert. Werden sie dann im schlimmsten Fall bei Wiederholung auch noch abgestraft, beispielsweise durch Lohnenthalt oder gar mit Entlassung gedroht, fehlt wohlmöglich wichtiges Wissen, Arbeitskraft und erwächst ein potentieller Innentäter, der sich auch noch rächen will.
Das Verhalten wird durch die interne Kommunikationskultur geprägt. Eine Änderung ist also nur durch einen Turnaround zu bewerkstelligen. Eine Atmosphäre aus Angst und Druck führt zu einer Situation, aus der aus Cybershaming ein Cyber-Risiko erwächst. Sie führt sogar zu einer Art Gleichgültigkeit, die sich dann auch nicht mit Trainingsmaßnahmen beheben lässt.
Lösungsansatz Security Awareness-Training
Deshalb sollte Security Awareness mit positiven Verstärkungen arbeiten und – richtig eingesetzt – dem Cybershaming vorbeugen und die Sicherheitskultur einer Organisation stärken. Hier hilft der Dreiklang aus Vertrauen, Transparenz und positiver Verstärkung.
Viel Kommunikation sowohl zu Beginn einer Maßnahme als auch bei der Durchführung sind elementar, um Vertrauen zurückzugewinnen. Transparenz entsteht, wenn allen Beteiligten klar ist, welche Folgen welches Verhalten während simuliertem Phishing wie auch dem Absolvieren der Schulungsmaßnahmen per E-Learning hat.
Bei der Security Awareness geht es letztlich darum, durch die Mithilfe der Belegschaft das gesamte Cyber-Sicherheitsrisiko für eine Organisation zu reduzieren. Daraus resultiert ein Spannungsfeld für das Personaltraining und die Kommunikation. Stetiges warnen vor negativen Auswirkungen fehlgeleiteten Handelns führt nicht zu einer langfristigen Verhaltensveränderung. Eine positive Bestätigung von Verhaltensveränderungen ist notwendig und angezeigt.
Eine stete Warnung vor den Risiken eines falschen Klicks und daher Fehlverhalten ist gegenläufig. Wird das nicht erkannt, ist das Resultat oft Cybershaming und führt zu einem Verlust der Motivation der Mitarbeiter. Security Awareness-Programme verfehlen dann den gewünschten Effekt.
Mit negativ belasteter Kommunikation ist es schwer nachhaltig positive Verhaltensveränderungen zu erreichen – insbesondere auch dann, wenn Einzelpersonen direkt angegangen werden. In diesen Fällen ist das Cybershaming besonders problematisch. Im Zentrum darf also nicht länger der Fehlschlag stehen, sondern das Verlangen zum Fortschritt und zur Verbesserung.
Security Awareness Training, dass Wissen über Bedrohungen auf eine klar verständliche Weise vermittelt und kontinuierlich Feedback gibt, kann darüber hinaus nicht komplett automatisiert erfolgen. Zum einen sollte es aus abwechslungsreichen Inhalten bestehen, die auf verschiedene Tätigkeiten ausgelegt sind.
Zum anderen ermöglichen simulierte Phishing-Tests ein Feedback in nahezu Echtzeit, dass durch alltägliche Betreffzeilen Mitarbeiter schult und wachsam bleiben lässt. Durchgehend sollte ein Trainer als Ansprechpartner zur Verfügung stehen, der sich über seine Kommunikation einen Ruf als Vertrauensperson erarbeitet. Diese Person benötigt die Unterstützung der Geschäftsführung und anderer beteiligter Organe. Sie alle müssen weg kommen von einer Fehlerkultur zu einer unterstützenden Lernkultur. Schon beim Aufsetzen des Trainingsprogramms kommt es darauf an, den Mitarbeitenden ein Gefühl der Sicherheit zu vermitteln und von Beginn an eine positive Lernumgebung zu schaffen.
Verantwortliche sollten die folgenden Grundsätze für den Aufbau von positiven Security Awareness-Programme beachten:
- Das Programm braucht einen positiven Rahmen: Die Reaktion der Mitarbeiter auf simulierte Phishing-Ereignisse steht in direktem Zusammenhang mit der Art und Weise, wie die Trainer das Programm vermitteln. Wenn die Mitarbeiter das Gefühl haben, dass das Hauptziel darin besteht, sie auszutricksen, dann entsteht nur Misstrauen.
- Landing Pages mit den richtigen motivierenden Botschaften erstellen: Die Zeit unmittelbar nach einem fehlgeschlagenen Phishing-Test ist der kritischste Moment für Botschaften. Die Mitarbeiter fühlen sich natürlich am verletzlichsten und sensibelsten, wenn sie auf einen simulierten Angriff hereingefallen sind. Wenn dann positive Signale gesendet werden, Verständnis geäußert wird und vor allem Wege aufgezeigt werden, wie sie es besser machen können, ist viel gewonnen.
- Neue Verhaltensweisen vermitteln: Mitarbeitern muss die Möglichkeit gegeben werden, neue Verhaltensmuster zu entwickeln, indem ihnen Ersatzverhaltensweisen angeboten werden. Diese müssen verständlich und wie angedeutet positiv kommuniziert werden.
- Messen und trainieren von individuellen Fähigkeiten der Mitarbeiter: In allen Unternehmen sind Mitarbeiter unterschiedlich gut in der Lage, simulierte Phishing-Attacken zu erkennen. Ein abgestuftes System von Phishing-Tests für die Mitarbeiter ist sinnvoll, um sie entsprechend ihrem aktuellen Kompetenzniveau zu schulen und ihnen die Möglichkeit zu geben, sich mit der Zeit zu verbessern.
- Häufigkeit der Maßnahmen: Unternehmen, die nur jährliche oder vierteljährliche simulierte Phishing-Tests durchführen, führen eigentlich nur Grundlagenmessungen durch und trainieren keine Verhaltensänderung. Monatliche Phishing-Schulungen machen den Mitarbeitern klar, dass sie jederzeit auf den nächsten Phishing-Angriff vorbereitet sein sollten. Gleiches gilt auch für Schulungsmaßnahmen, auch hier sollten regelmäßig Inhalte zur Verfügung gestellt werden, um das Wissen Schritt für Schritt zu erhöhen.
Führungskräfte sind daher gut beraten, mehr über digitale Bedrohungen und den Umgang mit ihnen mit ihren Mitarbeitern zu sprechen. Die Informationen können sowohl am Arbeitsplatz als auch privat von Vorteil sein. Mehr Bewusstsein und Training können menschliche Verhaltensweisen verändern. Und wenn doch etwas schiefgeht, kann eine offene Firmenkultur mit entsprechender Sicherheitskultur dafür sorgen, dass die Opfer nicht von Cybershaming erdrückt werden und sich trauen, dies zu melden.
Schließlich ist der Wunsch, es beim nächsten Mal besser zu machen, wirksamer, als einfach im Boden zu versinken. Darüber hinaus geht es bei jedem Sicherheitsvorfall um den Faktor Zeit. Je früher und schneller die IT-Abteilung informiert wird, desto besser kann sie reagieren. Wenn das Opfer auch noch erklären kann, was der Auslöser war und was im Laufe des Vorfalls passiert ist, haben die Techniker eine größere Chance die Kontrolle über verlorene Systeme zurückzugewinnen.
Dr. Martin J. Krämer ist Security Awareness Advocate bei KnowBe4.