5 Tipps für eine erfolgreiche Awareness Kampagne

Schlechte Awareness Kampagnen sind schnell geplant – doch um diese erfolgreich mit langfristigen Lerneffekten umzusetzen, sollten einige Aspekte bereits bei der Planung berücksichtigt werden. Unsere 5 Tipps für die erfolgreiche Durchführung von Awareness Kampagnen unterstützen Sie dabei! Grundsätzlich sollten Sie stets auf die Zielgruppe schauen. Haben Sie Key Account Manager, die Geschäftsführung oder Auszubildende vor sich? Unsere Tipps geben dabei nur einen Überblick und bilden keine Vollständigkeit ab. Je nach Umstand, Zielgruppe und Kontext könnten weitere Punkte wichtig sein, die Sie berücksichtigen sollten.

1. Betriebs- und Personalrat frühzeitig einbeziehen

Entscheidend für den Erfolg ist die frühzeitige Einbeziehung aller Beteiligten. Dabei sollte nicht nur informiert, sondern um Meinung und Mitarbeit gefragt werden. Vor vollendete Tatsachen gestellt zu werden ist kein gutes Signal für die Entscheidungsfindung oder die partnerschaftliche Zusammenarbeit. Klären Sie vor der konkreten Planung einer Awareness Kampagne, welche Entscheidungen Sie mit dem Betriebs- oder Personalrat klären müssen.

Gerade bei der Durchführung von simulierten Phishing Attacken oder Red Team Assessments sollten Betriebs- oder Personalrat früh eingebunden werden. Es könnte schließlich sein, dass die Daten von Mitarbeiter:innen ausgetauscht werden müssen. Eine transparente, frühzeitige Kommunikation schafft dabei das Fundament für die Durchführung einer erfolgreichen Cybersecurity Awareness Kampagne.




2. Unternehmenskultur berücksichtigen

Bei jeder Maßnahme, sei es ein Penetrationstest oder die Durchführung einer Live Hacking Show, sollte die Unternehmenskultur berücksichtigt werden. Handelt es sich um einen kleinen Mittelständler oder einen weltweiten Konzern? Diese Frage sollte auch jeder beantworten, der interne Maßnahmen durchführt. Seien Sie sich stets Ihrer Zielgruppe und des Kontextes bewusst. Einige Fragen die dabei helfen könnten wären:

  • Mit welchen technischen Problemen sind Ihre Nutzer:innen im Alltag konfrontiert?
  • Gab es einen unternehmensweiten IT-Sicherheitsvorfall in der Vergangenheit?
  • Gibt es Möglichkeiten und Regelungen zur Arbeit von zu Hause?
  • In welcher Branche ist Ihr Unternehmen angesiedelt?

Diese Fragen helfen die Awareness Kampagne entsprechend der Zielgruppe aufzubereiten. Niemandem ist geholfen das Knacken der Zwei-Faktor-Authentifizierung dargestellt zu bekommen, wenn die Basics im Bereich Passwort noch nicht sitze – ganz im Gegenteil. Dies führt zu weniger IT-Sicherheit.

3. Realitätsgetreue Angriffe und Simulationen durchführen

Die Durchführung von realitätsgetreuen Angriffen für die Zielgruppe bzw. das Publikum ist entscheidend für die Wirksamkeit. Wer mit dem Thema IT-Sicherheit gerade erst startet, der sollte eben noch keine Horror-Szenarien darstellen und vorführen. So ist das oben erwähnte Knacken der Zwei-Faktor-Authentifizierung nicht gut untergebracht, wenn Mitarbeiter:innen kaum auf IT-Sicherheit vorbereitet sind.

Im Gegensatz dazu lässt sich besser eine einfache Phishing Simulationen durchführen:

  • Die Erkennung von offensichtlichem Spam
  • Das richtige Melden von E-Mails im Namen der Organisation

So kann es den Verantwortlichen gelingen Step-by-Step eine Sicherheitskultur aufzubauen. Doch auch bei der Durchführung von Phishing Simulationen sollte nicht nach dem Motto: Viel hilft viel vorgegangen werden. Zu viele simulierte Attacken sorgen eher dafür, das auf Links gar nicht mehr geklickt wird. Ein kontraproduktives Ergebnis. Wenn die ersten Kampagnen über 20% Klickraten liegen, dann ist das nicht ungewöhnlich.

4. Reproduzierbare, vergleichbare Ergebnisse erzielen

Nach einer erfolgreichen Awareness Kampagne ist eines sicher: Es sollte nicht die letzte gewesen sein. IT-Sicherheit wird zwar oft in Projekten vollzogen, doch am Ende ist es für die Organisation ein Prozess. Ein Prozess der nach dem PDCA (Plan Do Check Act) Zyklus regelmäßig erneut durchgeführt werden sollte. Um eine Vergleichbarkeit herzustellen sollten Kennzahlen und KPIs frühzeitig festgelegt werden. Auch wenn sich Berichte im Laufe der Zeit anpassen: Eine Vergleichbarkeit ist essentiell.

Schließlich lässt sich nur mit vergleichbaren Werten auch eine Verbesserung oder Verschlechterung der IST-Situation darstellen. Die Awareness Kampagne vor der Phishing Kampagne hat eine Verbesserung gebracht? Dann muss sich das in den Zahlen widerspiegeln. Dabei sollte man den Blick nicht für das große Ganze verlieren. Ihre Awareness Kampagnen, die Sie von einem externen Dienstleister eingekauft haben, haben stets eine positive Wirkung auf die Zahlen gehabt – nach einem Wechsel des Anbieters stellen Sie diesen Umstand nicht mehr fest? Dann liegt es wahrscheinlich nicht an der Erfassung der Zahlen.

5. Langfristige Lerneffekte vor kurzfristigen Cafétalk

Der letzte Punkt soll dafür sorgen, dass die Awareness Kampagne eine langfristige Auswirkung auf die IT-Sicherheit der Organisation hat. Gar nicht so leicht – denn eine Phishing Simulation bewirkt schnelle, einmalige Effekte. Doch mit der Simulation geht nur bedingt einher, dass die Betroffenen danach wissen wie die nächste Phishing Kampagne aussieht. An vielen Stellen macht es deshalb Sinn frühzeitig zu kommunizieren, dass das Thema IT-Sicherheit ab sofort adressiert wird.

Begleitet werden sollte diese Entscheidung von unterschiedlichen Ereignissen. Es werden Seminare, Workshops, Live Hackings und Simulationen angeboten? Der richtige Weg für mehr Awareness – schließlich lernt jeder auf unterschiedliche Arten.


Sevencast – der IT-Security Podcast

Von unterwegs, im Büro oder zu Hause hören und auf dem aktuellen Stand bleiben!

Sevencast bei Spotify
Sevencast bei Apple Podcast
Sevencast bei Overcast