Der Moment, in dem es klickt

00:00:01: Wir haben einen Kollegen, der hat einen Dungeons & Dragons-Rollenspiel daraus gemacht, der hat das, das heißt glaube ich, Data in Disasters.

00:00:08: Also es gibt ganz, ganz viele coole Wege, das zu implementieren.

00:00:12: Sogar ein Escape-Hum-Koffer habe ich gesehen.

00:00:14: Also es gibt ganz, ganz interessante Wege, Awareness-Schulung lebendig zu machen, interessant zu machen und auch vom Awareness drüber hinaus.

00:00:24: Wenn man sich irgendwie anguckt, so etwas wie Business Continuity Management.

00:00:28: wo es halt um Team-Dynamiken geht, wer bin, oder Incident-Response, wer besetzt welche Rolle.

00:00:36: Durch solche Testspiele, Krisenstabsübungen, bringt man das überhaupt erst hin, dass diese Rollen Dynamiken gefestigt werden.

00:00:43: Also, vom Nahe her, also kann man und muss man auch mitdenken, wenn man eben so eine lebhafte awareness-Kampagne machen möchte.

00:00:55: Highway, dein Wegweiser für Digitalisierung und Sicherheit.

00:00:59: Präsentiert von High Solutions.

00:01:07: Hallo und herzlich willkommen zu einer weiteren Folge von Highway, dem Podcast von High Solutions.

00:01:13: Auch heute gibt es wieder drei Fragen an einen Experten in zehn

00:01:16: Minuten.

00:01:18: Mein heutiger Gast ist Giseppe Zano von E-Sitz.

00:01:23: Giseppe hat Lehramt und Politikwissenschaften studiert.

00:01:26: Wir sind also zwei Lehrer heute hier vorne.

00:01:30: Während des Studiums hat er schon eine E-Learning-Plattform für Produktschulungen mit konzipiert.

00:01:37: Anschließend war er E-Learning-Manager und Jobcoach in einem Bildungszentrum und mittlerweile bist du Produktmanager bei der E-Sitz AG.

00:01:49: Hallo und schön, dass du heute da bist.

00:01:50: Dankeschön, dass ich hier sein darf.

00:01:55: Wir haben schon ganz die Bildung jetzt gehört in deinem Lebenslauf und genau darum wird es auch heute gehen, nämlich genauer gesagt das Thema Awareness-Schulung.

00:02:05: Und da haben wir uns ja im Vorgespräch auch schon eine Studie angesehen zur Wirksamkeit von Fishingschulungen.

00:02:12: Da wurden in acht Monaten mit neun, zehntausend, fünfhundert Mitarbeitenden eines großen Gesundheitsunternehmens die Wirksamkeit von zwei Formen von Sicherheitsschulungen getestet.

00:02:23: Und in einem Artikel von Heise wurde über die Studie getitelt, Fishingtraining fast immer wirkungslos.

00:02:32: Und das... bringt mich auch eigentlich gleich zu meiner ersten Frage, die wir heute beantworten werden.

00:02:38: Warum sollte man Mitarbeitende denn trotzdem schulen?

00:02:42: Ja, also du hattest es ja jetzt anfangs gesagt.

00:02:45: Ich finde, bevor wir darüber sprechen, sollten wir uns erstmal angucken, was hat die Studie überhaupt gemacht?

00:02:50: Erstens, dort ist es bereits erwähnt, Gesundheitsbranche.

00:02:53: Da wurden neunzehntausendfünfhundert Mitarbeiter aus der Gesundheitsbranche quasi über acht Monate hinweg in ihrem Lerneffekt quasi beobachtet.

00:03:03: Und jetzt könnte man natürlich sagen, naja, jetzt hat man sich besonders eine Branche ausgesucht, wo die Leute ganz besonders das Gefühl haben, naja, darauf habe ich jetzt erstmal keine Lust und ich habe gerade Besseres zu tun.

00:03:16: Die Prioritäten sind einfach anders auch höflich.

00:03:19: Genau, das heißt, das Studiendesign ist schon mal, könnte das Ganze schon mal ein bisschen verfälschen.

00:03:23: Und das Zweite, was auch ganz wichtig ist, was wir unterstreichen sollten, es geht nur um Online-Schulungen, es geht nur darum, wirklich, also zum einen wird untersucht.

00:03:31: wie effektiv sind einmal jährlicher Erwähnungsschulen und zweitens wurde untersucht wie effektiv sind sogenannte Embedded Trainings, also typisches Unternehmen verschickt Fishing Links, die Leute klicken drauf und wie du schon gesagt hast, also im Falle von einfach ich sag mal losgelösten jährlichen Trainings war der Lerneffekt de facto nicht Existenz, also es hat gar keinen Unterschied gemacht, ob die Leute jetzt irgendwie einmal einem Jahr, einem Erwähnungstraining teilgenommen haben oder nicht.

00:04:01: Und besonders schlecht kommen halt die sogenannten Embedded Trainings weg.

00:04:06: Das hat mehrere Gründe.

00:04:07: Aber unter dem Strich sagen sie halt, naja, wenn man es falsch macht, kann das dazu führen, dass die Leute sogar noch schlechter dabei sind, Fishing-Mails zu erkennen.

00:04:16: Und die Studienkritik ist auch so ein bisschen die Annahme hinter diesen Embedded Trainings.

00:04:22: Also zum einen geht es halt einfach darum, dass Also erst mal besteht die Annahme, bekommst du ein Fischendling zugeschickt und wenn du draufklickst, bekommst du Training.

00:04:30: und diejenigen, die nicht draufklicken, die wissen Bescheid und brauchen kein Training.

00:04:34: Was erst mal eine falsche Annahme ist, weil am besten Falle werden alle Mitarbeiter geschult.

00:04:37: Es ist nur eine Frage der Zeit, bis es halt zu einem Fischenlink klick kommt, auch derjenige, der dann in dem Tonus nicht draufgeklickt hat.

00:04:44: Und zweitens, wenn die Land draufgeklickt haben, haben sie ungefähr zehn Sekunden gebraucht und haben sie es wieder weggeklickt.

00:04:51: Das heißt, die Leute haben sich überhaupt nicht damit befasst.

00:04:53: Und das ist auch so ein bisschen die Krugse an der ganzen Geschichte, was auch zu dieser, ich sag mal, Fishing-Mail-Müdigkeit führen kann.

00:05:00: Weil die Leute einfach sich denken, naja, es ist wieder so eine doofe Fishing-Mail, jetzt bekomme ich die zugeschickt und ich muss mich nicht darum kümmern.

00:05:07: Weil es ja auch eben keine richtige Fishing-Mail war, sondern dann direkt rauskam, okay, ist jetzt nichts Schlimmes passiert.

00:05:12: Richtig,

00:05:13: also kommt so eine Ermütungserscheinung, ständig automatisierte Fishing-Mails führen auch dazu, dass die Leute einfach sich denken, es ist wieder soweit.

00:05:22: Und genau, im Großen und Ganzen macht es das sogar noch schlimmer.

00:05:27: Und letztendlich der einzige Punkt, der wirklich einen Unterschied gemacht hat, ist die Interaktivität der Trainings.

00:05:33: Also, wenn die Leute darauf geklickt haben, um die haben danach ein interaktives Training bekommen, war der Lerneffekt signifikant stärker.

00:05:42: Im Großen und Ganzen des Studiendesigns immer noch vernachlässigbar, weil, ich sag mal, die Studie so desaströs ist, Aber am Ende wird wirklich gesagt, naja, das Einzige, was wirklich einen Unterschied macht, sind interaktive Trainings.

00:05:54: Und darüber hinaus wird auch eingeräumt, naja, wir wissen nicht, ob es, beziehungsweise die Studie beweist nicht, dass Partu alle Art von Schulungen, alle Art von Trainings schlecht sind oder halt das Gegenteilig überwirken, sondern es kann durchaus auch Lehrmethoden und Trainingsmethoden geben, die es halt... die es halt nicht dazu kommen lassen, dass halt diese Fishing-Mail-Müdigkeit einkährt.

00:06:15: und da, wo es auch wirklich zu einem Lerneffekt kommt.

00:06:17: Und ich glaube, der wichtigste Punkt ist halt, wie gesagt, diese Interaktivität der Trainings.

00:06:23: Ja.

00:06:24: Genau, also herkömmliche Methoden sind eher nicht so geeignet.

00:06:28: Der

00:06:28: vor allem automatisiert und immer wieder, das ist

00:06:31: das

00:06:31: Problem.

00:06:34: Frage zwei.

00:06:36: Das ist auch ein ganz guter Übergang, nämlich welcher aktuellen Trends gibt es denn?

00:06:41: Also eigentlich ist ja, deswegen hat es auch so ein bisschen Wellen geschlagen, die Studie.

00:06:45: Eigentlich geht diese Studie gegen einen sehr aktuellen Trend, zwar den sogenannten Juvenile Risk Management, wo im Hintergrund jetzt erstmal eine gute Idee drin ist.

00:06:55: Also es geht ja darum, okay, wir haben jetzt hier so ein verhaltenspsychologischen Ansatz, wir wollen datenzentriert reingehen.

00:07:01: Meistens dann auch im Kontext von technischen Lösungen, die man sich im Unternehmen reinholt und dann versucht man okay.

00:07:07: Wir sammeln jetzt Nutzerdaten, beispielsweise Überhalt automatisiert, verschickte Fishingmails.

00:07:13: Und über diesen datenzentrierten Zugang können wir ganz genau gucken, welcher Lernende braucht ganz besonders viel Training.

00:07:18: Und dadurch können wir halt das sogenannte Human Risk verringern.

00:07:22: Und im Großen und Ganzen lässt sich diese Studie aber halt so ein bisschen als eine Kritik in die Richtung gehen.

00:07:29: Weil nur eine technische Lösung allein zu implementieren reicht nicht aus.

00:07:34: Die Studie sagt am Ende auch so, Bevor ihr nur das macht, investiert das Geld lieber wirklich in technische Absicherung von eurer Systeme.

00:07:44: Dann habt ihr mehr von.

00:07:45: Es ist dann effizienter eingesetzt.

00:07:47: Es ist dann effizienter eingesetzt, genau.

00:07:49: Und wenn man das so ein bisschen weiter denken muss, dann muss das Ganze halt eingebettet sein in wirklich einer Lernkultur.

00:07:56: Also wenn du jetzt einfach nur und in der Schule wohnen einige Anbieter genannt, ich werde das jetzt nicht nochmal wiederholen, aber wenn du jetzt einfach nur die so ein Ding ins Unternehmen holst, machst du.

00:08:04: ... gibst du damit der Faktor mal Geld raus.

00:08:06: Sondern wo es halt wirklich ... ... eine Lernkultur schaffen, wo die Leute auch verstehen ... ... weswegen die da jetzt nicht drauf klinken sollen.

00:08:14: Und damit geht einem auch ein Herd, ... ... dass du auch wirklich auch Ressourcen auffinden lässt.

00:08:18: Dass du jemanden im Unternehmen hast, ... ... ob man das jetzt Cyber Security Awareness-Beauftragter nennt, ... ... ob es jetzt im HA angesiedelt ist oder wie auch immer, ... ... jemand, der sich wirklich eine Zeit nimmt, ... ... das durchzuklären über mehrere Monate so eine Kampagne.

00:08:32: Ja.

00:08:33: Und im Idealfall plant man das so wie guten Unterricht.

00:08:35: Also ich weiß nicht, muss ich dir nicht erklären, du hast halt so die Erzählmaus, du hast halt den Anfang, wo du irgendwie einen Impuls setzt, interesse schaffst.

00:08:42: Keine Ahnung, Lunch and Learn Meetings, du kannst dir Gadgets holen.

00:08:46: Also ich habe mal gesehen, dass irgendwie auf LinkedIn das ein Unternehmen sich duplos geholt hat und dann irgendwie so eingepackt hat, dass am Ende die Kombination fürs Windows sperren quasi drauf war.

00:08:59: Das sind Kleinigkeiten.

00:09:01: kommt man dazu, dass die Mitarbeiter sich abgeholt fühlen.

00:09:04: Und erst wenn man diesen Impuls gesetzt hat, kann man wirklich eine langfristige Lernphase implementieren.

00:09:09: Und im Idealfall, also Human Risk Management, diese Lösung können Teil davon sein.

00:09:14: Ich sage nicht, dass das jetzt Partu schlecht ist, aber es muss halt wirklich eingebildet sein in interaktive Training.

00:09:19: Das muss sinnvoll dann eben eingesetzt

00:09:20: sein.

00:09:21: Es muss sinnvoll und interaktiv eingesetzt sein und vielleicht holt man sich ja doch mal ein Trainer ins Haus.

00:09:26: Und wenn man das dann gemacht hat, kann man das dann schön ab... Abrunden, indem man das wie auch im Unterricht didaktisch absichert, man muss irgendwie schauen, okay, vielleicht kann ich das festhalten im Internet, im Blog-Post, im Wissensmanagement, sodass am Ende wirklich eine wundekampagne da ist.

00:09:40: und das muss halt auch kontinuierlich gemacht werden.

00:09:42: Also nur akzentuiert, einfach nur technische Lösungen zu implementieren, ist nicht ganz Sinn der Sache.

00:09:50: Bei dem ganzen Interaktiv machen fällt mir direkt ein Stichwort ein, was im Studium bei mir auch häufiger gefallen ist, nämlich Gamification.

00:09:58: Hat denn Gamification mit Awareness-Schulungen zu tun?

00:10:02: Wenn man sich die Studie anguckt, im Idealfall ziemlich viel, weil nochmal der einzige Punkt, der einen Unterschied gemacht hat, war die Interaktivität.

00:10:11: Wenn man Interaktivität in Lernsettings betrachtet, ist Gamification nicht weit.

00:10:15: Das ist ein großartiger Weg, um die Leute abzuholen, um Lerninteresse zu wecken.

00:10:22: Im Bereich Awareness-Schulung fällt mir beispielsweise ein, dass wir haben einen Partner, die einen Quiz-Buzzerspiel quasi entwickelt haben, so ähnlich wie bei Werbit Millionär, um die Leute abholen, die da bekommen zum Quiz-Buzzer und dann muss quasi geguckt werden, wer ist schneller dran mit der Antwort.

00:10:39: Ich habe ganz wilde und coole Sachen gesehen, zum Beispiel eine Art Monopoly Game, wo dann quasi innerhalb des Unternehmens, also jeder bekommt da quasi eine verschiedene Rolle und da muss man schauen, wie viele Geschäftsressourcen verwendet man, wie viele Geschäftsinteresse und wie steht das zum Sicherheitsinteresse des Unternehmens.

00:10:59: Wir haben einen Kollegen, der hat einen Dungeons & Dragons-Rollenspiel rausgemacht.

00:11:04: Der hat das, das heißt glaube ich, Data in Disasters.

00:11:06: Also es gibt ganz, ganz viele coole Wege, das zu implementieren.

00:11:10: Sogar ein Escape Room, hoffe habe ich gesehen.

00:11:12: Also es gibt ganz, ganz interessante Wege, Awareness-Schulung lebendig zu machen, interessant zu machen.

00:11:19: Und auch vom Awareness drüber hinaus.

00:11:21: Also wenn man sich irgendwie anguckt, so etwas wie Business Continuity Management.

00:11:26: wo es halt um Team-Dynamiken geht, wer bin, oder Incident-Response, wer besetzt welche Rolle.

00:11:33: Durch solche Testspiele, Krisenstabsübungen, kriegt man das überhaupt erst hin, dass diese Rollen-Dynamiken gefestet werden.

00:11:41: Also von nahe her, also kann man und muss man auch mitdenken, wenn man eben so eine lebhafte Awareness-Kampagne machen möchte.

00:11:47: Also sind die deiner Meinung nach schon sinnvoll, nur eben anders gedacht?

00:11:51: Anders gedacht und halt wie gesagt... in der Lernkampagne.

00:11:54: Also akzentuiert, losgelöst, die Sachen, das bringt nichts, sondern man muss halt wirklich von vorne bis hinten das komplett einmal durchdenken.

00:12:02: Dann fasse ich noch einmal zusammen und du kannst gerne am Ende noch ergänzen.

00:12:06: Also herkömmliche Schulungsansätze sind wenig effizient, weil einfach der Lerneffekt fehlt.

00:12:12: Das ist nicht motivierend.

00:12:14: Das kennt man ja auch noch aus der Schule.

00:12:15: Warum muss ich jetzt in Mathe den Satz des Pythagoras lernen oder sowas?

00:12:20: Hat man sich gefragt und ja, konnte ich Menschen dann auch nicht beantworten, warum sie jetzt irgendwas in Französisch eine Grammatikregel oder so lernen mussten.

00:12:28: Wobei ich nicht mal eine ganze Schule irgendwie in Gefahr gebracht habe, bin ich aber den Fall, dass das Pythagoras falsch eingesetzt haben oder so.

00:12:34: Das stimmt, aber es ist ja trotzdem was, wo man schon die Lernmotivation auch merken kann.

00:12:38: Und dementsprechend, wenn man eben das interaktiv gestaltet, die Interessen der Menschen mit einbezieht auf die Bedürfnisse eingeht, dann kann das als Kampagne eben schon sinnvoll sein.

00:12:50: seine Mitarbeitenden zu schulen.

00:12:51: Und man sollte es ja auf jeden Fall auch tun, Weifishing-Angriffe sind ja doch eine Gefahr für das ganze Unternehmen, wie du gerade gesagt hast.

00:12:57: Und im Idealfall, also noch so.

00:12:59: ein letzter Punkt, den ich einbringen möchte, das ist eher so aus der Software-Entwicklung, aber man kann ja auch im Bereich Awareness und also Security Champions auswählen, die dann auch besonders darauf achten.

00:13:12: Also ein doofes Beispiel bei uns ist es so, dass wir ein neuer Mitarbeiter irgendwie Windows entsperrt irgendwie offen, während er zur Toilette geht.

00:13:19: Das dauert zehn Sekunden, bis er vielleicht einen doofen Spruch bei Word irgendwie drin hat.

00:13:23: Ist vielleicht dann in dem Moment ein Spaß, aber die Message ist klar, lasst dein PC nicht entsperrt.

00:13:29: Das ist so Kleinigkeiten, wo man auch so untereinander einfach drauf achten kann.

00:13:33: Damit bedanke ich mich bei dir.

00:13:35: Das war ein schöner Abschlusssatz.

00:13:38: Ich bedanke mich aber auch bei euch fürs Zuhören und hoffe, dass ihr auch beim nächsten Mal wieder einschaltet, wenn wir wieder drei Fragen an einen Experten stellen in zehn

00:14:02: Minuten.