Interview "Personalisierte Schulungen bleiben länger hängen"

Als Chief Information Security Officer des Finanzinstituts Fannie Mae schult Christopher Porter rund 7500 Mitarbeiter weltweit in Sicherheitsfragen. Ein Gespräch über die richtige Abwehr von Phishing-Attacken und Corona als Köder.
Christopher Porter: "Wir müssen wissen, für welche Art von Angriffen unsere Mitarbeiter empfänglich sind."

Christopher Porter: "Wir müssen wissen, für welche Art von Angriffen unsere Mitarbeiter empfänglich sind."

Foto: Jared Soares

Wie bilden Sie beim Thema Phishing-Attacken aus?

PORTER Es gibt die übliche breite Weiterbildung, die für alle in der Organisation verpflichtend ist. Einzelne Bereiche gehen wir aber auch gezielter an. Kreditoren und andere Finanzgruppen sind zum Beispiel von spezialisierten Angriffen betroffen und müssen deshalb genau darauf vorbereitet sein. Zusätzlichen führen wir jeden Monat eine Übung durch, bei der wir Angriffe zu bestimmten Themen simulieren. Wenn jemand auf eine der Test-E-Mails klickt, bekommt er sofort Feedback – ein kurzes Video mit einer Erklärung. Fallen Mitarbeiter zweimal oder häufiger innerhalb von zwölf Monaten auf diese Mail herein, nehmen sie an einem zusätzlichen Gruppentraining teil. Und schließlich haben wir auch eine wöchentliche Kampagne zu dem Thema gestartet: Jeden Freitag veröffentlichen wir einen Blog-Beitrag dazu, wie man eine Phishing-Attacke erkennt und wie man darauf reagieren sollte – es ist sehr wichtig, dass diese Angriffe auch gemeldet werden. Wir wiederholen deshalb laufend, welche Maßnahmen wichtig sind.

Welchen Fokus haben die monatlichen Tests?

PORTER Es gibt drei Hauptthemen. Das erste ist Verlust: Ein Angreifer droht, den Menschen etwas wegzunehmen, wenn sie nicht reagieren. Das zweite ist Versprechen: Ihnen wird etwas zugesagt, wenn Sie auf den Link klicken. Das dritte hat mit Emotionen zu tun – es soll zum Beispiel der Hang zur Neugier angesprochen werden. Wir müssen wissen, für welches Thema unsere Leute am empfänglichsten sind, um die Schulungen anzupassen. Wir schauen uns außerdem an, welche Attacken zu einem bestimmten Zeitpunkt gerade stattfinden. Aktuell ist das Coronavirus ein riesiger Köder.

Lead Forward

Der wöchentliche Newsletter für erfolgreiche Führungskräfte

Antonia Götsch, Chefredakteurin des Harvard Business managers, teilt Wissen aus den besten Managementhochschulen der Welt und ihre eigenen Erfahrungen mit Ihnen. Einmal die Woche direkt in Ihr Email-Postfach. 

Jetzt bestellen

Studien haben gezeigt, dass einfache Achtsamkeitsübungen den Widerstand stärken können. Haben Sie diesen Ansatz auch schon verfolgt?

PORTER Wir versuchen den Menschen den "Stoppen – denken – handeln"-Ansatz zu vermitteln. Zum Beispiel sollen sie kurz innehalten, wenn sie eine externe Nachricht erhalten, und bevor sie lesen oder klicken überlegen, ob sie die Mail erwartet haben, ob sie den Absender kennen oder ob sich irgendetwas falsch anfühlt. Damit haben wir unsere Abwehr im Laufe der Zeit gestärkt.

Wie verhindern Sie, dass Menschen sich die Schulung einfach nebenbei anschauen, aber die Inhalte nicht dauerhaft behalten?

PORTER Wir gestalten sie möglichst unterhaltsam, indem wir zum Beispiel professionell erstellte Zeichentrickvideos einsetzen, um einzelne Lektionen zu verdeutlichen, teilweise sogar von Prominenten eingesprochen. Etwa neulich vom Comedian Jon Lovett. Zweitens stützen wir uns auf Forschungsergebnisse, die besagen, dass wenn man Menschen beibringt, ihre persönlichen Informationen zu Hause zu schützen, sie dies auch auf Informationen bei der Arbeit übertragen. Zu diesem Zweck haben wir Mitarbeiterinnen und Mitarbeitern zum Beispiel gezeigt, wie sie ihre privaten Finanzdaten mittels Zwei-Faktor-Authentifizierung schützen. Rund um die jährliche Steuererklärung weisen wir darauf hin, dass sie betrügerische Nachrichten bekommen könnten, die angeblich von den Behörden stammen sollen. Und wir unterstützen sie dabei, ihre Familien zu schützen. Wir haben zum Beispiel eine Frau eingeladen, die als Kind von einem Onlineverbrecher entführt wurde. Sie berichtete über ihre Erfahrungen und erklärte, wie Eltern ihre Kinder im Internet schützen können. Studien zeigen – und unsere Erfahrung bestätigt dies – dass personalisierte Schulungen länger hängen bleiben. © HBP 2020

Dieser Artikel erschien in der Oktober-Ausgabe 2020 des Harvard Business manager.