Gern gestellte und gute Fragen zur MA-Schulungen

Wir beantworten häufig an uns gestellte Fragen

 

„Zuerst ein Phishing-Test oder zuerst eine Schulung?“

Das ist Geschmackssache und hat letztlich auch mit der Unternehmens- & Kommunikationskultur zu tun. Unser „Favourite“ ist ganz klar: Zuerst schulen, dann informieren, testen und womöglich noch einmal schulen.

Das prägt eher eine positive Einstellung zur Informationssicherheit. Manche Menschen haben es nicht gern, wenn sie absichtlich in eine „Falle“ gelockt werden – schon gar nicht von der eigenen IT. Das will gut vorbereitet sein. Aber auch andersrum kann der Lernerfolg wesentlich sein. Die generelle Aussagekraft von einzelnen Phishing-Aussendungen ist allgemein gesprochen überschaubar. Wirkliche Aussagen sollten erst nach mehreren Chargen über einen größeren Zeitraum mit unterschiedlichen Inhalten/Aufhängern, Tageszeiten, Wetterlagen, Stimmungsbild im Unternehmen etc. getroffen werden.

„Was darf Awareness kosten?“

Das ist abhängig von der Mitarbeiterzahl, den Zielen und dem generellen Schulungshunger. Als Benchmark: € 15-20 jährlich je Mitarbeiter aus der breiten Masse: Einzusetzen mit E-Learning, Video-Content, Intranet und passiven Kommunikationsmaterialien wie Postern.

Für MitarbeiterInnen mit hoher Exponiertheit und Gefährdungsgrad darf für die Schulung dagegen ein jährlicher Rechenwert von €100+ angenommen werden: Persönliche Trainings mit physischer Zusammenkunft oder auch als Webinar erfüllen die Anforderungen gemeinsam mit den für alle MA obligaten digitalen Maßnahmen am Besten.

„Was ist ein guter Ansatz mit der Mehrsprachigkeit?“

Jeder Einzelne fühlt sich natürlich mehr abgeholt, wenn er etwas in der jeweiligen Landessprache bekommt – keine Frage. Häufig sind da aber die zur Verfügung stehenden Ressourcen (Geld; Zeit; Übersetzung; Pflege von mehrsprachigen digitalen Inhalten) entscheidender. Ganz allgemein gesprochen: Bei weniger als 50 MA in einer Landesniederlassung (beispielsweise in einem Werk in Ungarn oder der Türkei) entstehen unverhältnismäßig hohe Kosten für die zusätzliche Ausrollung von digitalen Inhalten in der Landessprache. Auch hier ist die Übersetzung eines Merkzettels mit den wichtigsten Regeln oder die Schulung mit einem gleichsprachigen Experten vor Ort vorzuziehen.

„Wie schule ich meine MitarbeiterInnen denn am Besten?“

Dazu stellen wir gerne die Gegenfrage, was das Ziel ist: Geht es darum gesetzliche Vorgaben zu erfüllen, oder soll es einen wirklichen Lernerfolg geben? Dann zählen Faktoren wie Mitarbeiteranzahl, Standorte, Mehrsprachigkeit und Ressourcen.

Am effektivsten, weil nachhaltigsten, sind persönliche Schulungen. Allgemein gesprochen empfehlen wir Firmen mit weniger als 100 MitarbeiterInnen und kompaktem Standort auf persönliche (bzw. auch digitale) Trainings zurückzugreifen. Das ist wesentlich einfacher, kostengünstiger und auch nachhaltiger als E-Learnings auszurollen bzw. zu verwalten. Physische Trainings sind für besonders exponierte Zielgruppen der richtige Weg: Das sind idR. Management und sämtliche Funktionen, die ein hohes Mail-Aufkommen mit Extern haben (HR; evtl. Vertrieb) oder stark im Visier von Cyberkriminellen sind (Finanz; Rechnungswesen). Wenn möglich sollten diese einmal jährlich oder nach Bedarf wiederholt werden.

„Wie schule ich meine MitarbeiterInnen denn am Besten?“

Dazu stellen wir gerne die Gegenfrage, was das Ziel ist: Geht es darum gesetzliche Vorgaben zu erfüllen, oder soll es einen wirklichen Lernerfolg geben? Dann zählen Faktoren wie Mitarbeiteranzahl, Standorte, Mehrsprachigkeit und Ressourcen.

Am effektivsten, weil nachhaltigsten, sind persönliche Schulungen. Allgemein gesprochen empfehlen wir Firmen mit weniger als 100 MitarbeiterInnen und kompaktem Standort auf persönliche (bzw. auch digitale) Trainings zurückzugreifen. Das ist wesentlich einfacher, kostengünstiger und auch nachhaltiger als E-Learnings auszurollen bzw. zu verwalten. Physische Trainings sind für besonders exponierte Zielgruppen der richtige Weg: Das sind idR. Management und sämtliche Funktionen, die ein hohes Mail-Aufkommen mit Extern haben (HR; evtl. Vertrieb) oder stark im Visier von Cyberkriminellen sind (Finanz; Rechnungswesen). Wenn möglich sollten diese einmal jährlich oder nach Bedarf wiederholt werden.

„Wie gehe ich eine Awareness-Kampagne an?“

Klarheit über die Ziele hilft enorm (Welche „Driver“ gibt es?). Dann ist die Frühzeitige Einbeziehung von anderen Abteilungen und Stakeholdern (z.B. HR – Schulung; Interne Kommunikation; Betriebsrat) entscheidend. Management Attention und Unterstützung soll unbedingt gleich zu Beginn gewährleistet sein. Ein initialer Schulungstermin mit der Leitungsebene gleich zum Kampagnenstart hilft! Eventuell ist es sinnvoll, sich ein einheitliches Kampagnenbranding für die kommenden Maßnahmen zu überlegen – Am besten gemeinsam mit der internen Kommunikation, wenn es eine gibt. Die grobe Planung sollte für einen Betrachtungszeitraum von 3 Jahren erfolgen, wobei das erste Jahr genauer durchzudenken ist. Und: Man muss nicht alles selber machen! Viele Schulungsmaterialien und Trainings sind bereits entwickelt: Holen Sie sich externe Unterstützung, wo es notwendig ist!

„Wie erreiche ich auch die KollegInnen in der Produktion (bzw. Putzpersonal o.ä)?“

Die Frage, wie auch Personen mit geteiltem oder gar keinem Computerzugang erreicht werden können, wird häufig gestellt.

Ein ansprechender Flyer mit kompakten Informationen oder Aushänge und Awareness-Poster in der Umkleidekabine können helfen. Da in diesen Bereichen oft auch fremdsprachige Fachkräfte zum Einsatz kommen, bringt hier ein kurzes mündliches Briefing oft am meisten. Vielleicht findet sich im Unternehmen sogar ein Kollege oder eine Kollegin, die der jeweiligen Sprache mächtig sind und sich bereit erklären zehn Minuten vor Ort zu übersetzen?

„Wie begeistere ich meine MA für E-Learning?“

Das ist tatsächlich noch immer die große ungelöste Frage! Für sachdienliche Hinweise sind wir also selbst dankbar.. 😉

Je ansprechender die Inhalte sind, umso höher ist der Lernerfolg und die Lust, wieder ein Modul zu machen. Module sollten in zumutbarer Dosierung angeboten werden – d.h. nicht mehr als 20 Minuten dauern und einen wirklichen Mehrwert bringen. Interaktive Inhalte, animierte Sequenzen, Quizes und Tipps, die auch fürs Private Relevanz haben helfen!

Die gute Nachricht aus Informationssicherheitssicht ist hier: Andere Unternehmensbereiche haben z.T. sehr langwierig aufbereitete Inhalte. Hier können Sie also mit Modulen im Stil von „kurz & knackig“ gut Punkte sammeln!