Mit Security-Awareness-Trainings investieren Unternehmen in die IT-Skills ihrer Mitarbeiter:innen und verbessern die Sicherheit des eigenen Firmennetzes. Wie die Trainings aufgebaut sind und welches die besten Angebote für Unternehmen sind, lesen Sie in diesem Artikel.
Die weltweiten Schäden durch Hackingattacken nehmen zu. Einer der Hotspots der Cyberkriminalität ist Deutschland. Das hat der britische Spezialversicherer Hiscox bei einer Befragung von mehr als 5.000 Führungskräften ermittelt. Die Schadenshöhe pro gemeldetem Hackingfall lag in Deutschland 2021 im Median bei rund 21.000 US-Dollar – höher als in jedem anderen untersuchten Industrieland und um 55 Prozent über dem Vorjahreswert. Aber auch Millionenschäden sind nicht selten, etwa wenn Unternehmen ihren Geschäftsbetrieb zeitweise einstellen müssen, weil Hacker:innen ihre Firmennetze gekapert und wichtige Geschäftsdaten gestohlen haben.
Hier kommen Security-Awareness-Trainings ins Spiel. Dabei handelt es sich um Fortbildungen zu den Gefahren der Cyberkriminalität. Übersetzt bedeutet Security-Awareness so viel wie „Aufmerksamkeit für Fragen der (Cyber-)Sicherheit“. Bei einem solchen Training lernen Ihre Mitarbeiter:innen, welche typischen Formen von Cyberverbrechen es gibt und wie sie sich selbst sowie Ihr Unternehmen gegen diese Angriffe schützen. Sie erfahren außerdem, was zu tun ist, wenn die eigene Firma Opfer einer Attacke geworden ist.
Was ist ein Security-Awareness-Training?
Das Bundesamt für Sicherheit in der Informationstechnik schreibt: „Im alltäglichen Umgang mit IT-Systemen ist Awareness eine elementare Sicherheitsmaßnahme. Das bedeutet zunächst, dass ein Problembewusstsein für Cybersicherheit geschaffen werden muss. Darauf aufbauend kann man eine Verhaltensänderung hin zu sicherem digitalem Umgang erreichen.“
Ein Security-Awareness-Training (deutsch: eine Sicherheitsschulung) richtet sich deshalb auch nicht speziell an IT-Fachkräfte, sondern ist nach Aufbau und Inhalt für alle Beschäftigten mit IT-Arbeitsplätzen konzipiert. Darauf spezialisierte Dienstleister bieten solche Trainings an. Dabei können Sie mit Ihrem Anbieter vereinbaren, dass die Schulung bestimmte Inhalte für bestimmte Zielgruppen innerhalb Ihres Unternehmens besonders intensiv behandelt. Dies kann beispielsweise für Mitarbeiter:innen im Kundenservice der Umgang mit verdächtigen E-Mails von Kund:innen sein. Für Beschäftigte im Außendienst kann wiederum das Thema „Sicherer Umfang mit mobilen Endgeräten im Internet of Things“ wichtiger sein.
Das Bundeskriminalamt (BKA) bestätigt in seinem „Lagebericht Cyberkriminalität“ die Zunahme von Cyberverbrechen. Im Jahr 2021 hat die Polizei in Deutschland rund 146.000 Cyberstraftaten erfasst. Das entspricht einem Anstieg von zwölf Prozent gegenüber dem Vorjahr. Die Dunkelziffer dürfte noch weitaus höher liegen.
Der Versicherer Hiscox sieht gleich mehrere Gründe für das Anwachsen der gemeldeten Fälle und steigenden Schadenshöhen. Zum einen nimmt die Zahl der versuchten Attacken insgesamt zu. Zum anderen vergrößert der Anstieg der Homeoffice-Tätigkeiten die Einfallstore für Angreifer:innen. Arbeiteten noch vor wenigen Jahren nur etwa vier Prozent der Beschäftigten im Homeoffice, sind es mittlerweile laut Statista rund 24 Prozent.
Viele Firmen schützen ihre Netze und Daten mittlerweile über leistungsstarke Firewalls oder durch die Auslagerung in gut gesicherte Private-Clouds. Deshalb attackieren Cyberkriminelle zunehmend die Mitarbeiter:innen direkt, beispielsweise mit erpresserischen E-Mails.
Bei rund einem Fünftel der gemeldeten Schadensfälle waren die betroffenen Firmen Opfer einer solchen Online-Erpressung geworden. Anlass genug, die eigenen Mitarbeiter:innen regelmäßig zu den Gefahren der Cyberkriminalität zu schulen, um Einfallstore für Cyberverbrechen zu schließen.
Die Notwendigkeit von Sicherheitsschulungen
Sogenannte Pentests, bei denen externe Sicherheitsexpert:innen Unternehmensnetze auf Lücken und Schwächen austesten zeigen immer wieder, welche große Rolle der Faktor Mensch bei der IT-Sicherheit spielt. Viele Hackingattacken, darunter das Smishing (Phishing via SMS) und das Spear Phishing als Unterarten des Phishing zielen häufig konkret auf Ihre Mitarbeiter:innen ab und versuchen, Ihr Unternehmen über Ihre Beschäftigten anzugreifen.
Viele IT-Expert:innen raten daher, entsprechende Security-Awareness-Trainings nicht nur einmalig durchzuführen, sondern regelmäßig zu wiederholen und dabei auf Basis neuester Erkenntnisse über die Trends in der Cyberkriminalität stetig weiterzuentwickeln.
Außerdem sind die Trainings integrale Bestandteile eines jeden „Information Security Management Systems“ (ISMS), das nach dem Top-Down-Prinzip Regeln und Prozesse für die IT-Sicherheit in Ihrem Unternehmen definiert.
Die typischen Inhalte von Security-Awareness-Trainings
Einige Themen bilden die Basis einer jeden guten Sicherheitsschulung und sollten daher bei keinem Security-Awareness-Training fehlen. Diese sind:
Umgang mit Daten und Datenspeichern
Hier vertiefen Ihre Mitarbeiter:innen, wie sie Firmendaten sicher speichern und vor dem Zugriff durch Dritte schützen. Die Unterschiede zwischen Cloud-Lösungen versus On-Premises-Datenspeichern kommen hier beim Thema Datensicherheit ebenso vor wie Fragen der Datenschutz-Grundverordnung (DSGVO) sowie deren Vorgaben zum Umgang mit den persönlichen Daten von Kund:innen, Mitarbeiter:innen und Geschäftsparter:innen.
Umgang mit E-Mails
E-Mails sind ein häufiges Einfallstor für Hackingattacken. Verschlüsselte E-Mail-Anhänge und Links in E-Mails sind bekannte Werkzeuge von Cyberkriminellen, um die unternehmenseigene Firewall oder den Virenschutz zu umgehen. In den Schulungen lernen Ihre Mitarbeiter:innen, wie sie Phishing-Mails erkennen, E-Mail-Absender:innen sicher identifizieren und E-Mail-Inhalte beim Versand verschlüsseln.
Sichere Passwörter erstellen
Das Verwenden gängiger, sogenannter „schwacher“ Passwörter macht Angreifer:innen das Eindringen in Firmennetze einfach. Wer privat beim Online-Shopping dasselbe Passwort verwendet wie am Arbeitsplatz für seinen Netzwerkzugang, gefährdet damit im schlimmsten Fall das Firmennetzwerk. Daher lernen Ihre Mitarbeiter:innen im Security-Awareness-Training, wie Sie sichere Passwörter bilden und Ihre Systeme beispielsweise per Zwei-Faktor-Authentifizierung vor Dritten schützen.
Identitätsdiebstahl und Phishing
Das Annehmen falscher Identitäten ist ein wachsendes Problem im Internet. Viele Unternehmen setzen daher bereits auf Zero Trust als Sicherheitskonzept. Der vermeintliche Anruf einer Führungskraft, die dazu auffordert, einen größeren Betrag vom Firmenkonto auf eine Auslandskonto zu überweisen, läuft dann ebenso ins Leere, wie die verdächtige E-Mail langjähriger Geschäftspartner:innen mit einem ungewöhnlichen Dateianhang, der sich als Virus entpuppt.
Gegenseitige Informationspflichten
Über entsprechende Alarmierungs- und Berichtsmodelle machen Sie Cyberattacken in Ihrem Unternehmen bekannt und Angriffswege transparent. Zugleich lernen Ihre Mitarbeiter:innen, in welchen Branchen welche Hackingattacken auch an Behörden zu berichten sind und welche Informationspflichten hier bestehen.
Mobile Geräte und das BYOD-Modell
Immer mehr Mitarbeiter:innen nutzen die selben mobilen Endgeräte beruflich und privat. Das gilt für den Dienstwagen mit Internetzugang und Firmennetzanbindung ebenso wie für das Diensthandy oder den privaten Computer, über den die Mitarbeiter:innen per VPN-Einwahl aus dem Unternehmensnetz Daten herunterladen. Das Modell BYOD („Bring your own Device“, auf Deutsch: Nutze Dein eigenes Endgerät) erlaubt diese Doppelnutzung ausdrücklich. Es schafft zugleich entsprechende Sicherheitshürden zwischen privater und dienstlicher Nutzung. Im Security-Awareness-Training lernen Ihre Mitarbeiter:innen, was sie hierbei beachten müssen.
Der Umgang mit sozialen Medien
Nach Schätzungen nutzen sieben von acht Deutschen soziale Medien. Immer wieder kommt es hier auch zu Sicherheitsproblemen. Die kann dann passieren, wenn etwa Mitarbeiter:innen absichtlich oder aus Nachlässigkeit Unternehmensinterna im Netz veröffentlichen. Ebenso können sie aus Versehen Schadsoftware aus den sozialen Medien herunterladen und auf dienstlich genutzten Endgeräten installieren.
Sicherheit im Unternehmen: Die Schulungsformen
Sie haben die Wahl, ob Sie die Security-Awareness-Trainings für Ihre Mitarbeiter:innen als Präsenzschulung oder als Online-Veranstaltung anbieten. Auch Mischformen sind möglich. Generell geht die Entwicklung hin zu kurzen, dafür aber häufigeren Schulungen und Online-Tests. In den einzelnen Übungen vertiefen die Mitarbeiter:innen beispielsweise noch einmal den Umgang mit bestimmten Technologien, allgemein dem Surfen im Internet oder dem Arbeiten mit E-Mails.
Präsenzschulung
Bei Präsenzschulungen können die Trainer:innen sehr gut mit den Kursteilnehmer:innen interagieren. Hier können Sie Situationen nachstellen wie den sicheren Umgang mit Kund:innen und deren Daten am Point of Sale oder am Empfangstresen Ihres Unternehmens. Fehler oder Missverständnisse bei Übungsinhalten können die Trainer:innen dabei schnell erkennen, korrigieren und gemeinsam mit den Teilnehmer:innen besprechen.
Online-Schulung
Mit regelmäßigen Online-Schulungen können Sie das Gelernte vertiefen und neueste Erkenntnisse zur IT-Sicherheit einfließen lassen. Zudem sind Online-Schulungen ein praktikabler Weg, um Mitarbeiter:innen zu schulen, die ausschließlich im Homeoffice oder mobil arbeiten und deren Arbeitsplatz weit entfernt vom Unternehmenssitz ist.
Mögliche Fehler bei der Durchführung von Sicherheitsschulungen
Die Qualität der Trainings ist unterschiedlich. Daher sollten Sie auf folgende Punkte achten und diese Fehler vermeiden:
- Security-Awareness-Trainings sollten zu Ihrem Unternehmen und dem Arbeitsumfeld Ihrer Mitarbeiter:innen passen. Einige Anbieter von Online-Trainings vermitteln nur sehr allgemeine oder nicht mehr aktuelle Inhalte.
- Manche Trainings sind für andere Länder lokalisiert und haben daher keinen Bezug zum deutschen und EU-Recht, etwa der DSGVO.
- Achten Sie umgekehrt auch darauf, dass Sie Ihren Mitarbeiter:innen die zu deren Arbeitsorten und Ländern passenden Trainings bieten, wenn diese an Standorten im Ausland arbeiten.
- Wenn Sie sich für Online-Schulungen entscheiden, sollten diese einen Übungs- oder Test-Teil enthalten, damit Ihre Mitarbeiter:innen die Inhalte auch aktiv erlernen und verinnerlichen.
- Die Kurse sollten alle Sicherheitsrisiken verständlich erläutern und ihre Empfehlungen und Vorgaben für die tägliche Arbeit gut begründen. Denn wenn Ihre Mitarbeiter:innen beispielsweise verstehen, weshalb gewisse Passwörter sehr leicht zu knacken sind und was dies für Folgen für das gesamte Unternehmen haben kann ist die Bereitschaft, Sicherheitsregeln auch umzusetzen, deutlich größer.
Kosten von Security-Awareness-Trainings
Größter Kostenfaktor bei Security-Awareness-Trainings ist oft die hierfür anfallende Arbeitszeit Ihrer Mitarbeiter:innen. Ihre Kosten für regelmäßige Trainings können Sie durch eine Kombination aus Präsenz- und Online-Trainings reduzieren. Häufigere kurze Wiederholungsübungen, zum Beispiel eine Stunde pro Quartal, sind dabei in der Regel nachhaltiger und effizienter als beispielsweise eintägige Auffrischungsschulungen im Jahresturnus.
Tipp: Haben Sie bereits einen zuverlässigen Dienstleister für Pentests, Sicherheits-Audits oder für das Erstellen und Monitoring Ihres ISMS, so fragen Sie dort an, ob dieser auch Security-Awareness-Trainings anbietet. Schließlich kennt er bereits Ihr Unternehmen, Ihre IT-Strukturen oder Ihre Branche und kann daher Ihre Mitarbeiter:innen ohne große Einarbeitung gezielt schulen.
Zugleich können Sie auf diese Weise die Ergebnisse bisheriger Pentests in Ihrem Unternehmen in die Lehrgangsinhalte einarbeiten lassen. Damit demonstrieren Sie Ihren Mitarbeiter:innen, welche konkreten Sicherheitslücken es auch in Ihrer Firma bereits gab oder sogar noch gibt. Dies macht die Schulungen besonders anschaulich.
Das Wichtigste zu Security-Awareness-Trainings in Kürze
- Die Anzahl der Cyberangriffe und die mittlere Schadenshöhe nehmen in Deutschland zu. Besonders Mitarbeiter:innen im Homeoffice sind häufig Opfer von Attacken.
- Mit regelmäßigen Security-Awareness-Trainings sichern Sie Ihr Unternehmen gegen viele Cyberangriffe von außen und innen.
- Vergleichen Sie die unterschiedlichen Trainings am Markt und entscheiden Sie sich für eines, dessen Inhalte zu Ihrem nationalen Markt und Datenschutzrecht und den Besonderheiten in Ihrem Unternehmen passt.
- Für das anfängliche Erlernen und das regelmäßige Auffrischen der wichtigsten Sicherheitsprinzipien haben sich Kombinationen aus Präsenz- und Online-Trainings bewährt.
- Lassen Sie Ergebnisse aus Ihrem laufenden Sicherheits-Monitoring in die Schulungen mit einfließen.
- Prüfen Sie, ob Ihr IT-Dienstleister auch Security-Awareness-Trainings anbietet. Dieser Anbieter kennt Ihr Unternehmen bereits und kann daher Ihre Mitarbeiter:innen zielgerichtet schulen.
Quelle:
https://www.vodafone.de/business/featured/digitales-business/was-ist-security-awareness-training-und-wie-wichtig-ist-es-fuer-unternehmen/