Unternehmen auf der ganzen Welt sehen sich heute einer innovativen Dark Economy gegenüber, deren Business-Modell darauf fußt, die Informationssicherheit und damit wortwörtlich Existenzen zu bedrohen.
Weil sich die Taktiken der Angreifenden laufend ändern und Organisationen diesen mit rein technischen Schutzmaßnahmen nicht entgegentreten können, verlangen immer mehr (Branchen-)Frameworks, dass flächendeckend Security Awareness Trainings zum Einsatz kommen. Ehe wir darauf eingehen, wie ein solches Training aussehen sollte, werfen wir einen Blick auf die gegenwärtige Bedrohungslage.
Ein Überblick über die aktuelle Cyberbedrohungslage.
Die Cyberbedrohungslage hat sich in den vergangenen Jahren drastisch verändert – und das nicht zum Guten. Einige Cybercrime-Trends beherrschen den digitalen Raum seit geraumer Zeit. Egal ob anlassbezogenes Phishing, Supply-Chain-Attacken, Multiple Extortion, Deepfakes oder das Ausnutzen der neuen, hybriden Arbeitsmodelle – all diese Bedrohungen haben einen entscheidenden Aspekt gemeinsam: 82 Prozent beginnen mit einer menschlichen Interaktion.
Dadurch, dass hybride Modelle im Arbeitsalltag vermehrt ihren Platz gefunden haben, ist zugleich die “Verwundbarkeit” von Arbeitnehmenden rapide angestiegen. Cyberangriffe sind insgesamt erfolgreicher, weil die arbeitsbedingten und strukturellen Umstellungen Mitarbeitende verunsichern und Sicherheitsverantwortliche stärker beanspruchen. Die gute Nachricht ist, dass Unternehmen den Angreifenden etwas entgegensetzen können: Security Awareness Training.
Was ist Security Awareness Training?
Security Awareness Training soll mit seinem Fokus auf den Faktor Mensch ein Bewusstsein für potenzielle digitale Gefahren schaffen und so erfolgreichen Cyberangriffen vorbeugen. Es fokussiert sich auf das umsichtige Verhalten von Mitarbeitenden und stärkt so die Sicherheitskultur von Organisationen. Durch das Training erhalten Mitarbeitende einen Überblick über digitale Bedrohungen. Es befähigt sie dazu, Cybergefahren zu erkennen, zu antizipieren und sie erfolgreich abzuwenden. Einige Elemente, mit denen im Rahmen des Trainings Awareness geschaffen wird, sind beispielsweise interaktive E-Learning-Module und Phishing-Simulationen, die digitale Bedrohungen realitätsgetreu abbilden.
Ein Investment in Security Awareness Training ist für Organisationen gleichzeitig auch ein Investment in langfristige Sicherheit. Das Training verändert nachweislich den Umgang mit Gefahren bezüglich der Informationssicherheit und sorgt dafür, dass Mitarbeitenden ihre entscheidende Rolle bei der Abwehr von Cyberbedrohungen bewusst wird. Außerdem ist Cyber Security Awareness Training ein zentraler Bestandteil moderner Compliance-Anforderungen.
An dieser Stelle finden Sie interaktive Podcast-Inhalte, welche über unseren Dienstleister Podigee eingebunden sind. Um Ihnen diese Inhalte zur Verfügung zu stellen, benötigen wir Ihre Zustimmung. Weitere Informationen zur Datenverarbeitung im Rahmen der Podcasts finden Sie in unserer Datenschutzerklärung
Mehr als bloße Compliance-Erfüllung.
Die Bedrohungslage hat dafür gesorgt, dass viele Frameworks Informationssicherheit zum Thema machen und Organisationen Guidelines oder Vorgaben an die Hand geben. Der international anerkannte Standard ISO/IEC-27001 regelt beispielweise die Rahmenbedingungen für Informationssicherheits-Managementsysteme (ISMS), sodass Cyberrisiken leichter identifiziert, analysiert und durch Maßnahmen behoben werden können. Ein Teil davon sind Security Awareness Trainings. Auch viele Cyberversicherungen stellen solche Trainings mittlerweile als Bedingung.
Zugleich greifen in vielen Branchen spezifische Frameworks, die die Nutzung von Security Awareness Trainings obligatorisch machen – so zum Beispiel auch das Krankenhauszukunftsgesetz (KHZG). Das im Jahr 2021 verabschiedete Gesetz sicherte Kliniken aufgrund der COVID-19-Pandemie finanzielle Unterstützung zur Modernisierung zu. Neben dieser Förderung und dem Zuschuss für Pflegekräfte sollte das Gesetz auch die digitale Infrastruktur in Krankenhäusern verbessern, um zum Beispiel digitales Medikationsmanagement und Maßnahmen zur IT-Sicherheit zu ermöglichen. Ähnlich wie bei vielen digitalen Cyberversicherungen sah das KHZG Security Awareness Trainings als Fördertatbestand vor.
Grundsätzlich sollte Security Awareness Training aber keinesfalls nur eingesetzt werden, um einen Haken hinter die gewünschten Compliance-Anforderungen zu setzen – Informationssicherheit ist ein entscheidendes Thema, das auch als solches behandelt werden sollte.
Bechtle will IT-Security-Team verdoppeln.
Bechtle baut den strategischen Portfoliobereich IT-Security kräftig aus und will das bereits vorhandene Team durch Neueinstellungen und ein eigenes Qualifizierungsprogramm verdoppeln. Mit rund 300 zertifizierten IT-Security-Expertinnen und -Experten gehört Bechtle heute zu den Top drei der IT-Dienstleister in diesem Bereich in Deutschland.
Das macht Security Awareness Training so effektiv.
Modernes Security Awareness Training fokussiert sich auf den Faktor Mensch und soll in erster Linie die Sicherheitskultur von Organisationen stärken. Es ist dann nachhaltig erfolgreich, wenn es Informationssicherheit ganzheitlich betrachtet und auf lernpsychologische Methoden setzt.
Für optimalen Erfolg bietet es sich etwa an, dass das Training Gamification-Elemente beinhaltet: Sind spieltypische Elemente in spielfremde Kontexte eingebunden, spricht dies den natürlichen Spieltrieb des Menschen an und macht Spaß.
Ein weiterer Faktor, der Security Awareness Training effektiv macht, ist personalisiertes Lernen: Ist es den Nutzenden möglich, auf das eigene Lernniveau zugeschnittene Inhalte zu erstellen und diese im Training zu behandeln, sind sie engagierter und motivierter. Untersuchungen sehen einen klaren Zusammenhang zwischen Personalisierung und Lernbereitschaft. Idealerweise sollten moderne Security Awareness Lösungen einfach zu implementieren und verwalten sein, da IT-Sicherheitsverantwortliche so kostbare Zeit sparen können.
Neue Herausforderungen verlangen neue Lösungen.
In der aktuellen Bedrohungslage wird die Nachfrage nach innovativen Trainingsmethoden, die den neuen Bedingungen und Frameworks gerecht werden, immer größer. Cybersecurity ist kein Nischenthema mehr. Auch Security Awareness Training sollte deshalb Mitarbeitende in ihrem Arbeitsalltag abholen und die vermeintlich “trockenen” Themen rund um Informationssicherheit greifbar machen. Sie gewinnen so neue Erkenntnisse, helfen dabei, Compliance-Auflagen zu erfüllen und – vor allem – minimieren sie so langfristig Cyberrisiken.
Unser Partner SoSafe bietet eine Awareness-Plattform, mit der Sie leicht und mühelos das Sicherheitsbewusstsein Ihrer Mitarbeitenden schärfen können. Die Plattform setzt auf interaktives Cyber Security E-Learning und professionell erstellte Phishing-Simulationen, die Ihnen dabei helfen, die Sicherheitskultur in Ihrer Organisation erfolgreich zu stärken. Außerdem lässt sich die Awareness-Plattform personalisieren und wird kontinuierlich an aktuelle Geschehnisse angepasst. Mit einem Dashboard können Sie als Sicherheitsverantwortliche den Erfolg der Lernenden ganz einfach verfolgen und nachvollziehen. Erfahren Sie mehr über Cyber Security Awareness Training und wie sie es nutzen können, um Cyberangriffe erfolgreich abzuwehren.
