IT-Security-Systeme sind heutzutage sehr leistungsfähig. Einen 100-prozentigen Schutz können sie aber nicht bieten. Ebenso haben viele Menschen mittlerweile Basiswissen über die Funktionsweise von digitalen Systemen. Sie sind aber nicht gefeit vor Fehlern oder unbedachten Handlungen und können auf fiese Tricks hereinfallen. Verfügen Unternehmen sowohl über gute technische Sicherheitssysteme als auch über geschulte Mitarbeiter:innen, erhöhen sie ihr Sicherheitsniveau signifikant. Der menschliche Faktor ist ebenso wichtig wie die Technik, wird aber noch zu oft vernachlässigt.
Warum der Bedarf an Sicherheitsschulungen wächst.
Es reicht heutzutage nicht mehr, die Belegschaft einmal im Jahr auf ein Tagesseminar zu schicken, um einen Haken ins Pflichtenheft zu machen. Denn die Methoden von Cyber-Angreifern werden immer professioneller. Nicht selten spionieren sie potenzielle Opfer und ihr Umfeld vorher aus, um ihren Angriff möglichst individuell auf eine Person oder eine Gruppe zuzuschneiden. Wer dann mit Informationen, die „eigentlich“ nur Vertraute kennen können, zu unüberlegten Handlungen animiert wird, begeht häufig Fehler.
In anderen Fällen wird Arglosigkeit oder Unachtsamkeit ausgenutzt. Etwa, wenn ein mit Malware präparierter USB-Stick so platziert wird, dass er mit hoher Wahrscheinlichkeit von Mitarbeiter:innen gefunden wird. Der Stick muss nur in irgendein Gerät eingesteckt werden und schon ist der Schadcode im System. Dass die Fortschritte auf dem Gebiet der künstlichen Intelligenz noch perfidere Angriffsmethoden möglich machen, liegt auf der Hand. Viele Unternehmen, die sich durch technische Abwehrsysteme sicher genug fühlen, werden spätestens durch eine Phishing-Simulation eines Besseren belehrt.
Neben dem wichtigsten Aspekt, dem Selbstschutz, gibt es weitere Gründe, Mitarbeiter:innen regelmäßig und strukturiert in puncto Sicherheit zu schulen. Dazu zählen formale Vorgaben wie
- branchenspezifische Anforderungen, die eine ISO/IEC-27001- oder eine TISAX®-Zertifizierung voraussetzen,
- Melde- und Nachweispflichten für Betreiber kritischer Infrastrukturen (KRITIS) und Unternehmen im besonderen öffentlichen Interesse
(UBI) oder - der Nachweis von Security-Awareness-Trainings zum Abschluss einer Cyber-Versicherung
Warum Security Awareness so wichtig ist.
Auch wenn das Wissen um die Relevanz von Security Awareness stetig zugenommen hat, tun sich viele Unternehmen und öffentliche Einrichtungen nach wie vor schwer bei der Umsetzung in die Praxis. Das liegt nicht immer nur an fehlenden Ressourcen oder mangelndem Know-how. Hinzu kommt, dass die Gewährleistung von IT-Sicherheit unterschiedliche Geschäftsbereiche in unterschiedlicher Weise betrifft. Die Risiken in der Buchhaltung sind andere als in der Marketingabteilung, der Poststelle oder im Homeoffice.
Um diesen Bedürfnissen ebenso gerecht zu werden wie der Tatsache, dass Cyberangreifer:innen heutzutage in immer kürzeren Abständen neue Methoden und Techniken einsetzen, ist ein ganzheitlicher und kontinuierlicher Schulungsansatz nötig. Security-Awareness-Trainings sollen einen Überblick über digitale Bedrohungen liefern und Mitarbeitende dazu befähigen, Cybergefahren in ihrem Arbeitsalltag zu erkennen, zu antizipieren und abzuwenden. Sie sind es, die im Mittelpunkt solcher Konzepte stehen müssen.
Wie Security Awareness dauerhaft gewährleistet werden kann.
Wissen wird am besten aufgenommen und umgesetzt, wenn es praxisnah und unkompliziert vermittelt wird. Heutzutage gibt es dazu viele Möglichkeiten. Erfolgversprechend ist beispielsweise, das Lernen zu individualisieren. Mit der passenden Software können Mitarbeiter:innen nicht nur eigenständig entscheiden, mit welchen Inhalten sie sich wann und wo fortbilden möchten. Die Tools ermöglichen auch den Start vom jeweils individuellen Niveau, denn Vorkenntnisse, Erfahrungen und Qualifikationen unterscheiden sich oft. Die Motivation und das Engagement jedes und jeder Einzelnen können durch Gamification-Elemente wie etwa die Verleihung virtueller Auszeichnungen nach erfolgreichem Abschluss einer Lerneinheit weiter gesteigert werden.
Simulationen von sicherheitskritischen Ereignissen, wie sie in der Realität stattfinden können (oder stattgefunden haben), sind ein weiteres probates Lernmittel. Es ist ein Unterschied, ob man über eine Situation liest oder sie selbst schon einmal durchlebt hat. Mit Simulationen kann man risikolos den Ernstfall trainieren – ohne Datenverluste, aber mit Erkenntnisgewinn.
Zeitgemäße Security-Awareness-Konzepte berücksichtigen neben den aktuellen Gefahren des Phishings und des Trainings als weitere wichtige Säule das Reporting. Es stellt zum einen die Erfolgskontrolle sicher, indem trainierte Inhalte überprüft werden. Zum anderen liefert es zahlreiche Analysen, um den weiteren Fortgang der Schulungen individuell aussteuern zu können.
Machen Sie Ihre Belegschaft krisenfest.
Digital und Security Awareness betrifft alle, ob kleines Unternehmen oder große Institution, ob Privatwirtschaft oder öffentlicher Sektor. Die Sensibilisierung des Sicherheitsbewusstseins ist aber nicht nur ein Thema der IT, sondern für jeden einzelnen Mitarbeitenden relevant. Deren Schulung ist daher mindestens genauso wichtig wie technische Schutzmaßnahmen. Dafür werden ein nachhaltiges Konzept, flexible Lernformen und kontinuierliche, praxisnahe Trainings inklusive Reportings benötigt. Der Einstieg ist leicht, schnell und mit wenig Aufwand möglich.