Security-Awareness-Trainings – ein Ratgeber

Leremy | shutterstock.com

Security-Awareness-Schulungen sind für Unternehmen und Organisationen obligatorisch und sollten Teil jeder übergreifenden Cybersecurity-Strategie sein. Zumindest, wenn sämtliche Mitarbeiter möglichst gut über alle relevanten Sicherheitsrisiken aufgeklärt sein und bestmöglich zum Schutz unternehmenskritischer Assets beitragen sollen.

Insofern zielen Security-Awareness-Trainings in erster Linie darauf ab, Cyberrisiken in Zusammenhang mit menschlichem Handeln zu reduzieren. Das Ziel besteht darin, den Mitarbeitern Wissen über Bedrohungen zu vermitteln, um diese zu verstehen, zu erkennen und zu vermeiden. Parallel gilt es jedoch sicherzustellen, dass die Angestellten ihren Aufgaben auch so effektiv wie möglich nachkommen können.

In diesem Ratgeber lesen Sie:

• warum Security-Awareness-Trainings unverzichtbar sind,
• welche Themengebiete dabei unbedingt behandelt werden sollten,
• wie diese idealerweise vermittelt werden sollten,
• welche Kosten durch Security-Awareness-Schulungen auflaufen, sowie
• welche kostenlosen Ressourcen Sie zu diesem Zweck anzapfen können.

Warum Security Awareness obligatorisch ist

In der Regel nehmen Mitarbeiter in Unternehmen (die nicht Teil des Security Teams sind), Cybersicherheit nicht als ihre Aufgabe wahr. Eine Schulung des Sicherheitsbewusstseins schafft Klarheit darüber, warum diese Angestellten dennoch eine tragende Rolle dabei spielen, ihre Organisation vor Cyberattacken zu schützen.

Das liegt im Wesentlichen daran, dass:

• Menschen weiterhin das schwächste Glied in der Cybersicherheits-„Kette“ darstellen: Das SANS Institute schlussfolgerte schon in seinem Security Awareness Report aus dem Jahr 2022, dass Menschen weltweit zum Hauptangriffsvektor für Cyberkriminelle geworden sind – Stichwort Social Engineering. Das hat sich nicht geändert, wie ein Blick in den aktuellen „Data Breach Investigations Report“ von Verizon belegt.
• Sicherheitsbewusstsein ist häufig bereits durch gesetzliche und brancheninterne Vorgaben verpflichtend: Diverse Sicherheits-Frameworks, die in Branchen eingesetzt werden, in denen Datenschutz und Security einen besonders hohen Stellenwert einnehmen, schreiben regelmäßige Security-Awareness-Trainings vor. Sicherheitsbewusstsein ist jedoch längst kein branchenspezifisches Obligatorium mehr: Für viele europäische Unternehmen werden entsprechende Programme beispielsweise mit der geplanten NIS2-Richtlinie verpflichtend.

Essenzielle Themen für Security-Awareness-Trainings

Security-Awareness-Trainings sollten Themen fokussieren, mit denen Mitarbeiter in nicht-technischen Bereichen vertraut sein sollten. Folgende Bereiche sind dabei unerlässlich.

• Social Engineering: Cyberkriminelle nutzen bevorzugt betrügerische Social-Engineering-Taktiken, um Zugang zu Systemen, Daten und Finanzquellen von Unternehmen zu erlangen. Das beinhaltet unter anderem traditionelle Phishing-Angriffe per E-Mail sowie auch per Telefon oder Textnachricht. Mitarbeiter sollten deshalb wissen, wie diese Angriffsformen funktionieren und woran sie zu erkennen sind. Neben der reinen Aufklärung setzen viele Unternehmen in diesem Bereich auch auf Phishing-Simulationen. Für privilegierte Mitarbeiter und Führungskräfte können Intensivschulungen zu Spear-Phishing-Angriffen Sinn machen.
• Passwörter: Das Thema Passwort–Hygiene ist langweilig und ein bisschen angestaubt – stellt aber dennoch weiterhin einen Dreh- und Angelpunkt der Unternehmenssicherheit dar. Einen Passwort-Manager einzuführen oder auf modernere Alternativen zu setzen, bietet sich bei dieser Gelegenheit an, weil es sich ideal in Schulungsinitiativen integrieren lässt.
• Device-Nutzung und Remote Work: Ihren Mitarbeitern eine strikte Trennung von Arbeits- und Privatleben aufzuerlegen, ist für viele Unternehmen ein aussichtsloses Unterfangen. Enterprise-Geräte werden so regelmäßig auch privat genutzt – und durch Remote Work sind die Grenzen noch weiter verschwommen. Die Risiken, die dadurch entstehen, sollten allen Mitarbeitern bewusst sein.
• Incident Reporting: Potenzielle Cybergefahren sollten nicht nur zuverlässig erkannt, sondern auch gemeldet werden. Nur so kann das IT-Sicherheits-Team tätig werden und verhindern, dass weniger aufmerksame Kollegen dem Kompromittierungsversuch auf den Leim gehen.

Security Awareness richtig vermitteln

Damit haben wir das „Warum“ und das „Was“ in Zusammenhang mit Security-Awareness-Trainings abgehakt – bleibt noch das „Wie“. Das entscheidet darüber, wie effektiv Ihre Schulung zum Thema Sicherheitsbewusstsein wirkt. Folgende Bausteine sind dabei erfolgskritisch:

• Ansprechend vermittelte Inhalte. Um Ihren Mitarbeitern nicht von vorneherein die Lust am Lernen zu verderben, sollten Sie das zu vermittelnde Wissen in möglichst ansprechende Formate „pressen“. Das können etwa Blogbeiträge, Videos, interaktive Elemente oder auch Konzepte wie Lunch-and-Learn-Sessions sein. Je mehr Spaß das Ganze macht, desto wahrscheinlicher ist es auch, dass der behandelte Inhalt in den Köpfen hängenbleibt. Wichtig ist dabei auch, die Informationen auf die verschiedenen Mitarbeitergruppen und ihre jeweiligen Vorkenntnisse abzustimmen.
• Interner Support. Zur Wahrheit gehört aber auch: Sie können Inhalte so gut präsentieren wie Sie wollen – wenn grundlegender Support für ein Security-Awareness-Programm innerhalb der Organisation nicht existent ist, wird sich kein Erfolg einstellen. Wesentlich ist deshalb, die Geschäftsleitung und das mittlere Management einzubeziehen und zu konsultieren. Auch eine enge Kooperation mit der Personalabteilung ist in diesem Zusammenhang erfolgskritisch.
• Eine Anreizstruktur. Geschenkgutscheine, Weiterbildungs-„Credits“ und sonstige Anerkennungen sind gute Methoden, um den Lernenden ein Erfolgsgefühl zu vermitteln, wenn sie bei einem Security-Awareness-Training gut abschneiden.
• Quantifizierte Ergebnisse. Schulungen, die Sicherheitsbewusstsein vermitteln sind keine einmalige Angelegenheit. Im Gegenteil gilt es dabei genau im Auge zu behalten, in welchen Bereichen noch Mängel bestehen und wo eventuell intensivere Schulungsmaßnahmen nötig sind.

Was Sicherheitsbewusstsein kostet

Viele Organisationen entscheiden sich für die Services von externen Sicherheitsanbietern, wenn es um Security-Awareness-Trainings geht. Es gibt eine Reihe von Kriterien, um die Angebote dieser Anbieter zu bewerten – die Kosten dürften dabei ein besonders relevanter Faktor sein.

Die Sicherheitsexperten von Caniphish haben die einzelnen Angebotspreise über das gesamte Anbieterspektrum zusammengerechnet und einen groben Mittelwert ermittelt, der Auskunft darüber gibt, in welchem Preisrahmen sich Security-Awareness-Schulungen aktuell bewegen.

Demnach liegt dieser zwischen 0,45 und 4 Dollar pro Mitarbeiter und Monat – je nach gewähltem Serviceumfang. Die Bandbreite reicht diesbezüglich von der Self-Service-Plattform mit Lernmodulen bis hin zu Full-Service-Consultants, die Live-Schulungen mit Ihrer Belegschaft abhalten.

Kostenlose Security-Awareness-Quellen

Unternehmen und Organisationen, die interne Security-Awareness-Schulungen durchführen möchten, stehen dazu auch einige kostenlose, respektive quelloffene Ressourcen und Tools zur Verfügung.

Zum Beispiel:

• hält das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webpräsenz Informationen zum Thema für Unternehmen bereit.
• bietet die US-Cybersicherheitsbehörde NIST verschiedene kostenlose und kostengünstige Online-Kurse zum Thema an.
• offeriert das SANS-Institut eine ganze Reihe kostenloser Ressourcen an, darunter auch Schulungen.
• ermöglicht das Open-Source-Framework Gophish, Ihre Belegschaft mit simulierten Phishing-Angriffen zu testen.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.