LANG=de
2 Min. Lesezeit

Security Awareness Training - so funktioniert's!

von DriveLock
Security Awareness Training von DriveLock

Immer neue Schadsoftwarevarianten und sogenannte dateilose Angriffsvektoren bedrohen Unternehmensnetzwerke. Laut dem Lagebericht 2021 des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden im vergangenen Jahr täglich 394.000 Varianten festgestellt, eine Zunahme von 22% zum Vorjahr. Software-Schwachstellen werden gezielt ausgenutzt. Dabei ist es nur logisch, die technischen Kontrollen und Abwehrmechanismen so weit wie möglich aufzurüsten, um die Ausführung von Schadsoftware zu verhindern, Softwareversionen auf Schwachstellen zu scannen, eine mehrstufige Authentifizierung zu ermöglichen usw.

Es wäre aber zu einfach, Cyberabwehr als rein technische Herausforderung zu betrachten: Das Handeln von Menschen spielt eine entscheidende Rolle. Denn Ursache für Sicherheitsvorfälle ist fast immer menschliches Versagen. Große und komplexe Systeme sind anfällig für Fehler von unerfahrenem oder ungeschultem Personal sowie für die Aktivitäten bösartiger Insider.

Security Awareness Trainings – aber bitte dauerhaft!

In Unternehmen können IT Sensibilisierungstrainings für alle Mitarbeiter - auch Vorgesetzte! - helfen, Sicherheitsbewusstsein aufzubauen. Wichtig ist aber, dass diese Schulungen keine alleinstehenden, einmaligen Sondermaßnahmen sind, die nur der Erfüllung von BSI-Empfehlungen und ISO-Normen gelten. Immerhin haben 81 Prozent der Unternehmen vor und während der Pandemie in Awareness-Maßnahmen investiert.

Security Awareness Warnhinweise

Betrachten wir eine Analogie aus unseren frühen Lernphasen: Bevor wir Auto fahren durften, mussten wir eine Führerscheinprüfung ablegen. Aber so richtig sicher werden wir im Straßenverkehr nur durch Fahrpraxis, also durch ständige Wiederholung. Ein einmaliges Training reicht nicht aus. Um nun den Bogen zur Cybersicherheit zu spannen: Wir brauchen Warnhinweise und Wiederholung, um ein Sicherheitsbewusstsein aufzubauen. Diese „Impulse“ sollten im zeitlichen Zusammenhang mit der sicherheitsrelevanten Aktivität stehen - die prekäre Folgen haben könnte, wenn wir nicht hochkonzentriert sind. Im Idealfall wird eine IT-Sicherheitsschulung sogar durch die verwendete IT-Sicherheitslösung unterstützt bzw. ist in sie integriert.

Obwohl menschliche Fehler nie ganz ausgeschlossen werden können, trägt ein gut geplantes Security Awareness Training dazu bei, das Risiko auf ein akzeptables Maß zu reduzieren. Um das Bewusstsein nachhaltig zu schärfen, ist die Integration eines Security Awareness- und Trainingsprogramm in den Arbeitsalltag essentiell.

Schulungen zur Mitarbeitersensibilisierung können sich auszahlen, indem sie die Benutzer darüber informieren, was sie tun können, um böswillige Aktivitäten zu erkennen und wie sie sich im Falle einer solchen Aktivität verhalten müssen. Security Awareness Training ist eine wichtige Sicherheitsebene, die zu den bestehenden „technischen“ Sicherheitskontrollen hinzukommt.

 

Aus welchen Elementen sind Security Awareness Trainings aufgebaut?

  • Sie schulen den richtigen Umgang mit USB-Geräten - häufigsten Quellen für Viren- oder Malware-Infektionen, die unwissentlich infiziert sein könnten.
  • Nutzer lernen, verschiedene Formen von Social-Engineering zu erkennen, der Vortäuschung eines uns vertrauten E-Mail-Absenders (z.B. Hausbank, Zahlungsdienstleister) oder dessen Webseite.
  • Verdächtige Phishing Mails erkennen
  • Umgang mit sensiblen Informationen

Das Ziel dieser Security Awareness Trainings ist mehrschichtig:

  1. Neben der Steigerung des Sicherheitsbewusstseins werden dabei gesetzliche Anforderungen erfüllt.
  2. Der Fokus sollte auf der Veränderung des Verhaltens liegen.

Security Awareness Schulung Sicherheits-Tipps Voice Pishing
Abbildung: Security Awareness Training von DriveLock -  Voice Phishing (Vishing)


Anlassbezogenes und zielgruppenorientiertes Lernen

DriveLock Security Education dient der Steigerung des Sicherheitsbewusstseins bei den Mitarbeitern Ihres Unternehmens. Durch kontinuierliches und anlassbezogenes Lernen in sicherheitsrelevanten Situationen werden diese für mögliche Gefahren sensibilisiert. 

Mitarbeiter können gezielt bei bestimmten Aktivitäten, wie z.B. dem Einstecken eines USB-Sticks oder dem Verbinden mit einem Bluetooth-Gerät, Hinweise auf die korrekte Verhaltensweise und notwendige Sicherheitsmaßnahmen erhalten.

Beim Starten einer Applikation kann DriveLock überprüfen, ob es sich um eine sichere Anwendung handelt und eine kurze Kampagne mit Sicherheitshinweisen abspielen.

Im Fall eines akuten Sicherheitsvorfalls können Sie ad hoc unternehmensweit entsprechende Verhaltensmaßnahmen veröffentlichen, um Auswirkungen und Kosten so gering wie möglich zu halten.

Security Awareness Training Soziales Dilemma
Abbildung: Security Awareness Training von DriveLock

Sie können DriveLock Security Awareness-Kampagnen flexibel nach Ihren Anforderungen (Personenkreis, Uhrzeit, Medienformat der Schulung) einrichten, um eine zielgruppenorientierte und wirkungsvolle Kommunikation zu gewährleisten. Und eine Art Führerscheinprüfung haben wir dann doch noch: Durch Tests am Ende eines Abschnitts können Sie Ihren Lernerfolg kontrollieren.

Mehr erfahren Sie in unserem Lösungsbaustein Security Education.

 In unserem nächsten Beitrag erfahren Sie, warum Security Awareness den Endnutzer in den Mittelpunkt stellen muss.


Fotos: iStock, DriveLock Security Awareness Content


Weiterführende Beiträge

Cyber Hygiene Checkliste

Cyber Hygiene - das sind einfache Security-Prinzipien, die jede Organisation kennen und umsetzen sollte, um alle sensiblen Daten im Griff zu...

Security Awareness und Zero Trust zu verbesserter Employee Experience

In unserem Beitrag „Security Awareness Programme: IT-Sicherheit fängt beim Benutzer an.“ haben wir aufgezeigt, dass Sensibilisierungsprogramme die...

Sicheres Löschen von Daten

Wenn Sie Daten endgültig und rechtssicher löschen müssen. Was zunächst harmlos klingt, entpuppt sich als grobe Datenschutzverletzung und wird zum...