Bleiben Sie wachsam!

Bleiben Sie wachsam!

Die Schulung des Sicherheitsbewusstseins ist wesentlich für die Eindämmung menschlichen Versagens – die Ursache für die meisten Cyber-Verstöße, mit denen Unternehmen konfrontiert sind. Die Schulung Ihrer Mitarbeiter hilft Sicherheitsrelevante Themen in das tägliche Bewusstsein zu rufen und führt effektiv zur Verbesserung der Sicherheitsergebnisse.

Was ist eine Schulung des Sicherheitsbewusstseins?

Die Schulung des Sicherheitsbewusstseins ist die Aufklärung der Mitarbeiter über Sicherheitsprinzipien und bewährte Verfahren. Es ist von wesentlicher Bedeutung, dass jeder Benutzer, der Zugang zu den Computern, Geräten, Systemen oder Daten Ihrer Organisation hat, ein Verständnis der Sicherheitskonzepte hat, da jeder Benutzer potenziell einen unbeabsichtigten Verstoß verursachen oder einen unbefugten Zugriff zulassen kann, wenn er nicht weiß, wie er Ihr Unternehmen angemessen schützen kann.

Verhindern technische Lösungen nicht solche Verstöße?

Anti-Malware und Software zur Erkennung von Sicherheitsverletzungen sind ein wichtiger Teil des Sicherheits-Toolkits. Multi-Faktor-Authentifizierung und Passwortmanager spielen eine wichtige Rolle bei der Verringerung des Risikos menschlicher Fehler. Die Fakten bleiben jedoch die gleichen: Solange Ihre Endbenutzer Zugang zu den Systemen, Geräten und Daten Ihres Unternehmens haben, können sie diese durch Zufalls- oder Social Engineering aufdecken, unabhängig davon, wie viele technische Lösungen Sie einsetzen. Wenn ein Cyber-Krimineller Ihre Mitarbeiter so täuscht, dass sie ihre Passwörter preisgeben oder Zahlungen auf das falsche Bankkonto tätigen, kann ein Antivirusprogramm nichts dagegen unternehmen.

Wie kann menschliches Versagen verhindert werden?

Die Eindämmung menschlichen Versagens muss im Mittelpunkt Ihrer Sicherheitsstrategie stehen, aber es ist wichtig, dass Sie sich mit diesem Thema auf wirksame Weise befassen. Lassen Sie uns zunächst einen Blick darauf werfen, was menschliches Versagen überhaupt verursacht.

Zwei Faktoren müssen vorhanden sein, damit sich menschliches Versagen manifestieren kann: Gelegenheit und Entscheidung. Gelegenheit bedeutet, dass es eine Situation gibt, in der es einem Menschen erlaubt ist, einen Fehler zu machen: z. B. Endbenutzer Software-Updates handhaben zu lassen, anstatt Sicherheitsupdates mit dem Patch-Management zu erzwingen. Die Entscheidung ist die Handlung des Einzelnen: in diesem Fall die Untätigkeit bei der Installation von Sicherheitsupdates, wenn diese verfügbar sind.

Zu einer umfassenden Entschärfung gehören sowohl die Verringerung der Fehlerwahrscheinlichkeit als auch die Verbesserung der von den Endbenutzern getroffenen Entscheidungen. Das Ergreifen von Maßnahmen in beiden Bereichen ist wesentlich, um sicherzustellen, dass menschliches Versagen gründlich angegangen wird. Beim Patching z.B. kann eine technische Maßnahme wie die Einführung eines Patch-Managements in den meisten Fällen die Möglichkeit menschlichen Versagens auf ein Minimum reduzieren – dennoch ist es wichtig, Situationen zu berücksichtigen, in denen die technischen Lösungen vorübergehend ausfallen, oder wenn eine neue Situation wie eine BYOD-Richtlinie eingeführt wird, in der die Benutzer ihre eigenen Geräte ohne Patch-Management benutzen dürfen. In anderen Fällen, wie z.B. bei Phishing-E-Mails, haben technische Maßnahmen wie Spam-Filter und Software zur Erkennung von Sicherheitsverletzungen nur eine sehr begrenzte Wirkung, wenn es darum geht, die Fehlermöglichkeiten bei einem gezielten Angriff zu verringern. In diesen Fällen besteht die einzige wirksame Möglichkeit, menschliches Versagen einzudämmen, darin, Ihren Benutzern durch Schulungen zum Sicherheitsbewusstsein zu helfen, bessere Entscheidungen zu treffen.

Welches ist das beste Format für die Schulung des Sicherheitsbewusstseins?

Die Schulung des Sicherheitsbewusstseins ist nicht ein und dasselbe. Die Art und Weise, in der die Schulung durchgeführt, strukturiert und präsentiert wird, hat einen großen Einfluss auf ihre Wirksamkeit bei der tatsächlichen Verbesserung der Sicherheitsergebnisse in Ihrer Organisation. In diesem Abschnitt werfen wir einen Blick darauf, was eine geeignete Art und Weise ist, eine Schulung des Sicherheitsbewusstseins für Ihre Endbenutzer durchzuführen.

Warum eine klassische Ausbildung scheitert.

Früher bedeutete die Schulung des Sicherheitsbewusstseins, dass die Endbenutzer eine jährliche Sitzung mit stundenlangen Vorträgen und Power Point-Vorträgen absolvieren mussten. Die Idee war, dass sich die Benutzer etwas von dem, was sie sahen und hörten, merken würden – und im schlimmsten Fall konnte zumindest das Kästchen für „Schulung der Benutzer“ angekreuzt werden. Wie weit hat es aber tatsächlich zur Verbesserung der Sicherheitsergebnisse beigetragen? Es hat nicht funktioniert, und alle haben es gehasst.

Es gibt eine Reihe von Gründen, warum diese Art der jährlichen vorlesungsbasierten Schulung nicht effektiv ist. Der erste Grund ist, dass in einer jährlichen Schulung einfach zu viele Informationen auf einmal vorhanden sind, als dass ein Mitarbeiter sie verdauen und sich an sie erinnern könnte. Selbst wenn man den Benutzern Lernmaterial zum Mitnehmen gibt oder ihnen gelegentlich Erinnerungen zuschickt, besteht die Möglichkeit, dass das meiste Material in der Schulungssitzung durch das eine Ohr hinein und durch das andere wieder hinausgeht und in wenigen Augenblicken vergessen wird.

Vorträge und Power Point-Vorträgen sind keine unterhaltsamen oder ansprechenden Formate, von denen Endbenutzer lernen können. Es gelingt ihnen nicht, das Interesse der Mitarbeiter in der gleichen Weise zu wecken wie Video und interaktive Inhalte, und sie sind zu oft mit unnötigen Informationen gefüllt, die nicht für jeden Endbenutzer relevant sind. Folien, die bis zum Rand mit kleinem Text gefüllt sind, lassen jeden Mitarbeiter nach der Hälfte der Sitzung sicher einschlafen.

Der letzte, wichtigste Grund, warum herkömmliche Schulungen nicht effektiv sind, ist, dass sie keinen Gebrauch vom Lernen durch Wiederholung machen. Wenn ein Jahr zwischen den Lernsitzungen liegt, werden sich die Benutzer einfach nicht an das Gelernte erinnern – und das Bewusstsein für Sicherheitsfragen im Allgemeinen wird in den Tagen und Wochen nach der Schulung stark zurückgehen. Sicherheit darf keine einmalige Sache sein, sondern muss das ganze Jahr über bestehen, um effektiv zu sein.

Wie man Ausbildung wirklich effektiv gestaltet

Ein effektives Schulungsprogramm für Sicherheitsbewusstsein ist möglich – aber es gibt einige wichtige Kriterien, die Sie befolgen müssen, um Ihre Benutzer wirklich einzubeziehen.

Material abbauen

Es gibt eine begrenzte Menge an Informationen, die eine Person auf einmal aufnehmen kann. Dies gilt insbesondere dann, wenn es sich um Themen handelt, zu denen die meisten Mitarbeiter kaum Vorkenntnisse haben werden. Damit die Menge des Lernmaterials die Endbenutzer nicht überfordert, muss es angemessen in Segmente unterteilt werden, jedes mit seiner eigenen klaren, einfachen Botschaft, die den Benutzern auf leicht verdauliche Weise präsentiert wird.

Kontinuierliches Lernen

Ein weiterer Vorteil der Aufschlüsselung der Inhalte besteht darin, dass es leicht möglich ist, kontinuierlich zu lernen und nicht nur einmal. Durch die Zerlegung der Inhalte in Teile können diese Abschnitte das ganze Jahr über regelmäßig verschickt werden, was dazu beiträgt, das Sicherheitsbewusstsein der Endbenutzer ständig im Bewusstsein zu halten. Da Wiederholung der Schlüssel zum Lernen ist, ist dies entscheidend, um sicherzustellen, dass sich die Benutzer tatsächlich an das Gelernte erinnern.

Relevantes Material

Es muss sichergestellt werden, dass die Lerninhalte für die Endbenutzer relevant sind, um sicherzustellen, dass sie engagiert bleiben. Wenn einem Endbenutzer Informationen präsentiert werden, die seiner Meinung nach für ihn nicht relevant sind, wird er schnell das Interesse verlieren und weniger Aufmerksamkeit auf sich ziehen. Das Lernmaterial muss nicht nur Fachjargon und technische Ausdrücke vermeiden, sondern auch Situationen aus dem wirklichen Leben berücksichtigen, denen der durchschnittliche Endbenutzer in seinem täglichen Arbeitsleben begegnen würde. So müssen die meisten Mitarbeiter beispielsweise nicht die Besonderheiten von Vorschriften oder Malware-Angriffen kennen, sondern lediglich wissen, wie sie sich so verhalten müssen, dass diese Risiken reduziert werden – und wie sie Risiken, denen sie möglicherweise begegnen, angemessen melden können.

Praktische Ratschläge

Es ist gut und schön, die Mitarbeiter über die Risiken da draußen zu unterrichten und darüber, wie ihnen begegnet werden kann – aber das Wesentliche ist, dass die Mitarbeiter mit konkreten Schritten, die sie sofort bei ihrer täglichen Arbeit anwenden können, von der Schulung weggehen. Wenn man den Mitarbeitern die Möglichkeit gibt, ihre Schulung sofort zu testen, trägt dies auch zur Gedächtnisbildung bei – und kann durch Werkzeuge wie Phishing-Simulationen erreicht werden.

Interaktive Inhalte

Nicht alle Inhalte sind gleich. Textbasierte Inhalte werden für die Benutzer schnell lästig und sollten nur verwendet werden, wenn sie durch visuelle, ansprechendere Inhalte ergänzt werden. Videos eignen sich hervorragend, um die Nutzer zu unterhalten – solange sie qualitativ hochwertig und angenehm anzusehen sind. Humor kann sehr wirkungsvoll eingesetzt werden, um Videos zum Sicherheitsbewusstsein für Endbenutzer attraktiver zu machen. Interaktive Inhalte eignen sich auch hervorragend, um Benutzer zu begeistern. Viele Menschen lernen „by doing“ – indem sie Fragen beantworten oder anderweitig an ihrem Lernen teilnehmen – und interaktive Inhalte können den Benutzern auch ein Erfolgserlebnis vermitteln, um einen Kurs zu absolvieren.

Fragen und Tests

Es ist hilfreich, dass die Benutzer nach den Schulungssitzungen auf das Gelernte getestet werden. Das hilft Ihnen zu wissen, dass die Anwender Schlüsselpunkte gelernt haben und Informationen aus ihrem eigenen Gedächtnis wieder abrufen.

Teil einer Sicherheitskultur

Der wesentlichste Teil der Wirksamkeit eines Schulungsprogramms zum Sicherheitsbewusstsein hat jedoch ebenso viel mit Faktoren außerhalb der Ausbildung zu tun wie die Ausbildung selbst. Damit die Ausbildung wirksam ist, muss sie Teil einer Sicherheitskultur sein, in der der Sicherheit stets die nötige Beachtung geschenkt wird und die Benutzer aktiv ermutigt werden, Bedenken vorzubringen und Fragen zu stellen. Ein gutes Programm zur Förderung des Sicherheitsbewusstseins trägt dazu bei, indem es Sicherheit als etwas darstellt, das kontinuierlich und aktiv ist und nicht als etwas Einmaliges und Passives – aber es ist wesentlich, dass die Organisation diese Bemühungen auch außerhalb der Ausbildung unterstützt.

Welche Inhalte sollten in einer Schulung für ein Sicherheitsbewusstsein enthalten sein?

Es ist wichtig, dass alle Endbenutzer in den Kernthemen der Sicherheit geschult werden. Je nach den beruflichen Pflichten der Endbenutzer können sie auch eine Schulung in zusätzlichen Themen oder eine weiterführende Schulung in den Kernthemen benötigen oder davon profitieren. Ein Mitarbeiter, der mit Zahlungskartendetails arbeitet, benötigt beispielsweise eine PCI DSS-Schulung, während ein Mitarbeiter, der regelmäßig auf Geschäftsreisen geht, von einer zusätzlichen öffentlichen Wi-Fi- und Mobilgeräteschulung profitiert.

Die Kernthemen der Schulung des Sicherheitsbewusstseins sind:

  1. Internet & E-Mail-Nutzung
  2. Herausnehmbare Medien
  3. Passwörter & Authentifizierung
  4. Physische Sicherheit
  5. Sicherheit mobiler Geräte
  6. Arbeiten aus der Ferne
  7. Öffentliches Wi-Fi
  8. Cloud-Sicherheit
  9. Nutzung sozialer Medien
  10. Phishing
  11. Sozialtechnik
  12. Sicherheit zu Hause

Warum ein regelmäßiges Training Teil einer Sicherheitskultur werden muss.

Eine Schulung des Sicherheitsbewusstseins wird nicht wirksam zur Verbesserung der Sicherheitsergebnisse beitragen, wenn sie nicht von einem kulturellen Wandel begleitet wird. Eine umfassende Schulung wird den Endbenutzern beibringen, wie sie Situationen erkennen, in denen die Sicherheit gefährdet ist, und wie sie angemessen damit umgehen können – aber dieses Wissen wird nicht in die Praxis umgesetzt werden, wenn der Benutzer nicht das Gefühl hat, dass Sicherheit in seinem Umfeld geschätzt wird.

Angesichts der wachsenden Zahl an Bedrohungen, sowie der zunehmenden Komplexität von Unternehmensdiensten und zugriffen auf Daten und Systeme von mobilen Geräten aus, ist es unmöglich zu wissen, wo die nächste Bedrohung oder das nächste versehentliche Leck in Ihrem Unternehmen auftauchen könnte. Aus diesem Grund sollte es bei der Sicherheit nicht darum gehen, sicherzustellen, dass Ihre Endbenutzer sichere Passwörter wählen oder andere spezifische Schritte befolgen, sondern vielmehr darum, sie in die Lage zu versetzen, aktive Hüter Ihres Unternehmens, seiner Systeme, Geräte und Daten zu sein.

Schützen Sie Ihr Unternehmen vor der menschlichen Cyber-Bedrohung im Jahr 2020

Im Jahr 2020 sind die Organisationen, die die Cyber-Bedrohung am wirksamsten Bekämpfen werden, diejenigen, die dazu beitragen, dass sich ihre Mitarbeiter kümmern – um das Geschäft, die Kunden und den Schutz von Daten und Systemen.

Die Schulung des Sicherheitsbewusstseins funktioniert, wenn sich die Endbenutzer wirklich engagieren. Dies setzt voraus, dass das Lernmaterial wirklich relevant für den Arbeitsalltag Ihrer Mitarbeiter ist, dass es praktische Ratschläge enthält, die sie sofort mitnehmen können, und dass interaktive Inhalte verwendet werden, damit die Benutzer interessiert bleiben und Informationen in einem angenehmen Format vermitteln können.

Die Schulung des Sicherheitsbewusstseins ist keine Wunderwaffe. Es funktioniert am besten in Verbindung mit Lösungen, die die Möglichkeiten für menschliches Versagen von vornherein reduzieren. Diese Maßnahmen sollten Teil einer Sicherheitskultur sein, in der Sicherheitsüberlegungen stets gebührend berücksichtigt werden. Geschäftsentscheidungen sollten nicht nur getroffen werden, damit die Auswirkungen auf die Sicherheit im Nachhinein berücksichtigt werden, sondern die Sicherheit sollte von vornherein Teil der Entscheidungsfindung sein.