Stellen Sie sich die Frage, wie gut Ihr Unternehmen vor Cyberbedrohungen geschützt oder wie gut Ihre Mitarbeitenden vorbereitet sind? Statistisch gesehen waren 9 von 10 Unternehmen in den letzten Jahren schon mindestens ein Mal von Cyberkriminalität betroffen. Und neben den auftretenden Sicherheitslücken und Imageschäden entstanden allein in Deutschland finanzielle Schäden im dreistelligen Millionenbereich.

Das Thema IT-Sicherheit hat bei vielen Unternehmen oberste Priorität. Eine effektive Sicherheitsstrategie setzt einen ganzheitlichen Blick voraus und dazu zählt, neben Netzwerk- oder Cloudsicherheit, ein entscheidender Faktor: der Security-Faktor Mensch.

Zunehmend landet eine unglaubliche Menge an Phishing-Mails in unseren Postfächern. Schätzungen von Sicherheitsfirmen besagen, dass weit über die Hälfte aller täglich versandten E-Mails Spam oder Phishing-Mails sind. Sie zielen auf Menschen ab, nicht auf die Technologie um diese herum. 

Das Wort Phishing besteht aus „phreaking“ (hacken) und „fishing“ (angeln). Der Grundgedanke dahinter: Je mehr Menschen den Link in einer Phishing-Mail anklicken, desto höher ist die Wahrscheinlichkeit, dass Daten auf der nachfolgenden Seite abgegriffen werden, indem beispielsweise Formulare/Felder mit persönlichen Daten ausgefüllt werden. Da Angreifer mit immer ausgeklügelten Varianten über verteilte Endpunkte attackieren und auf Menschen und ihre Schwachstellen abzielen, ist ein neuer Ansatz notwendig: der Mensch als Firewall. Er selbst soll Sicherheitsbedrohungen entgegenwirken und wie ein Schutzschild fungieren. Doch wie kann solch ein Schutz gewährleistet werden? Durch Aus- und Weiterbildung.

Unternehmen sollten ihr Mitarbeiter umfassend schulen, zum Beispiel in Form von Simulationen, und so das Sicherheitsbewusstsein erhöhen. Klassisches Awareness Training beschränkte sich bis dato oft auf die Steigerung des Sicherheitsbewusstseins. Nachhaltigkeit in veränderten Verhaltensweisen konnte damit jedoch nicht erzielt werden. 

In der Vergangenheit verstanden Unternehmen Security Awareness zumeist als Teil der Compliance und als Pflicht. Die Gefahr eines Ausfalls wichtiger IT-Services und die Androhung von Strafen, gemäß der DSGVO, machten die Leitungsebene auf das Thema Cybersicherheit aufmerksam. Budgets wurden erhöht, Trainer intern oder extern gesucht, Inhalte wurden immer professioneller. Phishing-Tests wurden bis dahin in der Regel von IT-Fachleuten erstellt, was allerdings auch für Überforderung sorgte.

In den letzten fünf Jahren sind die Trainings deutlich modernisiert und effektiver geworden. Inhalte sind nicht länger rein technisch, sondern für die Allgemeinheit der Mitarbeitenden ansprechend gestaltet. Frontalunterricht wurde durch interaktive Seminare in kleineren Gruppen abgelöst. Ausschlaggebend dafür sind neue Erkenntnisse und Ansätze aus der Verhaltensforschung, sowie die bessere Erkennung von Phishing-Trends durch automatisierte Analysen. Verändert hat sich auch die Bedeutung von Security Awareness. Sie wird mehr und mehr als ein Dreiklang betrachtet, bestehend aus „Awareness“ (Bewusstsein), „Behavior“ (Verhalten) und „Culture“ (Kultur).

Ziel ist am Ende, dass Mitarbeitende intelligentere Security-Entscheidungen treffen. Durch Wissen aus Schulungen und Erfahrungen mit Phishing Simulationen sind die Geschulten in der Lage eine Phishing-E-Mail zu erkennen. Eine effiziente Steigerung des Sicherheitsbewusstseins bedient sich dabei verschiedener Formate und Medien: auditiv, visuell, und spielerisch. Comics, Poster, ein Quiz oder aber ein Erklärvideo helfen bei der Wissensvermittlung. Wichtig ist die Qualität der Trainings. Mitarbeitende können an Präsenztraining oder aus dem Home-Office teilnehmen. Für Rückfragen stehen die Trainer per Chat und Telefon zur Verfügung. Am Ende entscheidet das Ergebnis, dass sich über simulierte Phishing-Tests in Kombination mit der Auswertung der absolvierten Schulungen am besten messen lässt.

Sind sich Mitarbeitende den Sicherheitsanforderungen bewusst, dann werden Sie ihr Verhalten auch entsprechend anpassen. Es geht darum, dass die Geschulten das Erlernte in intelligente Entscheidungen umsetzen. Ziel ist es, Mitarbeitenden eine intrinsische Motivation zu vermitteln, sodass sie selbständig Fortbildung anstreben und ihr Verhalten dementsprechend ausrichten. Messen lässt sich Security Awareness mit simuliertem Phishing, Umfragen, einem Quiz oder anderem Content.

Die Security-Culture umfasst laut Definition die Ideen, Gepflogenheiten und soziale Verhaltensweisen einer Gruppe, welche ihre Sicherheit beeinflussen. Sicherheit sollte somit in der Verantwortung aller liegen. Mitarbeitende beschäftigen sich mit Sicherheitsproblemen, übernehmen die Verantwortung dafür und halten Schutzmaßnahmen ein. Dadurch sinkt das Risiko von Sicherheitsvorfällen, besorgniserregende Verhaltensweisen/Aktivitäten fallen schneller auf und die Sicherheit wird so ohne zu großen Aufwand langsam erhöht.

Awareness, Behavior und Culture skizzieren Komponenten eines ganzheitlichen Ansatzes. Eine nachhaltige Kultur sorgt für eine unternehmensweite Änderung der Einstellung gegenüber dem Thema IT-Sicherheit, sodass Security Awareness zum Erfolg des Unternehmens beitragen kann.

Vorsorge ist besser als Nachsorge – aktivieren Sie Ihre menschliche Firewall und trainieren Sie Ihre Mitarbeitenden nachhaltig, effektiv und spielerisch zu den Themen Cyber-Sicherheit & Datenschutz. Sie erkennen Sicherheitsbedrohungen nach einer Security-Awareness-Schulung deutlich besser als diejenigen, die keine Schulung erhalten haben!