:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/23/9d238490894591cb945d1780b486d622/0113765261.jpeg "Schnelle oder aber komplexe Cloud Migrationen sorgen für mehr Konfigurationsfehler und damit für potenziell mehr Sicherheitslücken. (Bild: dmshpak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
“Old School” versus “New School” Der Status Quo bei Security Awareness Trainings
Gesponsert von
Security Awareness Trainings helfen stets dabei, das Unternehmen zu schützen und die Belegschaft sicherheitsaffiner zu machen. Bei der Ausgestaltung gibt es aber unterschiedliche Ansätze – manche effektiver als andere.
Zur Stärkung der Cybersicherheit ist es für Organisationen unabdingbar, die eigenen Mitarbeiter im sicheren Umgang mit IT, Netzwerken, E-Mails und co. zu schulen. In vielen Unternehmen führen Security Awareness Trainer allerdings vor allem klassische „Old School Awareness Trainings“ durch, also Frontalunterricht über mehrere Stunden bei denen zahllose Mitarbeiter in einen Raum versammelt werden. In dem „Unterricht“ werden die „Schüler“ dann aufgeklärt und die Aufgabe des Trainers ist es in der kurzen Zeit so viel Wissen wie möglich in die Köpfe der Mitarbeiter zu bekommen. Als Motivationshilfe werden Getränke und Snacks gestellt.
Hier muss es einen besseren Weg geben, und tatsächlich gibt es sogar eine ganze Reihe davon. Bei Security Awareness sind es mehrere Straßen, die nach Rom führen. Mitarbeiter sollten selbst entscheiden können, welche Option für ihr Lernverhalten am besten geeignet ist – Selbstverantwortung ist einer der besten Motivatoren. Mitarbeitende sollten daher Mitspracherecht darüber haben, wann, wo und wie sie eine Weiterbildungsmaßnahme wahrnehmen wollen und aufgrund des beruflichen Alltags auch können.
Webbasiertes Training
Diese Flexibilität und Dynamik können webbasierte Plattformen bieten. Sie stellen beispielsweise unterschiedlichste Inhalte in verschiedenen Sprachen zur Verfügung. Die digitale Schulung erlaubt außerdem die Nutzung von Videos und Spielen bestehend aus einem Quiz oder aus textbasierten Bausteinen. Mitarbeitende müssen nun nicht mehr zu einem bestimmten Zeitpunkt an einem bestimmten Ort sein, sondern können selbst entscheiden, wann und wo die Schulung durchzuführen ist. Die Security Awareness Trainer erhalten andererseits die Freiheit aus mehreren Inhalten wählen zu können. Sie können diese dann individuell zur Verfügung stellen und je nach Trainingserfolg weitere Maßnahmen mit den einzelnen Mitarbeitenden per E-Mail abstimmen.
Kleine Erfolge, also kürzere Inhalte mit sofortigem Feedback, motivieren die Teilnehmer dazu weitere Maßnahmen durchzuführen und sich stetig zu verbessern. Laut dem Buch „The Progress Principle: Using Small Wins to Ignite Joy, Engagement, and Creativity at Work“ (zu Deutsch: „Das Fortschrittsprinzip: Mit kleinen Erfolgen Freude, Engagement und Kreativität bei der Arbeit wecken“) ist die Lebenszufriedenheit um 22 Prozent höher bei denjenigen, die regelmäßig kleine Erfolge erzielen. Dadurch fühlen sich Mitarbeitende gestärkt und nicht zu etwas gezwungen.
Faulheit, Gewohnheit und der „Fun-Faktor“
Ein weiterer Teil des „New School Awareness Trainings“ konzentriert sich darauf, die Aufmerksamkeit der Teilnehmer während des Trainings zu fesseln und zu halten. Die Grundlagen hierfür gehen auf die Lehren des amerikanischen Sozialwissenschaftlers B.J. Fogg zurück. Er hält fest, dass es drei Wahrheiten über die menschliche Natur gibt: Wir sind faul, sozial und Gewohnheitstiere. Das „New School Security Training“ trägt diesen Wahrheiten Rechnung. Das bedeutet, dass Security Awareness Trainer den Teilnehmern statt langweiliger Power Point Präsentationen etwas bieten sollten, das Spaß macht, für ihre Arbeit relevant ist und berücksichtigt, dass Menschen sich sehr schnell langweilen.
Der Spaßfaktor entsteht durch kurze, kontinuierliche Schulungen. Anstelle einer mehrstündigen Sitzung ein paar Mal im Jahr, sollten regelmäßig Inhalte konsumiert und vor allem auch reflektiert werden. Eine Schulungsmaßnahme mit großem Einfluss kann jeden Monat in 5-Minuten-Abschnitten stattfinden. Einer der Vorteile ist, dass Mitarbeitende die Trainings bei Leerlauf im beruflichen Alltag zwischenschieben können und sofort eine positive Rückmeldung erhalten oder durch Wiederholungen herausgefordert werden. Darüber hinaus sind die Inhalte auf sie abgestimmt und können aufgrund aktueller Ereignisse sogar tagesrelevant sein, z.B. bei saisonalen oder akuten Phishing-Anlässen.
Personalisierung und lebenslanges Lernen
Anstatt, dass jeder Mitarbeiter an einer allgemeinen Schulungssitzung teilnehmen muss, können diese personalisiert werden. Schulungsinhalte können so angeboten werden, dass sie für die Rolle des Mitarbeitenden und ihre jeweilige Tätigkeit im Unternehmen relevant sind. Die erforderliche Schulung wird auf die täglichen Aufgaben und den Erfahrungshorizont in Sachen Security Awareness des Mitarbeiters zugeschnitten. Anstelle einer Einheitsmethode, die von den meisten als langweilig empfunden wird, werden Schulungen ermöglicht, die die Mitarbeiter sofort anwenden können.
Menschen neigen außerdem dazu, ihre Energie zu sparen. Es spielt keine Rolle, ob Mitarbeitende ihr Sicherheitstraining im Bus auf dem Nachhauseweg verfolgen, oder abends auf der Couch. Mitarbeitenden die Verantwortung für ihren eigenen Trainingsplan zu übertragen, kann diese motivieren und gibt ihnen ein Gefühl der Anerkennung und des Respekts. Welche Themen und Inhalte Security Awareness Trainer ihren Teilnehmern geben, entscheiden die Trainer und natürlich bauen die Verantwortlichen ihre eigenen „Lehrpläne“ auf und überlegen sich, in welcher Reihenfolge die Schulungen stattfinden sollen. Außerdem behält der Trainer die Kontrolle über den Lernfortschritt und kann zur Not Inhalte auch wiederholen oder vertiefen lassen. Am Ende muss jedes Security Awareness Programm mit den Zielen und Werten des Unternehmens im Einklang stehen.
Fazit
Indem Security Awareness Trainer ihr Programm aus der Perspektive der Zielgruppe und ihrer Benutzer gestalten, richten sie die Schulungen auf das Endergebnis aus. Sie können das Verhalten der Mitarbeitenden so gestalten, dass die Informationssicherheit an erster Stelle steht, und sie in die Lage versetzen, die richtigen Sicherheitsentscheidungen zu treffen, wenn es am wichtigsten ist. Das ist ein grundlegender Wandel gegenüber der herkömmlichen Vorgehensweise, bei der meist ausschließlich die Bedürfnisse der Unternehmen ausschlaggebend für die Gestaltung der Security Awareness Schulungen sind.
Es hilft ungemein sich ins Bewusstsein zu rufen, dass hier Menschen andere Menschen schulen und dass alle Erwachsenen gewisse Vorerfahrungen aus der Schule mitbringen. Die wenigsten mögen den klassischen Frontalunterricht mit Hausaufgaben und anschließenden Tests – nicht neben den Anforderungen der täglichen Arbeit. Wenn aber das Gefühl entsteht, dass hier mit klugen und abwechslungsreichen Inhalten - zu Tageszeiten, zu denen die Arbeitslast nicht die Konzentration beeinträchtigt - motiviert und Wissen kreativ vermittelt wird, entsteht ein neues Selbstbewusstsein, dass zu den Werten eines modernen Unternehmens besser passt als klassisches Tafelabschreiben.
(ID:48490306)
:quality(80)/p7i.vogel.de/wcms/a3/14/a31460b6052f2751b443116933d067a1/0113369864.jpeg "Das Hauptziel von Phishing-Angriffen ist immer der Mensch, der dazu verleitet werden soll, schädliche Aktionen auszuführen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/23/5d/235d6f8b7d05e2a3a5f5308e2696db99/0113879101.jpeg "Sind Cybersecurity-Schulungen zu langweilig, tendieren Mitarbeitende dazu, abzuschalten oder sich schlimmstenfalls nebenbei anderen Aufgaben wie dem Beantworten von E-Mails zu widmen. Das Erfolgsrezept heißt hier: Humor! (Bild: Arcurs Co-op/peopleimages.com - stock.adobe.com)")