{"id":1351,"date":"2024-12-27T04:00:00","date_gmt":"2024-12-27T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1351"},"modified":"2024-12-27T04:00:00","modified_gmt":"2024-12-27T04:00:00","slug":"security-awareness-trainings-ein-ratgeber","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1351","title":{"rendered":"Security-Awareness-Trainings \u2013 ein Ratgeber"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Wenn Ihre erste Verteidigungslinie f\u00e4llt, haben Cyberschurken leichtes Spiel.\n

Leremy | shutterstock.com<\/p>\n<\/div>\n

Security-Awareness-Schulungen<\/a> sind f\u00fcr Unternehmen und Organisationen obligatorisch und sollten Teil jeder \u00fcbergreifenden Cybersecurity-Strategie sein. Zumindest, wenn s\u00e4mtliche Mitarbeiter m\u00f6glichst gut \u00fcber alle relevanten Sicherheitsrisiken aufgekl\u00e4rt sein und bestm\u00f6glich zum Schutz unternehmenskritischer Assets beitragen sollen<\/a>.<\/p>\n

Insofern zielen Security-Awareness-Trainings in erster Linie darauf ab, Cyberrisiken in Zusammenhang mit menschlichem Handeln<\/a> zu reduzieren. Das Ziel besteht darin, den Mitarbeitern Wissen \u00fcber Bedrohungen zu vermitteln, um diese zu verstehen, zu erkennen und zu vermeiden. Parallel gilt es jedoch sicherzustellen, dass die Angestellten ihren Aufgaben auch so effektiv wie m\u00f6glich nachkommen k\u00f6nnen.<\/p>\n

In diesem Ratgeber lesen Sie:<\/p>\n

warum Security-Awareness-Trainings unverzichtbar sind,<\/p>\n

welche Themengebiete dabei unbedingt behandelt werden sollten,<\/p>\n

wie diese idealerweise vermittelt werden sollten,<\/p>\n

welche Kosten durch Security-Awareness-Schulungen auflaufen, sowie<\/p>\n

welche kostenlosen Ressourcen Sie zu diesem Zweck anzapfen k\u00f6nnen.<\/p>\n

Warum Security Awareness obligatorisch ist<\/h2>\n

In der Regel nehmen Mitarbeiter in Unternehmen (die nicht Teil des Security Teams sind), Cybersicherheit nicht als ihre Aufgabe wahr. Eine Schulung des Sicherheitsbewusstseins schafft Klarheit dar\u00fcber, warum diese Angestellten dennoch eine tragende Rolle dabei spielen<\/a>, ihre Organisation vor Cyberattacken zu sch\u00fctzen.<\/p>\n

Das liegt im Wesentlichen daran, dass:<\/p>\n

Menschen weiterhin das schw\u00e4chste Glied in der Cybersicherheits-\u201eKette\u201c darstellen: <\/strong>Das SANS Institute schlussfolgerte schon in seinem Security Awareness Report aus dem Jahr 2022, dass Menschen weltweit zum Hauptangriffsvektor f\u00fcr Cyberkriminelle geworden sind \u2013 Stichwort Social Engineering<\/a>. Das hat sich nicht ge\u00e4ndert, wie ein Blick in den aktuellen \u201eData Breach Investigations Report\u201c<\/a> von Verizon belegt.<\/p>\n

Sicherheitsbewusstsein ist h\u00e4ufig bereits durch gesetzliche und brancheninterne Vorgaben verpflichtend: <\/strong>Diverse Sicherheits-Frameworks, die in Branchen eingesetzt werden, in denen Datenschutz und Security einen besonders hohen Stellenwert einnehmen, schreiben regelm\u00e4\u00dfige Security-Awareness-Trainings vor. Sicherheitsbewusstsein ist jedoch l\u00e4ngst kein branchenspezifisches Obligatorium mehr: F\u00fcr viele europ\u00e4ische Unternehmen werden entsprechende Programme beispielsweise mit der geplanten NIS2-Richtlinie<\/a> verpflichtend.<\/p>\n

Essenzielle Themen f\u00fcr Security-Awareness-Trainings<\/h2>\n

Security-Awareness-Trainings sollten Themen fokussieren, mit denen Mitarbeiter in nicht-technischen Bereichen vertraut sein sollten. Folgende Bereiche sind dabei unerl\u00e4sslich.<\/p>\n

Social Engineering: <\/strong>Cyberkriminelle nutzen bevorzugt betr\u00fcgerische Social-Engineering-Taktiken, um Zugang zu Systemen, Daten und Finanzquellen von Unternehmen zu erlangen. Das beinhaltet unter anderem traditionelle Phishing-Angriffe per E-Mail sowie auch per Telefon<\/a> oder Textnachricht<\/a>. Mitarbeiter sollten deshalb wissen, wie diese Angriffsformen funktionieren und woran sie zu erkennen sind. Neben der reinen Aufkl\u00e4rung setzen viele Unternehmen in diesem Bereich auch auf Phishing-Simulationen<\/a>. F\u00fcr privilegierte Mitarbeiter und F\u00fchrungskr\u00e4fte k\u00f6nnen Intensivschulungen zu Spear-Phishing-Angriffen Sinn machen.<\/p>\n

Passw\u00f6rter: <\/strong>Das Thema Passwort\u2013<\/strong>Hygiene<\/a> ist langweilig und ein bisschen angestaubt \u2013 stellt aber dennoch weiterhin einen Dreh- und Angelpunkt der Unternehmenssicherheit dar. Einen Passwort-Manager einzuf\u00fchren oder auf modernere Alternativen<\/a> zu setzen, bietet sich bei dieser Gelegenheit an, weil es sich ideal in Schulungsinitiativen integrieren l\u00e4sst.<\/p>\n

Device-Nutzung und Remote Work: <\/strong>Ihren Mitarbeitern eine strikte Trennung von Arbeits- und Privatleben aufzuerlegen, ist f\u00fcr viele Unternehmen ein aussichtsloses Unterfangen. Enterprise-Ger\u00e4te werden so regelm\u00e4\u00dfig auch privat genutzt \u2013 und durch Remote Work<\/a> sind die Grenzen noch weiter verschwommen. Die Risiken, die dadurch entstehen, sollten allen Mitarbeitern bewusst sein.<\/p>\n

Incident Reporting:<\/strong> Potenzielle Cybergefahren sollten nicht nur zuverl\u00e4ssig erkannt, sondern auch gemeldet werden. Nur so kann das IT-Sicherheits-Team t\u00e4tig werden und verhindern, dass weniger aufmerksame Kollegen dem Kompromittierungsversuch auf den Leim gehen.<\/p>\n

Security Awareness richtig vermitteln<\/h2>\n

Damit haben wir das \u201eWarum\u201c und das \u201eWas\u201c in Zusammenhang mit Security-Awareness-Trainings abgehakt \u2013 bleibt noch das \u201eWie\u201c. Das entscheidet dar\u00fcber, wie effektiv Ihre Schulung zum Thema Sicherheitsbewusstsein wirkt<\/a>. Folgende Bausteine sind dabei erfolgskritisch:<\/p>\n

Ansprechend vermittelte Inhalte. <\/strong>Um Ihren Mitarbeitern nicht von vorneherein die Lust am Lernen zu verderben, sollten Sie das zu vermittelnde Wissen in m\u00f6glichst ansprechende Formate \u201epressen\u201c. Das k\u00f6nnen etwa Blogbeitr\u00e4ge, Videos, interaktive Elemente oder auch Konzepte wie Lunch-and-Learn-Sessions sein. Je mehr Spa\u00df das Ganze macht<\/a>, desto wahrscheinlicher ist es auch, dass der behandelte Inhalt in den K\u00f6pfen h\u00e4ngenbleibt. Wichtig ist dabei auch, die Informationen auf die verschiedenen Mitarbeitergruppen und ihre jeweiligen Vorkenntnisse abzustimmen.<\/p>\n

Interner Support. <\/strong>Zur Wahrheit geh\u00f6rt aber auch: Sie k\u00f6nnen Inhalte so gut pr\u00e4sentieren wie Sie wollen \u2013 wenn grundlegender Support f\u00fcr ein Security-Awareness-Programm innerhalb der Organisation nicht existent ist, wird sich kein Erfolg einstellen. Wesentlich ist deshalb, die Gesch\u00e4ftsleitung<\/a> und das mittlere Management einzubeziehen und zu konsultieren. Auch eine enge Kooperation mit der Personalabteilung ist in diesem Zusammenhang erfolgskritisch.<\/p>\n

Eine Anreizstruktur. <\/strong>Geschenkgutscheine, Weiterbildungs-\u201eCredits\u201c und sonstige Anerkennungen sind gute Methoden, um den Lernenden ein Erfolgsgef\u00fchl zu vermitteln<\/a>, wenn sie bei einem Security-Awareness-Training gut abschneiden.<\/p>\n

Quantifizierte Ergebnisse. <\/strong>Schulungen, die Sicherheitsbewusstsein vermitteln sind keine einmalige Angelegenheit. Im Gegenteil gilt es dabei genau im Auge zu behalten, in welchen Bereichen noch M\u00e4ngel bestehen<\/a> und wo eventuell intensivere Schulungsma\u00dfnahmen n\u00f6tig sind.<\/p>\n

Was Sicherheitsbewusstsein kostet<\/h2>\n

Viele Organisationen entscheiden sich f\u00fcr die Services von externen Sicherheitsanbietern, wenn es um Security-Awareness-Trainings geht. Es gibt eine Reihe von Kriterien<\/a>, um die Angebote dieser Anbieter zu bewerten \u2013 die Kosten d\u00fcrften dabei ein besonders relevanter Faktor sein.<\/p>\n

Die Sicherheitsexperten von Caniphish haben die einzelnen Angebotspreise \u00fcber das gesamte Anbieterspektrum zusammengerechnet und einen groben Mittelwert ermittelt, der Auskunft dar\u00fcber gibt, in welchem Preisrahmen<\/a> sich Security-Awareness-Schulungen aktuell bewegen.<\/p>\n

Demnach liegt dieser zwischen 0,45 und 4 Dollar pro Mitarbeiter und Monat<\/strong> \u2013 je nach gew\u00e4hltem Serviceumfang. Die Bandbreite reicht diesbez\u00fcglich von der Self-Service-Plattform mit Lernmodulen bis hin zu Full-Service-Consultants, die Live-Schulungen mit Ihrer Belegschaft abhalten.<\/p>\n

Kostenlose Security-Awareness-Quellen<\/h2>\n

Unternehmen und Organisationen, die interne Security-Awareness-Schulungen durchf\u00fchren m\u00f6chten, stehen dazu auch einige kostenlose, respektive quelloffene Ressourcen und Tools zur Verf\u00fcgung.<\/p>\n

Zum Beispiel:<\/p>\n

h\u00e4lt das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) auf seiner Webpr\u00e4senz Informationen zum Thema f\u00fcr Unternehmen bereit<\/a>.<\/p>\n

bietet die US-Cybersicherheitsbeh\u00f6rde NIST verschiedene kostenlose und kosteng\u00fcnstige Online-Kurse zum Thema an<\/a>.<\/p>\n

offeriert das SANS-Institut eine ganze Reihe kostenloser Ressourcen an<\/a>, darunter auch Schulungen.<\/p>\n

erm\u00f6glicht das Open-Source-Framework Gophish<\/a>, Ihre Belegschaft mit simulierten Phishing-Angriffen zu testen.<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Wenn Ihre erste Verteidigungslinie f\u00e4llt, haben Cyberschurken leichtes Spiel. Leremy | shutterstock.com Security-Awareness-Schulungen sind f\u00fcr Unternehmen und Organisationen obligatorisch und sollten Teil jeder \u00fcbergreifenden Cybersecurity-Strategie sein. Zumindest, wenn s\u00e4mtliche Mitarbeiter m\u00f6glichst gut \u00fcber alle relevanten Sicherheitsrisiken aufgekl\u00e4rt sein und bestm\u00f6glich zum Schutz unternehmenskritischer Assets beitragen sollen. Insofern zielen Security-Awareness-Trainings in erster Linie darauf ab, Cyberrisiken […]<\/p>\n","protected":false},"author":0,"featured_media":1352,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1351","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1351"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1351"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1351\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1352"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1351"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1351"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1351"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}