{"id":2071,"date":"2025-02-25T04:00:00","date_gmt":"2025-02-25T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2071"},"modified":"2025-02-25T04:00:00","modified_gmt":"2025-02-25T04:00:00","slug":"security-awareness-trainings-schulungen-richtig-managen","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2071","title":{"rendered":"Security Awareness Trainings: Schulungen richtig managen"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

Lesen Sie, welche Aspekte besonders entscheidend sind, damit Ihr Security Awareness Training erfolgreich ist.<\/p>\n

Foto: nialowwa \u2013 shutterstock.com<\/p>\n<\/div>\n

Studien wie die von Verizon<\/a> oder IBM<\/a> zeigen immer wieder auf, dass die Manipulation von zwischenmenschlichen Verhaltensweisen die vielversprechendste Vorgehensweise ist, um Zugang zu sensiblen Daten zu erlangen. Social Engineering<\/a> bleibt die gr\u00f6\u00dfte, fortbestehende Herausforderung der Cybersicherheit. <\/p>\n

Eine M\u00f6glichkeit, die Anf\u00e4lligkeit des eigenen Unternehmens zu verringern, ist die Einf\u00fchrung von regelm\u00e4\u00dfigen Security Awareness Trainings (SAT) als Teil der Sicherheitskultur. Dabei ist die Unterst\u00fctzung des Managements zur reibungslosen Umsetzung der Ma\u00dfnahme ausschlaggebend. Beispielsweise kann die Leitung h\u00f6chstpers\u00f6nlich die Ziele festlegen und ein zugeh\u00f6riges Narrativ zur Motivation der SAT-Ma\u00dfnahme beitragen.<\/p>\n

Cyberrisiken verstehen<\/h3>\n

Falls Sie die Management-Ebene noch von der Notwendigkeit des SAT \u00fcberzeugen m\u00fcssen, l\u00e4sst sich der folgende Leitfaden als Anleitung verwenden. Die wichtigste Frage, die sich eigentlich alle Gesch\u00e4ftsf\u00fchrer stellen, ist, warum ausgerechnet ihr Unternehmen von einer Cyberattacke betroffen sein sollte. Die Antwort darauf ist relativ einfach: Insbesondere die Gesch\u00e4ftsleitung selbst ist f\u00fcr die Angreifer am interessantesten, offerieren deren Mitglieder doch den Zugriff auf die Aktiva der Firma, privilegierten Zugang zum Netzwerk und auf alle f\u00fcr sie interessanten Daten. Der Bereich ist zudem in der Regel nicht mit IT-Spezialisten besetzt. Je nach Gr\u00f6\u00dfe des Unternehmens ist er auch nicht in der Lage, alle Prozesse im Betrieb zu \u00fcberschauen. <\/p>\n

Lesetipp<\/strong>: Wie CISOs f\u00fcr mehr Cybersicherheit im C-Level-Bereich sorgen<\/a><\/p>\n

Tritt dieses Bewusstsein f\u00fcr die Cyberrisiken ein, dass die Manager selbst gef\u00e4hrdet sind, so ist der erste Schritt vollzogen. Sie m\u00fcssen aus ihrer Komfortzone heraus und selbst zu Security Awareness Champions werden und sicheres Verhalten vorleben. Dies gelingt, wenn sie selbst die Trainings absolvieren und das Gelernte im t\u00e4glichen Handeln anwenden. In der Folge sollte das Management dann auch \u00fcber das Erlernte sprechen und laufend neue Kenntnisse in der Praxis umsetzen. Die Gesch\u00e4ftsleitung ist der st\u00e4rkste und wichtigste Support f\u00fcr den Security Awareness-Beauftragten, der in enger Abstimmung zusammen mit der IT-Abteilung daran arbeitet, ein Security-Awareness-Programm auf- und auszubauen. Sie erstellen klare Cybersicherheits-Richtlinien und kommunizieren diese an alle Mitarbeiter.<\/p>\n

Lesetipp:<\/strong> So werden Chefs zu Security-Vorbildern<\/a><\/p>\n

Die wichtigsten Eckpfeiler eines Security Awareness-Programms<\/h3>\n

Die Aufgabe der Security Awareness ist die nachhaltige Steigerung der Cybersicherheit und Resilienz einer Organisation durch die Erm\u00e4chtigung aller beteiligten Personen. Die Bef\u00e4higung aller Personen zur aktiven Teilhabe an der Cybersicherheit einer Organisation ist der Weg. Das Ziel ist es, Cybersicherheitsrisiken, die aus menschlichem Verhalten resultieren, zu minimieren. Auf dem Weg dorthin gilt es, die Cybersicherheit als wesentlichen Bestandteil der Unternehmenskultur zu etablieren. Am Ende des Prozesses entsteht eine Sicherheitskultur.<\/p>\n

Lesetipp:<\/strong> So begeistern Sie f\u00fcr IT-Sicherheit<\/a><\/p>\n

Wichtige Ziele bei der Implementierung des Programms sind Sensibilisierung, Engagement und Bef\u00e4higung. Nur wer sich einer Gefahr bewusst ist, der versteht, warum und wie die Gefahr abgewandt werden muss. Wer dazu in der Lage ist, sich entsprechend zu verhalten, kann einen Beitrag zur Bedrohungsabwehr leisten. Dazu sind eine regelm\u00e4\u00dfige Durchf\u00fchrung von Trainings sowie eine Abwechslung von der Art und den Inhalten der Trainings notwendig. <\/p>\n

Trainingsinhalte wie Poster, Videos, Comics, aber auch Quiz- und weitere Gamification-Ans\u00e4tze k\u00f6nnen funktionieren. Wichtig dabei ist: Die Inhalte m\u00fcssen abwechslungsreich und m\u00f6glichst allgemein verst\u00e4ndlich sein. Sie m\u00fcssen die Mitarbeiter da abholen, wo sie bei der t\u00e4glichen Arbeit in Ber\u00fchrung mit den Cybergefahren kommen. Ein Poster mit Sicherheitshinweisen, auf der Toilette gut sichtbar angebracht, kann hilfreich sein. Sogar interaktive Table Top- oder aber Kartenspiele sorgen f\u00fcr Abwechslung und unterhaltsames Lernen. <\/p>\n

Ein kleiner Comic neben dem Bildschirm, der t\u00e4glich daran erinnert, welches die ersten und wichtigsten Warnhinweise f\u00fcr Phishing per E-Mail sind, erf\u00fcllt ebenso einen Zweck. Doch nicht bei jedem Mitarbeiter funktioniert der gleiche Inhalt, deshalb ist Abwechslung wichtig. Kulturelle und Generations-Unterschiede sollten beachtet und respektiert werden.<\/p>\n

Gew\u00fcnschte Verhaltensweisen werden idealerweise zu Gewohnheiten. Dazu ist eine regelm\u00e4\u00dfige Aus\u00fcbung des Verhaltens notwendig, sodass mit der richtigen Motivation und dem langfristigen Engagement neue Routinen entstehen k\u00f6nnen. Simulationen k\u00f6nnen dabei als Trainingsplattformen dienen. Im SAT geschieht das oftmals durch Phishing-Simulationen<\/a>. Hierbei werden echt aussehende Phishing-E-Mails versendet, die aber keinen Schaden anrichten, wenn die dort eingebauten Links oder in Anh\u00e4ngen hinterlegten Makros angeklickt werden. <\/p>\n

Anhand von sogenannten roten Flaggen k\u00f6nnen die Trainer aufzeigen, worauf bei solchen E-Mails geachtet werden sollte. Eine Datenbank mit einfach anpassbaren Vorlagen f\u00fcr E-Mails hilft bei der Durchf\u00fchrung verschiedenster Kampagnen, um Mitarbeiter Schritt f\u00fcr Schritt zu sensibilisieren. Wenn dann noch die M\u00f6glichkeit besteht, w\u00e4hrend der Arbeit mit automatisierten Hilfestellungen auf risikobehaftetes Verhalten in nahezu Echtzeit hinzuweisen, stellen sich messbare Effekte ein, die zu einer dauerhaften Ver\u00e4nderung des Verhaltens f\u00fchren.<\/p>\n

Damit die Phishing-Simulation nicht als unwillkommener Test erscheint, der im Unternehmen keinen guten Anklang finden wird, ist die richtige Kommunikation der Ma\u00dfnahme essenziell. Niemand wird gerne hereingelegt. Jeder versteht aber, dass der Datenschutz ein Teil der beruflichen Pflichten ist, und dass eine stetige Vorbereitung der Abwehr von Angriffen durch regelm\u00e4\u00dfige Erprobung der Abl\u00e4ufe besser ist als die Nachsicht und Erkl\u00e4rungsnot nach einem Cybersicherheitsvorfall.<\/p>\n

Niemand braucht paranoide Mitarbeiter, die nichts und niemandem trauen, dies ist eindeutig der falsche Weg. \u00c4hnliches gilt f\u00fcr Bestrafungen wie Abmahnungen oder \u00c4hnlichem. Mitarbeiter sollten motiviert und aufgekl\u00e4rt, aber nicht abgeschreckt werden. Aus diesem Grund sind st\u00e4ndiger Dialog und Austausch von Informationen \u00fcber das Gelehrte und Gelernte wichtig. Generell sollten Mitarbeiter nicht gef\u00fchrt, sondern gef\u00f6rdert werden. <\/p>\n

Wird dieser Leitspruch beherzigt, kann eine Sicherheitskultur entstehen, bei der Mitarbeitenden sich der Sache verschreiben und dem Thema souver\u00e4n und ohne Angst begegnen, ohne viele technische Details kennen zu m\u00fcssen. Eine gesunde Sicherheitskultur erm\u00f6glicht es den Mitarbeitern, Bedrohungen zu erkennen, zu verstehen, warum sie eine Bedrohung darstellen und sicher zu handeln.<\/p>\n

Zu den wichtigsten Elemente eines erfolgreichen Security Awareness Trainings z\u00e4hlen:<\/p>\n

Inhalt: <\/strong>Als Menschen bevorzugen wir alle unterschiedlichen Arten von Inhalten. Die verschiedenen Inhaltstypen sollten allerdings auch immer an die verschiedenen Rollen im Unternehmen angepasst werden.<\/p>\n

Unterst\u00fctzung und Planung: <\/strong>Materialien, die CISOs und Security-Awareness-Trainern dabei helfen, den Wert des Programms gegen\u00fcber der Gesch\u00e4ftsf\u00fchrung zu beweisen und auch den Auditoren und Regulierungsbeh\u00f6rden zu zeigen, dass das Programm an den richtigen Stellen ansetzt.<\/p>\n

Kampagnen: <\/strong>Ein erfolgreiches Programm sollte nicht einmalig stattfinden, sondern als Kampagne betrachtet werden. Eine einmal im Jahr durchgef\u00fchrte Schulung, bei der nur ein H\u00e4kchen gesetzt wird, wird nicht zu einer \u00c4nderung des Nutzerverhaltens f\u00fchren. Die kontinuierliche Pr\u00e4sentation der Informationen auf unterschiedliche Weise, wenn sie mit dem jeweiligen Lebenskontext \u00fcbereinstimmt, wird Entscheidungen beeinflussen und es den Nutzern leichter machen, kl\u00fcgere Entscheidungen zu treffen.<\/p>\n

Testen: <\/strong>Die Mitarbeiter m\u00fcssen in eine Situation versetzt werden, in der sie eine Entscheidung treffen m\u00fcssen, die dar\u00fcber entscheidet, ob das Unternehmen angegriffen wird oder nicht. Bei Phishing-Simulationen werden die Mitarbeiter aufgefordert, entweder auf einen Link zu klicken, den Phishing-Versuch zu melden oder nichts zu tun. Ein gutes Programm sollte den Mitarbeitern die M\u00f6glichkeit geben, Phishing-Versuche zu melden. Wenn sie auf den Phishing-Versuch hereinfallen, sollte sofort eine Schulung durchgef\u00fchrt werden k\u00f6nnen.<\/p>\n

Metriken und Berichte: <\/strong>Security-Awareness-Trainer m\u00fcssen die Effektivit\u00e4t der Schulung nachweisen k\u00f6nnen. Das Reporting ist auch f\u00fcr die Optimierung von Kampagnen auf der Grundlage fr\u00fcherer Ergebnisse n\u00fctzlich. Die Verantwortlichen m\u00fcssen sehen k\u00f6nnen, was gut funktioniert und was verbessert werden kann.<\/p>\n

Umfragen und Bewertungen: <\/strong>Diese Art von Instrumenten kann den Verantwortlichen helfen, die Einstellungen der Mitarbeiter zur Security Awareness zu verstehen und herauszufinden, wie gut das Programm bei ihnen ankommt, damit es angepasst werden kann. <\/p>\n

Security Awareness f\u00f6rdert Sicherheitskultur<\/h3>\n

\u201cCulture eats strategy for breakfast\u201d, sagte einst der Managementberater Peter Drucker, \u201cand technology for lunch \u2026\u201d erg\u00e4nzten andere. Die Kultur eines Unternehmens ist der N\u00e4hrboden f\u00fcr Ver\u00e4nderungen und Sicherheit, einschlie\u00dflich der IT-Sicherheit. Letztlich liegt es an den Unternehmen und ihren Mitarbeitern vom Management \u00fcber die Buchhaltung bis zur Poststelle und zum Empfang, wie die Kultur verhandelt und gestaltet wird. <\/p>\n

\u201cYou get the culture you ignore\u201d, schrieb John R. Childress: Wenn diese Kultur, vor allem die Sicherheitskultur nicht gesteuert wird, droht sie sich zu verselbstst\u00e4ndigen. Unternehmen sollten daher in eine Kultur investieren, die den bewussten Umgang mit Cybersicherheit f\u00f6rdert. Alle Mitarbeitenden sollen sich ihrer Verantwortung bewusst sein, pers\u00f6nliche und gesch\u00e4ftliche Dinge zu sch\u00fctzen. <\/p>\n

Einer Studie<\/a> zur Untersuchung der Sicherheitskultur zufolge waren Mitarbeitende in Organisationen mit schlechter Sicherheitskultur 52-mal eher dazu geneigt ihre Anmeldedaten einer Phishing-E-Mail preis zu geben.<\/p>\n

Somit existiert die Sicherheitskultur in allen Organisationen bereits heute. Es muss das Ziel der Unternehmensleitung sein, diese zu verstehen und gezielt zu beeinflussen. Ein Framework<\/a> zur Erhebung des Reifegrades der Sicherheitskultur im Unternehmen bietet dazu sieben verschiedene Dimensionen an: <\/p>\n

Wahrnehmung (Verst\u00e4ndnis, Wissen und Bewusstsein), <\/p>\n

Normen (ungeschrieben Verhaltensweisen), <\/p>\n

Compliance (Wissen um Richtlinien), <\/p>\n

Kommunikation (Diskussion, Unterst\u00fctzung und Zusammenhalt), <\/p>\n

Einstellung (Emotionen und Gef\u00fchle), <\/p>\n

Verantwortung (Rolle und Funktion) und <\/p>\n

Verhalten (Aktionen und Vorgehensweisen). <\/p>\n

Diese Dimensionen sind miteinander verflochten. Die F\u00f6rderung eines gew\u00fcnschten Verhaltens durch die Beeinflussung einer oder mehrerer dieser Dimensionen muss sauber geplant und durchgef\u00fchrt werden. Erfolgreiche Programme gehen daher mit Bedacht vor und nehmen iterativ kleine \u00c4nderungen vor. <\/p>\n

Somit wird klar, dass die Sicherheitskultur des Unternehmens sich im Sicherheitsbewusstsein und in verschiedene Verhaltensweisen und auch durch diese beeinflusst werden kann. Manifestiert sich eine bestimmte Verhaltensweise und damit verbundene Einsichten \u00fcber verschiedene Abteilungen eines Unternehmens hinweg, spiegelt sich dies auch nachhaltig in der Sicherheitskultur des Unternehmens wider.<\/p>\n

Fazit<\/h3>\n

Die Anzahl an erfolgreichen Cyberattacken steigt, die Anzahl der Angriffsvektoren ebenfalls, gleichsam steigen die Margen cyberkrimineller Gruppen. Doch obwohl auch Investments in die IT-Sicherheit steigen, reichen diese nicht aus, um Unternehmen zu sch\u00fctzen. Ein Security-Awareness-Programm, das Management-Unterst\u00fctzung erh\u00e4lt, und von vielen verschiedenen Inhalten sowie motivierten Programm-Managern und Champions getrieben wird, kann das Spiel drehen. Am Ende aller Bem\u00fchungen sollte eine Sicherheitskultur stehen, die den Namen verdient hat und die mit messbaren Erfolgen selbst technologischen Spr\u00fcngen wie Deepfakes<\/a> und Voicefakes widersteht. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Lesen Sie, welche Aspekte besonders entscheidend sind, damit Ihr Security Awareness Training erfolgreich ist. Foto: nialowwa \u2013 shutterstock.com Studien wie die von Verizon oder IBM zeigen immer wieder auf, dass die Manipulation von zwischenmenschlichen Verhaltensweisen die vielversprechendste Vorgehensweise ist, um Zugang zu sensiblen Daten zu erlangen. Social Engineering bleibt die gr\u00f6\u00dfte, fortbestehende Herausforderung der Cybersicherheit. […]<\/p>\n","protected":false},"author":0,"featured_media":2072,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2071","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2071"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2071"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2071\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2072"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}