Menschliches Versagen gilt als größte Schwachstelle in Unternehmen. Das belegt eine Vielzahl von Studien. Gründliche Sicherheitsschulungen gehören daher in den Baukasten der IT-Sicherheitsstrategie eines jeden Unternehmens. Mitarbeitende müssen das Wissen und die Kompetenzen erhalten, die sie brauchen, um Sicherheitsrisiken erkennen und darauf reagieren zu können. Unternehmen können ihr Risiko, Opfer von Cyberangriffen zu werden, mit erhöhter Awareness und einer Kultur, die Meldungen nicht bestraft, erheblich senken. Gute Sicherheitsschulungen sind jedoch eine echte Herausforderung.

Zum Schutz des Unternehmens, aber auch der Mitarbeitenden müssen die prinzipielle Anatomie von Angriffen, Methoden der Angreifer, die Identifizierung verdächtiger Situationen oder Elemente sowie der vorsichtige Umgang mit Internetseiten bzw. Informationen und die rasche Meldung von Verdachtsfällen vermittelt werden. Neben den am weitesten verbreiteten Standards gibt es verschiedene Vorschriften zur Datensicherheit, zum Datenschutz und zur Datenverarbeitung, die für bestimmte Branchen und Mitarbeiterrollen relevant sind. Im Idealfall erhalten alle Mitarbeitenden einer Organisation ein solches Training, denn das Wissen und ein gesteigertes Bewusstsein schützen nicht nur das eigene Unternehmen.

Mit steigender Digitalisierung steigt auch das Risiko, Bedrohungen in der Lieferkette an Kunden oder Lieferanten weiterzugeben. Sollen alle Kollegen zur Sicherheit beitragen, geht das nur durch lebenslanges Lernen. Unternehmen müssen ihr Personal ständig weiterbilden, neue Praktiken vermitteln, regelmäßig bereits Gelerntes wiederholen. Sicherheitsschulungen sind jedoch eine echte Herausforderung für jede Organisation. In der Praxis werden Wiederholungstrainings nur ungern absolviert. Oft fallen sie ganz aus. Geschäftliche, technische und personelle Herausforderungen sind oft die Gründe. Die Sicherheit muss mit vielen anderen dringenden und wichtigen Prioritäten konkurrieren. Im Tagesgeschäft verschwindet das Thema oft vom Radar der Beschäftigten. 

Wer die Sicherheit ernst nimmt, muss sich für Schulungen engagieren

Jeder behauptet, Sicherheit ernst zu nehmen. Wenn allerdings selbst CISOs oder Abteilungsleiter nicht regelmäßig das Wissen und die Achtsamkeit auffrischen und testen, dann sind sie nicht ganz ehrlich zu sich selbst. Dafür sollten sogar Red-Team-Taktiken eingesetzt werden.

Ein Red Team ist eine Gruppe von Cybersicherheitsexperten. Mit der Simulationen von Cyberangriffen decken sie Schwachstellen und Lücken in den Cyberabwehrmaßnahmen einer Organisation auf. Das Red Team agiert wie ein böswilliger Angreifer und nutzt die gleichen Methoden bzw. Werkzeuge wie echte Cyberkriminelle. Sie dringen auf illegale Weise in Systeme ein oder manipulieren Mitarbeiter. Dieser proaktive Ansatz hilft Organisationen, ihre Sicherheitsstrategie zu verbessern, Maßnahmen zur Risikominderung zu entwickeln und Mitarbeiter aufmerksamer zu machen.

Denn ohne häufige Auffrischungsschulungen und eine Kultur, welche ein Sicherheitsbewusstsein entwickelt und unterstützt, bleibt das unternehmerische Risiko groß. Menschen machen Fehler, schalten Sicherheitsfunktionen aus oder zerstören sie, vergessen Maßnahmen oder lassen sich zu leicht austricksen.

Künstliche Intelligenz und maschinelles Lernen tragen zum Risiko bei. Damit lassen sich realistischere und gezieltere Köder erstellen. Die einzige Möglichkeit, dieses Risiko zu mindern, ist eine kontinuierliche Schulung und ständige Sensibilisierung. Aber lässt sich das erfolgreich umsetzen? In diesem Artikel finden Verantwortliche die besten Tipps für eine nachhaltige Schulung.

Vermittle das Warum, nicht nur das Was

Das ist das A und O für jede Art von Schulung. Oft wirken vorgeschriebene Verfahren wie eine Zumutung und die Sicherheit wie ein Hindernis. Wer die Einhaltung von Vorschriften verlangt, muss auf die Sicherheitsschwachstellen und häufigen Fallstricke hinweisen sowie die Konsequenzen sowohl für das Unternehmen als auch für jeden Einzelnen erklären – im beruflichen wie im privaten bzw. familiären Bereich. Nur so können die Anwender erkennen, wie wichtig ihre Wachsamkeit ist.

Scheue Dich nicht vor technischen Details

Jedes Team wird alle Einschränkungen kennen wollen, die sich auf seine Tätigkeit und die Fähigkeit zur Ausführung seiner Tätigkeiten auswirken. Wenn sich Sicherheitsprodukte oder -maßnahmen auf das Tagesgeschäft auswirken, muss dies berücksichtigt werden. Maßnahmen und Auswirkungen müssen den Führungskräften erklärt werden. Alle müssen darauf vorbereitet und sich dessen bewusst sein, dass Sicherheit Dinge verlangsamen oder erschweren kann. Ein Sicherheitsbewusstsein auf allen Ebenen ist entscheidend für den Erfolg des empfohlenen Top-Down-Ansatz. Praktische Vorführungen und Übungen vertiefen das Bewusstsein.

Selbst nicht-technisches Personal wird das Ausmaß und die Gefahren viel besser verstehen, wenn das Training durch Übungen und Aktivitäten unterstützt wird. Steht man selbst im Mittelpunkt einer Bedrohung, ist das wesentlich nachhaltiger als Statistiken über Ausbruchszeiten, geschätzte durchschnittliche Kosten oder abstrakte Auswirkungen. Relevante – und realistische – Details unterstreichen die Bedeutung der Übung.

Sei menschlich, sei real

Jeder Risikobereich – Social Engineering, Zutritts-, Zugangs- sowie Zugriffsbarrieren, physische Sicherheit, Umgang mit Daten, Einhaltung von Vorschriften usw. – betrifft Menschen. Jeder im Unternehmen, egal ob technisch oder nicht-technisch, muss die Risikobereiche für das Unternehmen und die eigene Rolle verstehen. Fehlerkultur spielt eine entscheidende Rolle für die erfolgreiche Umsetzung des Gelernten. Um einen Vorfall melden oder Fehler zugeben zu können, darf niemand negative Folgen für sich befürchten müssen. Das gilt auch für das Training selbst. Wie auch immer die Ergebnisse ausfallen: Eine Kultur des Lernens statt der Schuldzuweisung schafft Anreize für das richtige Maß an Transparenz, Nachfragen und Ehrlichkeit.

Mach es für alle zugänglich

Sicherheitsschulungen müssen sowohl Fachkräfte als auch Sicherheitsexperten ansprechen. Sie dürfen aber auch die weniger technisch Versierten nicht überfordern oder abschrecken. Botschaften sollten aber nicht nur auf die Rolle oder eventuelles Vorwissen abgestimmt sein. Auch Alter, Geschlecht oder Betriebszugehörigkeit der Teilnehmenden kann über Erfolg oder Misserfolg des Trainings entscheiden. Es kann sich lohnen, z. B. Gruppen von Gleichaltrigen gemeinsam zu schulen. Es nützt nichts, wenn ein Jüngerer nicht nachfragt, weil er von einem erfahrenen Kollegen neben ihm eingeschüchtert ist. Wenn Trainer die Schulungen an den Bedürfnissen einzelner Gruppen ausrichten, ist das Engagement des Einzelnen höher. Die Chance, dass etwas hängen bleibt, steigt.

Sei unterhaltsam, sei einprägsam

Jeder liebt Geschichten. Fesselnde, gruselige oder witzige Geschichten motivieren die Teilnehmenden zum Mitmachen, Nachdenken, Diskutieren, Teilen und Nachahmen. Mit den bewährten Methoden eines Anekdotenerzählers wird eine Sicherheitsschulung nie langweilig. Präsentationen und schriftliche Elemente sollten die gesprochenen Teile untermalen. Eine Sicherheitsschulung ist wichtig und verdient es, beeindruckend zu sein.

CISOs müssen das Risiko eingehen, sich unbeliebt zu machen, wenn sie auf häufige, regelmäßige Schulungen und Auffrischungen pochen. Abwechslung bei den Auffrischungen ist der Schlüssel, um das Gelernte langfristig zu verankern. Neben den üblichen jährlichen Auffrischungsschulungen sollten ungeplante und überraschende Übungen durchgeführt werden. Der Einsatz eines Red Teams bringt die Mitarbeitenden auf Trab.

Gib Deinen Teams Werkzeuge, mit denen sie gern arbeiten

Statt noch mehr Sicherheitsschulungen für bestimmte Rollen, z. B. DevOps, lohnt sich die Investition in Werkzeuge mit integrierten Sicherheitsfunktionen. Sicherheit im Design macht Unternehmen widerstandsfähiger und weniger anfällig für Sicherheitsrisiken. Es ist immer billiger, Schwachstellen und potenziellen Verstößen vorzubeugen.

Fazit

Die Schulung sollte etwas Besonderes sein! Das andauernde Training des Sicherheitsbewusstseins ist wichtig und muss ein lebendiger, sich mit neuen Anforderungen weiter entwickelnder Prozess sein. Inhalt, Stil und Präsentation verdienen die gleiche Sorgfalt wie eine Hochzeitsrede oder eine Präsentation vor Investoren. Wenn die Awareness-Schulung effektiv sein soll, ist das Wie entscheidend. Der Stil sollte jedoch nie den Inhalt übertrumpfen. Und der Mensch sollte immer an erster Stelle stehen.

Um bessere Ergebnisse zu erzielen, müssen Unternehmen ihre Sicherheitsschulungen verbessern. Sonst wird unsere gesamte digitale Welt mit jedem Produkt, jedem System und jeden Tag unsicherer.