Mitarbeitersensibilisierung: Die Kraft guter Awareness-Programme für Unternehmenssicherheit

Mitarbeitersensibilisierung: Die Kraft guter Awareness-Programme für Unternehmenssicherheit

Mitarbeitersensibilisierung spielt eine entscheidende Rolle in der Unternehmenssicherheit. Durch gezielte Schulungen und realitätsnahe Phishing-Simulationen kann das Risiko von Cybercrime erheblich reduziert werden. Doch worauf sollte man beim Aufbau und der Pflege solcher Programme besonders achten?

Angesichts der Tatsache, dass 97 Prozent aller Internetangriffe auf Menschen abzielen und über 90 Prozent der erfolgreichen Angriffe bei unvorsichtigen Mitarbeitern beginnen, wird deutlich, dass viele Unternehmen heute beim Sicherheitsbewusstsein ihrer Mitarbeiter Handlungsbedarf haben.

Aufgrund der Vielfalt von Organisationen ist es oft nicht sinnvoll, Cybersecurity-Awareness-Maßnahmen losgelöst vom Unternehmenskontext zu entwickeln. Hinzu kommt, dass die Verantwortlichen zu Beginn vor vielen neuen Fragen stehen. Dieser Beitrag gibt Antworten auf häufig gestellte Fragen zur Cybersecurity Awareness und Mitarbeitersensibilisierung. Er zeigt auf, wie ein Awareness-Programm effizient aufgebaut wird und welche Schritte erforderlich sind, um seine Effektivität zu gewährleisten.

Was ist Cybersecurity-Awareness?
Cybersecurity-Awareness bezeichnet das Bewusstsein, Wissen und die Einstellung der Mitglieder einer Organisation in Bezug auf mögliche und aktuelle Bedrohungsszenarien aus dem Internet. Das Ziel ist der Schutz des IT- und Informationsvermögens einer Organisation sowie die Vermeidung von Schäden.

Was ist das Ziel von Cybersecurity-Awareness?
Das Ziel ist die Prävention von Internetkriminalität, die durch unwissende oder nachlässige Mitarbeiter in Organisationen eindringt. Es geht im Grunde darum, sich gegenüber Social Engineering zu immunisieren.

Warum ist Cybersecurity-Awareness wichtig?
Während IT-Sicherheitsexperten die Bedeutung von Security-Awareness nicht mehr in Frage stellen, besteht bei Personen außerhalb des Fachgebiets oft Unsicherheit. Dabei belegen Studien und Berichte die hohe Relevanz von Security-Awareness.

Die Risikoperspektive zeigt, dass 97 Prozent der Cyberangriffe den Menschen als Ziel haben. 91 Prozent der erfolgreichen Attacken beginnen mit einem Social-Engineering-Trick, meistens Phishing. Zudem sind zwei Drittel der betroffenen Unternehmen heute KMUs.
Auf der Nutzenseite gilt als erwiesen, dass richtig durchgeführte Awareness-Programme ein Unternehmen um das Zehnfache sicherer machen können. Das allein ist bereits von großer Bedeutung.

Wozu braucht es ein ständiges Security-Awareness-Programm?
Eine einzelne Schulungsmaßnahme reicht nicht für eine nachhaltige Sensibilisierung aus. Eine zeitlich begrenzte Kampagne kann nicht alle Mitarbeiter, geschweige denn alle Risikothemen abdecken. Die erzielte Mitarbeitersensibilisierung nimmt zudem nach zwei bis drei Monaten ab. Es ist daher entscheidend, ein kontinuierliches Awareness-Programm zu implementieren.

Ein Beispiel verdeutlicht die Notwendigkeit: Ein KMU im Einzelhandel wurde kürzlich angegriffen. Eine scheinbar normale Bewerbung mit Lebenslauf und Profilbild erreichte die Mitarbeiter. Minuten später konnten Ladentüren nicht mehr geöffnet und die Kasse funktionierte nicht mehr. Das Lagersystem und die Buchhaltung waren für Tage beeinträchtigt. Obwohl es eine Richtlinie gab, E-Mail-Bewerbungen ungeöffnet zu löschen, hatten Mitarbeiter das vermeintliche Bewerberfoto angeschaut und so die Malwareattacke ausgelöst. Solche Situationen verdeutlichen, dass es drei Hauptkategorien von Schulungsmängeln gibt, die durch eine einzige Schulung nicht umfassend behoben werden können. Daher benötigen auch KMUs ein ständiges Awareness-Programm.

Sind Phishing-Simulationen sinnvoll?
Erfahrungen in über 40 Ländern zeigen, dass die Herangehensweise an die Herausforderung „aufmerksame Anwender“ regional unterschiedlich ist. In Nordamerika sind Phishing-Simulationen häufig anzutreffen und werden als „Fire-Drill“ verstanden. In Europa liegt der Fokus eher auf Schulungen, mit CBT oder E-Learning. Dabei wird häufig sogar edukatives Social Engineering wie simuliertes Phishing missbilligt. Allerdings zeigen Erfahrungen, dass Phishing-Simulationen die Klickraten auf schädliche Links bedeutend schneller reduzieren als nur Security-Awareness-Schulungen. Die Erkenntnis lautet: Beides ist notwendig – effektive Schulungen und realitätsnahe Phishing-Simulationen. Eine robuste IT-Security-Infrastruktur ist dabei unerlässlich.

Welche Phishingsimulationen sollte man verwenden?
Die Frage „Wen phishe ich womit und wie?“ ist entscheidend bei Security-Awareness-Kampagnen. Es gibt jedoch keine universelle Antwort, da viele Unternehmensaspekte berücksichtigt werden müssen. Der beste Ansatz besteht darin, mit einfachen Phishing-Simulationen zu beginnen, um eine niedrige Klickrate anzustreben. Dies ermöglicht es, den Schwierigkeitsgrad schrittweise zu erhöhen und dabei von Tool-Herstellern Unterstützung zu erhalten.

Was sollte geschult werden und wann?
Die Definition einer Trainings-Roadmap erfordert die Unterscheidung zwischen dem, was geschult werden muss, und dem, was geschult werden sollte. Compliance-Trainings, die auf die Einhaltung der Sicherheitsrichtlinien eines Unternehmens abzielen, gehören zum Muss-Bereich. Zum Soll-Bereich gehören branchenspezifische Sicherheitsschulungen und der allgemeine „Security-Awareness-Content“. Häufiges, kurzes Training ist dabei effektiver als der Versuch, alles auf einmal zu vermitteln.

Worauf sollte besonders geachtet werden?
Ein gutes Awareness-Programm erfordert die Berücksichtigung vieler Aspekte. Für KMUs mag dies einfacher sein als für mittelständische oder große Unternehmen. Dennoch sollten alle Organisationen zu Beginn folgende Schritte befolgen:

  • Warten Sie nicht, sondern starten Sie einfach.
  • Kombinieren Sie Schulungen mit Simulationen.
  • Cybersecurity-Mitarbeitersensibilisierung macht ohne eine ausgereifte IT-Security-Infrastruktur keinen Sinn.
  • Kontinuierliche Sensibilisierung ist entscheidend.

Es ist wichtig, den Ablauf „Scope, Plan, Run, Evolve“ zu beachten, um sich von der strategischen über die taktische bis zur operativen Ebene der Kampagne vorzuarbeiten. In der Scoping-Phase sollten nicht nur strategische Aspekte geklärt werden, sondern auch ein Verständnis für bestehende Sicherheitsrichtlinien, den aktuellen Risikokatalog, vergangene Schulungen, die vorhandene Securityinfrastruktur und mehr entwickelt werden.

Facebook
LinkedIn
Twitter
XING
Email

Jüngste Beiträge

Kategorien
Schlagwörter
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!

Privatsphäre-Einstellungen

Entscheiden Sie, welche Cookies Sie zulassen möchten. Sie können diese Einstellungen jederzeit ändern. Dies kann jedoch dazu führen, dass einige Funktionen nicht mehr zur Verfügung stehen. Informationen zum Löschen der Cookies finden Sie in der Hilfe Ihres Browsers. ERFAHREN SIE MEHR ÜBER DIE VON UNS VERWENDETEN COOKIES.

Mit dem Schieberegler können Sie verschiedene Arten von Cookies aktivieren oder deaktivieren:

  • alles blockieren
  • Wesentliches
  • Funktionalität
  • Analytik
  • Werbung

Diese Website wird

Diese Website wird nicht

  • Remember which cookies group you accepted
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
  • Merken Sie sich Ihre Login-Daten
  • Grundlegend: Merken Sie sich Ihre Cookie-Berechtigungseinstellungen
  • Wesentlich: Session-Cookies zulassen
  • Wichtig: Sammeln Sie Informationen, die Sie in Kontaktformulare, Newsletter und andere Formulare auf allen Seiten eingeben
  • Grundlegend: Verfolgen Sie, was Sie in einen Einkaufswagen eingeben
  • Wichtig: Authentifizieren Sie, dass Sie in Ihrem Benutzerkonto angemeldet sind
  • Grundlegend: Merken Sie sich die von Ihnen gewählte Sprachversion
  • Functionality: Remember social media settings
  • Functionality: Remember selected region and country
  • Analytics: Keep track of your visited pages and interaction taken
  • Analytics: Keep track about your location and region based on your IP number
  • Analytics: Keep track of the time spent on each page
  • Analytics: Increase the data quality of the statistics functions
  • Advertising: Tailor information and advertising to your interests based on e.g. the content you have visited before. (Currently we do not use targeting or targeting cookies.
  • Advertising: Gather personally identifiable information such as name and location
Speichern & Schließen